خوش آمدید - امروز : سه شنبه ۲۶ شهریور ۱۳۹۸
خانه » آموزش کانفیگ سرور » آشنایی با سه ابزار امنیتی جهت شناسایی ویروس ها و maleware ها در لینوکس

آشنایی با سه ابزار امنیتی جهت شناسایی ویروس ها و maleware ها در لینوکس

سرورهای متصل به اینترنت تعداد زیادی از حملات و اسکن را در طول روز تجربه می کنند و دایم درگیر حملات مختلف هستند. در حالی که یک استفاده از فایروال و به روز رسانی سیستم به طور منظم یک ابزار دفاعی خوب برای حفظ امنیت سیستم است، اما شما همچنین باید به طور منظم بررسی کنید که هیچ هکر و مهاجمی وارد سیستم سرور شما نشده است

ابزارهای معرفی شده در این آموزش برای این آزمایشات ساخته شده اند، آنها برای بدافزار، ویروس ها و روت کیت ها اسکن می کنند و در سرورهای لینوکسی بسیار کارامد هستند.

آنها باید به طور منظم اجرا شوند، برای مثال هر شب و به شما ایمیل ارسال می کنند.  شما همچنین می توانید Chkrootkit، Rkhunter و ISPProtect را برای اسکن یک سیستم یا سرور در صورت داشتن فعالیت های مشکوک مانند لود بالا، پروسه های مشکوک و.. استفاده نمایید

همه این اسکنرها باید به عنوان کاربران root اجرا شوند. قبل از اجرا باید دسترسی را به root تغییر دهید:

sudo -s

در اوبونتو برای تبدیل شدن به کاربر root از دستور بالا میتوانید استفاده کنید

chkrootkit – اسکنر روتکیت لینوکس

chkrootkit یک اسکنر کلاسیک rootkit است که سرور را برای روت کیت های مشکوک بررسی می کند و و فایل ها را برای شناسایی rootkit های شناخته شده اسکن میکند.

حتما بسته ای را که با توزیع لینوکس شما همراه است را نصب کنید (در دبیان و اوبونتو در حال حاضر مد نظر ما میباشد)

apt-get install chkrootkit

همچنین میتوانید منابع را از www.chkrootkit.org دانلود کنید و نصب کنید:


wget --passive-ftp ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar xvfz chkrootkit.tar.gz
cd chkrootkit-*/
make sense

بعد این کار می توانید دایرکتوری chkrootkit را به مکان دیگر منتقل دهید، برای مثال به / usr / local / chkrootkit:

cd ..
mv chkrootkit-<version>/ /usr/local/chkrootkit

و یک symlink برای دسترسی آسان ایجاد کنید:

ln -s /usr/local/chkrootkit/chkrootkit /usr/local/bin/chkrootkit

برای بررسی سرور خود با chkrootkit، دستور زیر را اجرا کنید:

chkrootkit

نمونه گزارش اسکن مانند زیر خواهد بود:

Checking `bindshell'...                                     INFECTED (PORTS:  465)

نگران نباشید زمانی که این پیام را در یک سرور ایمیل دریافت می کنید، این SMTPS  (نسخه امن سیستم ایمیل سرور) شما را آلوده شناسایی کرده است که قطعا غلط میباشد.

شما حتی می توانید chkrootkit را با cron اجرا کنید که نتایج را برای شما ارسال کند. برای این کار باید ابتدا مسیری را که chkrootkit روی سرور شما نصب شده است پیدا کنید:

which chkrootkit

مثال:


root@server1:/tmp/chkrootkit-0.52# which chkrootkit
/usr/sbin/chkrootkit

مشاهده میکنید که Chkrootkit در مسیر / usr / sbin / chkrootkit نصب شده است، ما به این مسیر در خط دستوری که درcron خواهیم نوشت نیاز خواهیم داشت

دستور زیر را اجرا کنید تا وارد تنظیمات cronjob سرور شوید:

crontab -e

برای ایجاد  cron job مانند این عمل کنید:

0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit output of my server" you@yourdomain.tld)

این کار هر شب در ساعت 3 صبح انجام می شود. مسیر را به chkrootkit با مسیری که از دستور فوق دریافت کرده اید جایگزین کنید و آدرس ایمیل را با آدرس واقعی خود تعویض کنید.

Lynis – ابزار حسابرسی امنیت جهانی و اسکنر Rootkit

بصورت ساده Lynis (قبلا rkhunter) یک ابزار حسابرسی امنیتی برای سیستم های لینوکس و BSD است. این عمل حسابرسی دقیق بسیاری از جنبه های امنیتی و تنظیمات سیستم شما را انجام می دهد. آخرین منابع Lynis را از https://cisofy.com/download/lynis/ دانلود کنید:

cd /tmp
wget https://cisofy.com/files/lynis-2.7.1.tar.gz
tar xvfz lynis-2.7.1.tar.gz
mv lynis /usr/local/
ln -s /usr/local/lynis/lynis /usr/local/bin/lynis

این دستور Lynis را در دایرکتوری / usr / local / lynis نصب می کند و یک لینک symlink برای دسترسی آسان ایجاد می کند. حالا دستور را اجرایی را وارد میکنیم

برای بررسی اینکه آیا از آخرین نسخه استفاده می کنید از دستور زیر استفاده کنید:

lynis update info

خوب خیالمون راجت شد که آخرین نسخه را نصب داریم حالا شما می توانید سیستم خود را برای روت کیت ها با اجرای برنامه اسکن کنید:

lynis audit system

Lynis چند آزمون و تست را انجام می دهد و سپس متوقف خواهد شد تا شما نتابج اسکن را بخوانید. برای ادامه فرایند اسکن، [ENTER] را فشار دهید.

در نهایت، به شما یک خلاصه اسکن را نشان می دهد.

برای اجرای Lynis  در حالت بدون تعاملی(non-interactively)، آن را با گزینه option -quick استارت کنید:

lynis --quick

برای اجرای Lynis به صورت خودکار در شب، یک  cronjob ایجاد کنید مانند این:

0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "lynis output of my server" you@yourdomain.com)

ISPProtect –  تروجان اسکنروب سایت

ISPProtect یک اسکنر maleware برای وب سرورها است، این اسکنر فایل های وب سایت و سیستم های CMS مانند وردپرس، جوملا، دروپال و غیره را اسکن می کند.

اگر سرور مخصوص میزبانی وب سایت دارید ، وب سایت های میزبانی شده بیشترین آسیب پذیری سرور شما هستند و توصیه می شود به طور منظم آنها را چک کنید. ISPProtect شامل 5 موتور اسکن است:

     اسکنر مخرب مبتنی بر امضا.
     اسکنر مخرب هورستیک.
     یک اسکنر برای نمایش دایرکتوری های نصب شده از سیستم های CMS منسوخ شده.
     یک اسکنر که تمام پلاگین های وردپرس قدیم تمام سرور را نشان می دهد.
     اسکنر محتوا پایگاه داده که پایگاه داده های MySQL را برای محتوای بالقوه مخرب کنترل می کند.

ISPProtect نرم افزار رایگان نیست، اما یک نسخه Trial Version دارد که بدون ثبت نام می تواند برای بررسی سرور شما برای نرم افزارهای مخرب یا پاکسازی سیستم آلوده استفاده شود

ISPProtect نیاز به پی اچ پی و ClamAV  خواهد داشت که این موارد در اکثر سیستم های میزبانی وب سایت مورد استفاده قرار می گیرد

خوب با فرض اینکه php و انتی ویروس clam بر روی سرور شما نصب میباشد حالا دستورات زیر را برای نصب ISPProtect اجرا کنید:


mkdir -p /usr/local/ispprotect
chown -R root:root /usr/local/ispprotect
chmod -R 750 /usr/local/ispprotect
cd /usr/local/ispprotect
wget http://www.ispprotect.com/download/ispp_scan.tar.gz
tar xzf ispp_scan.tar.gz
rm -f ispp_scan.tar.gz
ln -s /usr/local/ispprotect/ispp_scan /usr/local/bin/ispp_scan

برای استارت دستور زیر را وارد کنید:

ispp_scan

اسکنر به طور خودکار آپدیت ها را را چک میکند، سپس نوع لایسنس را از شما سوال میکند (در اینجا کلمه “trial” را وارد کنید) و سپس به مسیر وب سایت ها می رود، که معمولا این است: / var / www.


Please enter scan key: <-- trial
Please enter path to scan: <-- /var/www

خوب اسکنر اکنون اسکن را آغاز خواهد کرد. پروسه اسکن شده نشان داده خواهد شد

اسامی فایل های آلوده بر روی صفحه در انتهای اسکن نشان داده می شود و نتایج در فایل در پوشه نصب ISPProtect برای استفاده بعدی ذخیره می شوند:

برای به روزرسانی ISPProtect، دستور زیر را اجرا کنید:

ispp_scan --update

برای اجرای ISPProtect به صورت یک cronjob شبانه، یک فایل cron با nano ایجاد کنید:

nano /etc/cron.d/ispprotect

و خط زیر را وارد کنید:


0 3  * * *   root    /usr/local/ispprotect/ispp_scan --update && /usr/local/ispprotect/ispp_scan --path=/var/www --email-results=root@localhost --non-interactive --scan-key=AAA-BBB-CCC-DDD

به جای “root @ localhost” آدرس ایمیل خود را وارد کنید، گزارش اسکن به این آدرس ارسال می شود. سپس “AAA-BBB-CCC-DDD” را با کلید لایسنس خود تعویض کنید.

لیست کامل گزینه های این اسکنر و راهنمای خط فرمان ISPProtect ispp_scan را می توان با دستور زیر مشاهده کرد:

ispp_scan --help

نویسنده: عیسی محمدزاده
کارشناس مدیریت سرور و هاستینگ و امنیت شبکه

امتیاز 5.00 ( 3 رای )
اشتراک گذاری مطلب

کلیه حقوق مادی و معنوی مطالب و مقالات متعلق به وب سایت انجین ایکس وب میباشد - طراحی شده توسط پارس تمز