服务器维护,服务器代维,安全设置,漏洞扫描,入侵检测服务

dirtysea 发表于 2019-6-21 14:17:54

扫描Linux服务器查找恶意软件和rootkit的5款工具

本文介绍的工具是为这些安全扫描开发的,它们能够识别诸多病毒、恶意软件、rootkit和恶意行为。你可以使用这些工具定期(比如每晚)扫描系统,通过邮件将扫描报告发送到你的电子邮件地址。1. Lynis:安全审计和rootkit扫描工具Lynis是一款免费、开源、功能强大且备受欢迎的安全审计和扫描工具,适用于类似Unix/Linux的操作系统。它是一款恶意软件扫描和漏洞检测工具,可扫描系统、查找安全信息、问题、文件完整性及配置错误,执行防火墙审查、检查已安装的软件以及文件/目录权限等等。然而重要的是,它并不自动执行任何系统加固,只是提供让你能够加固服务器的建议。我们将使用以下命令从源代码安装最新版本的Lynis(即2.6.6)。现在,可以使用以下命令执行系统扫描。
[*]# cd /opt/
[*]# wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz
[*]# tar xvzf lynis-2.6.6.tar.gz
[*]# mv lynis /usr/local/
[*]# ln -s /usr/local/lynis/lynis /usr/local/bin/lynis
现在,可以用以下命令执行系统扫描。
[*]# lynis audit system
https://s4.51cto.com/oss/201808/16/162651f020980d4c9570b7e34205fa79.jpgLynis Linux安全审计工具想在每晚自动运行Lynis,请添加以下cron条目,该条目将在凌晨3点运行扫描,并将报告发送到电子邮件地址。
[*]0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server" you@yourdomain.com
链接:https://cisofy.com/lynis/2. Chkrootkit:Linux rootkit扫描工具Chkrootkit是另一款免费的开源rootkit检测工具,可以在类似Unix的系统上本地查找rootkit的迹象。它有助于检测隐藏的安全漏洞。Chkrootkit软件包包含检查系统二进制代码以寻找rootkit篡改的shell脚本和检查各种安全问题的诸多程序。可以在基于Debian的系统上使用以下命令安装chkrootkit工具。
[*]$ sudo apt install chkrootkit
在基于CentOS的系统,你需要使用以下命令从源代码安装它。
wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar xzf chkrootkit.tar.gz
cd chkrootkit-0.53
make sense
检测
./chkrootkit | grep INFECTED



一旦运行,它会开始检查系统、寻找已知的恶意软件和rootkit;扫描完毕后,可以看到报告摘要。想在每天晚上自动运行Chkrootkit,添加以下cron条目,该条目将在凌晨3点运行扫描,并将报告发送到电子邮件地址。
[*]0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server" you@yourdomain.com
链接:http://www.chkrootkit.org/3. Rkhunter:Linux rootkit扫描工具RKH(RootKit Hunter)是一款免费、开源、功能强大、易于使用、众所周知的工具,可用于扫描与POSIX兼容的系统(比如Linux)上的后门、rootkit和本地漏洞。顾名思义,它是一款rootkit查找、安全监控和分析工具,可全面检查系统,查找隐藏的安全漏洞。可在基于Ubuntu和CentOs的系统上使用以下命令安装rkhunter工具。
[*]$ sudo apt install rkhunter
[*]# yum install epel-release
[*]# yum install rkhunter
想用rkhunter检查服务器,请运行以下命令。
[*]# rkhunter -c
想在每天晚上自动运行rkhunter,添加以下cron条目,该条目将在凌晨3点运行扫描,并将报告发送到电子邮件地址。
[*]0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server" you@yourdomain.com
链接:https://sourceforge.net/p/rkhunter/wiki/index/4. ClamAV:反病毒软件工具包ClamAV是一款开源、用途广泛、备受欢迎的跨平台反病毒引擎,可检查计算机上的诸多病毒、恶意软件、特洛伊木马及其他恶意程序。它是面向Linux的最出色的免费反病毒软件之一,也是邮件网关扫描软件的开源标准,支持几乎所有的邮件文件格式。它支持在所有系统上的病毒数据库更新,并支持只针对Linux的即时(on-access)扫描。此外,它可以在归档和压缩文件里面扫描,支持Zip、Tar、7Zip和Rar等格式,还有其他功能。可在基于Debian的系统上使用以下命令安装ClamAV。
[*]$ sudo apt-get install clamav
可在基于CentOS的系统上使用以下命令安装ClamAV。
[*]# yum -y update
[*]# yum -y install clamav
一旦安装完毕可以用以下命令来更新病毒特征和扫描目录。
[*]# freshclam
[*]# clamscan -r -i DIRECTORY
DIRECTORY是待扫描的位置。选项-r意味着递归扫描,-i意味着只显示被感染的文件。链接:https://www.clamav.net/5. LMD:Linux恶意软件检测工具LMD(Linux Malware Detect)是一款开源、功能强大、特性完备的恶意软件扫描工具,面向Linux,专门针对共享的主机环境设计,但也可以用来检测任何Linux系统上的威胁。它可与ClamAV扫描器引擎整合起来,以提升性能。它提供了全面报告系统,可查看当前和以往的扫描结果、支持每次扫描执行后通过邮件发送提醒报告以及其他实用功能。链接:https://www.rfxn.com/projects/linux-malware-detect/

来源:http://netsecurity.51cto.com/art/201808/581361.htm?edm
页: [1]
查看完整版本: 扫描Linux服务器查找恶意软件和rootkit的5款工具