Серверы, подключенные к Интернету, подвергаются постоянным атакам и сканированием в течение дня. Хотя брандмауэр и регулярные обновления системы являются хорошей первой защитой для обеспечения безопасности системы, вы также должны регулярно проверять, что злоумышленник не прошел. Инструменты, описанные в этом руководстве, созданы для этих тестов, они сканируют на наличие вредоносных программ, вирусов и руткитов. Они должны запускаться регулярно, например, каждую ночь, и отправлять вам отчеты по электронной почте. Вы также можете использовать эти программы для проверки системы, если у вас есть подозрительные действия, такие как высокая нагрузка, подозрительные процессы или если сервер внезапно начинает отправлять вредоносные программы.
Все эти сканеры должны запускаться от имени пользователей root. Войдите в систему как root перед запуском:
на Ubuntu, чтобы стать пользователем root.
chkrootkit- Linux Rootkit Scanner
Chkrootkit-это классический сканер руткитов. Он проверяет ваш сервер на наличие подозрительных процессов руткитов и проверяет список известных файлов руткитов.
Либо установите пакет, который поставляется с вашим дистрибутивом (на Debian и Ubuntu вы будете запускать
или загрузить исходники с www.chkrootkit.org и установить вручную:
После этого вы можете переместить каталог chkrootkit в другое место, например, в /usr/local/chkrootkit:
и создайте символьную ссылку для легкого доступа:
Чтобы проверить с помощью chkrootkit, выполните команду:
Распространенным ложноположительным сообщением является:
Не волнуйтесь, когда вы получаете это сообщение на сервере электронной почты, это SMTPS (Secure SMTP) порт вашей почтовой системы и хорошо известный ложноположительный результат.
Вы даже можете запустить chkrootkit с помощью задания cron и получить результаты по электронной почте. Сначала выясните путь, по которому chkrootkit установлен на вашем сервере с помощью:
Пример:
Chkrootkit устанавливается по пути /usr/sbin/chkrootkit, нам нужен этот путь в строке cron ниже:
Выполнить:
Чтобы создать задание cron
Это задание будет запускать chkrootkit каждую ночь в 3:00. Замените путь к chkrootkit на путь, полученный из приведенной выше команды, и замените адрес электронной почты своим фактическим адресом.
Lynis-универсальный инструмент аудита безопасности и сканер руткитов
Lynis (ранее rkhunter) - это инструмент аудита безопасности для систем на базе Linux и BSD. Он выполняет подробный аудит многих аспектов безопасности и конфигураций вашей системы. Загрузите последние обновление Lynis с https://cisofy.com/download/lynis/:Advertisement
Эта команда установит Lynis в каталог /usr/local/lynis и создаст символьную ссылку для легкого доступа. Теперь запустите
чтобы проверить, используете ли вы последнюю версию.
Теперь вы можете проверить свою систему на наличие руткитов, запустив:
Lynis выполнит несколько проверок, а затем остановится, чтобы дать вам некоторое время для чтения результатов. Нажмите [ENTER], чтобы продолжить сканирование.
В конце он покажет вам сводку сканирования.
Чтобы запустить Lynis по расписанию, запустите его с помощью опции --quick:
Чтобы автоматически запускать Lynis ночью, создайте задание cron следующим образом:
Эта команда будет запускать Lynis каждую ночь в 3:00. Замените адрес электронной почты своим реальным адресом.
ISPProtect-сканер вредоносных программ для веб-сайтов
ISPProtect-это сканер вредоносных программ для веб-серверов, он сканирует вредоносные программы в файлах веб-сайтов и системах CMS, таких как Wordpress, Joomla, Drupal и т. Д. Если вы используете сервер веб-хостинга, то размещенные веб-сайты являются наиболее атакуемой частью вашего сервера, и рекомендуется регулярно проверять их на защиту. ISPProtect содержит 5 механизмов сканирования:
- Сигнатурный сканер вредоносных программ.
- Эвристический сканер вредоносных программ.
- Сканер для отображения каталогов установки устаревших систем CMS.
- Сканер, который показывает вам все устаревшие плагины WordPress всего сервера.
- Сканер содержимого базы данных, который проверяет базы данных MySQL на наличие потенциально вредоносного контента.
ISPProtect не является бесплатным программным обеспечением, но есть бесплатная пробная версия, которую можно использовать без регистрации для проверки вашего сервера на наличие вредоносных программ или очистки зараженной системы. Бесплатный лицензионный ключ для использования полной версии программного обеспечения на вашем сервере-"trial".