5 เครื่องมือในการสแกนเซิร์ฟเวอร์ Linux เพื่อหามัลแวร์และรูทคิท
มีการโจมตีและการสแกนพอร์ตในระดับสูงอย่างต่อเนื่องบนเซิร์ฟเวอร์ Linux ตลอดเวลา ในขณะที่ไฟร์วอลล์ที่ได้รับการกำหนดค่าอย่างเหมาะสมและการอัปเดตระบบความปลอดภัยเป็นประจำจะเพิ่มชั้นพิเศษเพื่อให้ระบบปลอดภัย แต่คุณควรเฝ้าดูบ่อยครั้งหากมีใครเข้ามา สิ่งนี้จะ ยังช่วยให้แน่ใจว่าเซิร์ฟเวอร์ของคุณปราศจากโปรแกรมใดๆ ที่มุ่งขัดขวางการทำงานปกติ
เครื่องมือที่นำเสนอในบทความนี้สร้างขึ้นสำหรับการสแกนความปลอดภัยเหล่านี้ และสามารถระบุ ไวรัส, มัลแวร์, รูทคิท และ ที่เป็นอันตราย พฤติกรรม คุณสามารถใช้เครื่องมือเหล่านี้เพื่อทำการสแกนระบบเป็นประจำเช่น ทุกคืนและส่งรายงานทางไปรษณีย์ไปยังที่อยู่อีเมลของคุณ
1. Lynis – การตรวจสอบความปลอดภัยและ Rootkit Scanner
Lynis เป็นเครื่องมือตรวจสอบและสแกนความปลอดภัยแบบโอเพ่นซอร์ส ทรงพลัง และเป็นที่นิยมฟรีสำหรับระบบปฏิบัติการที่คล้ายกับ Unix/Linux เป็นเครื่องมือสแกนมัลแวร์และตรวจจับช่องโหว่ที่จะสแกนระบบเพื่อหาข้อมูลและปัญหาด้านความปลอดภัย ความสมบูรณ์ของไฟล์ ข้อผิดพลาดในการกำหนดค่า ดำเนินการตรวจสอบไฟร์วอลล์ ตรวจสอบซอฟต์แวร์ที่ติดตั้ง สิทธิ์อนุญาตไฟล์/ไดเร็กทอรี และอื่นๆ อีกมากมาย
ที่สำคัญ มันไม่ได้ทำการเสริมความแข็งแกร่งให้กับระบบใดๆ โดยอัตโนมัติ แต่เพียงเสนอคำแนะนำที่ช่วยให้คุณสามารถเสริมความแข็งแกร่งให้กับเซิร์ฟเวอร์ของคุณได้
เราจะติดตั้ง Lynis เวอร์ชันล่าสุด (เช่น 3.0.9) จากแหล่งที่มา โดยใช้คำสั่งต่อไปนี้
cd /opt/
sudo wget https://downloads.cisofy.com/lynis/lynis-3.0.9.tar.gz
sudo tar xvzf lynis-3.0.9.tar.gz
sudo mv lynis /usr/local/
sudo ln -s /usr/local/lynis/lynis /usr/local/bin/lynis
ตอนนี้คุณสามารถทำการสแกนระบบของคุณด้วยคำสั่งด้านล่าง
sudo lynis audit system
หากต้องการให้รัน lynis โดยอัตโนมัติทุกคืน ให้เพิ่มรายการ cron ต่อไปนี้ ซึ่งจะทำงานเวลา 03.00 น. คืนและส่งรายงานไปยังที่อยู่อีเมลของคุณ
0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server" [email
2. Chkrootkit – เครื่องสแกนรูทคิท Linux
Chkrootkit ยังเป็นเครื่องตรวจจับรูทคิทแบบโอเพ่นซอร์สฟรีอีกตัวหนึ่งที่จะตรวจสอบสัญญาณของรูทคิทในระบบที่คล้ายกับ Unix ในเครื่อง ช่วยตรวจจับช่องโหว่ด้านความปลอดภัยที่ซ่อนอยู่
แพ็คเกจ chkrootkit ประกอบด้วยเชลล์สคริปต์ที่จะตรวจสอบไบนารีของระบบเพื่อดูการแก้ไขรูทคิท และโปรแกรมจำนวนหนึ่งที่ตรวจสอบปัญหาด้านความปลอดภัยต่างๆ
สามารถติดตั้งเครื่องมือ chkrootkit ได้โดยใช้คำสั่งต่อไปนี้บนระบบที่ใช้ Debian
sudo apt install chkrootkit
บนระบบที่ใช้ RHEL คุณต้องติดตั้งจากแหล่งต่างๆ โดยใช้คำสั่งต่อไปนี้
sudo yum update
sudo yum install wget gcc-c++ glibc-static
sudo wget -c ftp://ftp.chkrootkit.org/pub/seg/pac/chkrootkit.tar.gz
sudo tar –xzf chkrootkit.tar.gz
sudo mkdir /usr/local/chkrootkit
sudo mv chkrootkit-0.58b/* /usr/local/chkrootkit
cd /usr/local/chkrootkit
sudo make sense
หากต้องการตรวจสอบเซิร์ฟเวอร์ของคุณด้วย Chkrootkit ให้รันคำสั่งต่อไปนี้
sudo chkrootkit
OR
sudo /usr/local/chkrootkit/chkrootkit
เมื่อรันแล้ว ระบบจะเริ่มตรวจสอบระบบของคุณเพื่อหามัลแวร์และรูทคิทที่รู้จัก และหลังจากกระบวนการเสร็จสิ้น คุณจะเห็นสรุปของรายงาน
หากต้องการเรียกใช้ Chkrootkit โดยอัตโนมัติทุกคืน ให้เพิ่มรายการ cron ต่อไปนี้ ซึ่งจะทำงานเวลา 03.00 น. และส่งรายงานไปยังที่อยู่อีเมลของคุณ
0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server" [email
3. Rkhunter – เครื่องสแกนรูทคิท Linux
RootKit Hunter เป็นเครื่องมือโอเพ่นซอร์สฟรี ทรงพลัง ใช้งานง่าย และเป็นที่รู้จักสำหรับการสแกนแบ็คดอร์ รูทคิท และช่องโหว่เฉพาะบนระบบที่รองรับ POSIX เช่น Linux
ตามชื่อที่บอกเป็นนัย มันเป็นนักล่ารูทคิท ซึ่งเป็นเครื่องมือตรวจสอบและวิเคราะห์ความปลอดภัยที่ตรวจสอบระบบอย่างละเอียดเพื่อตรวจจับช่องโหว่ด้านความปลอดภัยที่ซ่อนอยู่
สามารถติดตั้งเครื่องมือ rkhunter ได้โดยใช้คำสั่งต่อไปนี้บนระบบ Ubuntu และ RHEL
sudo apt install rkhunter [On Debian systems]
sudo yum install rkhunter [On RHEL systems]
หากต้องการตรวจสอบเซิร์ฟเวอร์ของคุณด้วย rkhunter ให้รันคำสั่งต่อไปนี้
sudo rkhunter -c
หากต้องการรัน rkhunter โดยอัตโนมัติทุกคืน ให้เพิ่มรายการ cron ต่อไปนี้ ซึ่งจะทำงานเวลา 03.00 น. และส่งรายงานไปยังที่อยู่อีเมลของคุณ
0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server" [email
4. ClamAV – ชุดเครื่องมือซอฟต์แวร์ป้องกันไวรัส
ClamAV เป็นเอ็นจิ้นแอนตี้ไวรัสแบบโอเพ่นซอร์ส อเนกประสงค์ ยอดนิยม และข้ามแพลตฟอร์มเพื่อตรวจจับไวรัส มัลแวร์ โทรจันและโปรแกรมที่เป็นอันตรายอื่น ๆ บนคอมพิวเตอร์
เป็นหนึ่งในโปรแกรมป้องกันไวรัสฟรีที่ดีที่สุดสำหรับ Linux และเป็นมาตรฐานโอเพ่นซอร์สสำหรับซอฟต์แวร์สแกนเกตเวย์เมลที่รองรับไฟล์เมลเกือบทุกรูปแบบ
รองรับการอัพเดตฐานข้อมูลไวรัสในทุกระบบและการสแกนการเข้าถึงบน Linux เท่านั้น นอกจากนี้ยังสามารถสแกนภายในไฟล์เก็บถาวรและไฟล์บีบอัดและรองรับรูปแบบเช่น Zip, Tar, 7Zip และ Rar รวมถึงคุณสมบัติอื่น ๆ
สามารถติดตั้ง ClamAV ได้โดยใช้คำสั่งต่อไปนี้บนระบบที่ใช้ Debian
sudo apt install clamav
สามารถติดตั้ง ClamAV ได้โดยใช้คำสั่งต่อไปนี้บนระบบที่ใช้ RHEL
sudo yum -y update
sudo -y install clamav
เมื่อติดตั้งแล้ว คุณสามารถอัปเดตลายเซ็นและสแกนไดเร็กทอรีด้วยคำสั่งต่อไปนี้
freshclam
sudo clamscan -r -i DIRECTORY
โดยที่ DIRECTORY คือตำแหน่งที่จะสแกน ตัวเลือก -r หมายถึงการสแกนซ้ำ และ -i หมายถึงแสดงเฉพาะไฟล์ที่ติดไวรัสเท่านั้น
5. LMD – การตรวจจับมัลแวร์ Linux
LMD (Linux Malware Detect) เป็นเครื่องสแกนมัลแวร์แบบโอเพ่นซอร์ส ทรงพลังและมีคุณสมบัติครบถ้วนสำหรับ Linux ที่ได้รับการออกแบบและกำหนดเป้าหมายโดยเฉพาะในสภาพแวดล้อมที่โฮสต์ที่ใช้ร่วมกัน แต่สามารถใช้เพื่อตรวจจับภัยคุกคามบนระบบ Linux ใดก็ได้ สามารถรวมเข้ากับเอ็นจิ้นสแกนเนอร์ ClamAV เพื่อประสิทธิภาพที่ดีขึ้น
โดยมีระบบการรายงานเต็มรูปแบบเพื่อดูผลการสแกนปัจจุบันและก่อนหน้า รองรับการรายงานการแจ้งเตือนทางอีเมลหลังจากการสแกนทุกครั้ง และคุณสมบัติที่มีประโยชน์อื่นๆ อีกมากมาย
สำหรับการติดตั้งและการใช้งาน LMD โปรดอ่านบทความของเราวิธีการติดตั้ง LMD ด้วย ClamAV เป็นเครื่องมือป้องกันไวรัสใน Linux
นั่นคือทั้งหมดที่สำหรับตอนนี้! ในบทความนี้ เราได้แชร์รายการเครื่องมือ 5 รายการในการสแกนเซิร์ฟเวอร์ Linux เพื่อหามัลแวร์และรูทคิท แจ้งให้เราทราบความคิดของคุณในส่วนความเห็น