Pesquisa de site

5 ferramentas para verificar se há malware e rootkits em um servidor Linux


Existem níveis constantes de altos ataques e varreduras de portas em servidores Linux o tempo todo, enquanto um firewall configurado corretamente e atualizações regulares do sistema de segurança adicionam uma camada extra para manter o sistema seguro, mas você também deve observar frequentemente se alguém entrar. também ajudam a garantir que seu servidor permaneça livre de qualquer programa que vise interromper sua operação normal.

As ferramentas apresentadas neste artigo foram criadas para essas verificações de segurança e são capazes de identificar vírus, malware, rootkits e maliciosos comportamentos. Você pode usar essas ferramentas para fazer verificações regulares do sistema, por exemplo. todas as noites e envie relatórios por correio para o seu endereço de e-mail.

1. Lynis – Auditoria de segurança e scanner de rootkit

Lynis é uma ferramenta gratuita, de código aberto, poderosa e popular de auditoria e verificação de segurança para sistemas operacionais semelhantes a Unix/Linux. É uma ferramenta de verificação de malware e detecção de vulnerabilidades que verifica os sistemas em busca de informações e problemas de segurança, integridade de arquivos, erros de configuração; realiza auditoria de firewall, verifica software instalado, permissões de arquivos/diretórios e muito mais.

É importante ressaltar que ele não executa automaticamente nenhum fortalecimento do sistema; no entanto, ele simplesmente oferece sugestões que permitem proteger seu servidor.

Instalaremos a versão mais recente do Lynis (ou seja, 3.0.9) das fontes, usando os seguintes comandos.

cd /opt/
sudo wget https://downloads.cisofy.com/lynis/lynis-3.0.9.tar.gz
sudo tar xvzf lynis-3.0.9.tar.gz
sudo mv lynis /usr/local/
sudo ln -s /usr/local/lynis/lynis /usr/local/bin/lynis

Agora você pode realizar a verificação do sistema com o comando abaixo.

sudo lynis audit system

Para executar o lynis automaticamente todas as noites, adicione a seguinte entrada cron, que será executada às 3h da noite e enviará relatórios para seu endereço de e-mail.

0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server" [email 

2. Chkrootkit – um scanner de rootkit Linux

Chkrootkit também é outro detector de rootkit gratuito e de código aberto que verifica localmente sinais de rootkit em sistemas do tipo Unix. Ajuda a detectar falhas de segurança ocultas.

O pacote chkrootkit consiste em um script de shell que verifica os binários do sistema em busca de modificações de rootkit e vários programas que verificam vários problemas de segurança.

A ferramenta chkrootkit pode ser instalada usando o seguinte comando em sistemas baseados em Debian.

sudo apt install chkrootkit

Em sistemas baseados em RHEL, você precisa instalá-lo a partir de fontes usando os seguintes comandos.

sudo yum update
sudo yum install wget gcc-c++ glibc-static
sudo wget -c ftp://ftp.chkrootkit.org/pub/seg/pac/chkrootkit.tar.gz
sudo tar –xzf chkrootkit.tar.gz
sudo mkdir /usr/local/chkrootkit
sudo mv chkrootkit-0.58b/* /usr/local/chkrootkit
cd /usr/local/chkrootkit
sudo make sense

Para verificar seu servidor com Chkrootkit execute o seguinte comando.

sudo chkrootkit 
OR
sudo /usr/local/chkrootkit/chkrootkit

Depois de executado, ele começará a verificar se há malware e rootkits conhecidos em seu sistema e, após a conclusão do processo, você poderá ver o resumo do relatório.

Para executar o Chkrootkit automaticamente todas as noites, adicione a seguinte entrada cron, que será executada às 3 da manhã e enviará relatórios para o seu endereço de e-mail.

0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server" [email 

3. Rkhunter – um scanner de rootkit Linux

RootKit Hunter é uma ferramenta gratuita, de código aberto, poderosa, simples de usar e bem conhecida para verificar backdoors, rootkits e explorações locais em sistemas compatíveis com POSIX, como Linux.

Como o nome indica, é um caçador de rootkits, uma ferramenta de monitoramento e análise de segurança que inspeciona minuciosamente um sistema para detectar falhas de segurança ocultas.

A ferramenta rkhunter pode ser instalada usando o seguinte comando em sistemas Ubuntu e baseados em RHEL.

sudo apt install rkhunter   [On Debian systems]
sudo yum install rkhunter   [On RHEL systems] 

Para verificar seu servidor com rkhunter execute o seguinte comando.

sudo rkhunter -c

Para executar o rkhunter automaticamente todas as noites, adicione a seguinte entrada cron, que será executada às 3 da manhã e enviará relatórios para o seu endereço de e-mail.

0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server" [email 

4. ClamAV – Kit de ferramentas de software antivírus

ClamAV é um mecanismo antivírus de código aberto, versátil, popular e multiplataforma para detectar vírus, malware, trojans e outros programas maliciosos em um computador.

É um dos melhores programas antivírus gratuitos para Linux e o padrão de código aberto para software de verificação de gateway de correio que suporta quase todos os formatos de arquivo de correio.

Ele suporta atualizações de banco de dados de vírus em todos os sistemas e verificação ao acessar apenas no Linux. Além disso, ele pode verificar arquivos compactados e arquivos compactados e suporta formatos como Zip, Tar, 7Zip e Rar, entre outros e outros recursos.

O ClamAV pode ser instalado usando o seguinte comando em sistemas baseados em Debian.

sudo apt install clamav

O ClamAV pode ser instalado usando o seguinte comando em sistemas baseados em RHEL.

sudo yum -y update
sudo -y install clamav

Depois de instalado, você pode atualizar as assinaturas e verificar um diretório com os seguintes comandos.

freshclam
sudo clamscan -r -i DIRECTORY

Onde DIRETÓRIO é o local a ser verificado. As opções -r significam varredura recursiva e -i significa mostrar apenas arquivos infectados.

5. LMD – Detecção de malware em Linux

LMD (Linux Malware Detect) é um scanner de malware de código aberto, poderoso e completo para Linux, projetado especificamente e direcionado a ambientes hospedados compartilhados, mas pode ser usado para detectar ameaças em qualquer sistema Linux. Ele pode ser integrado ao mecanismo de scanner ClamAV para melhor desempenho.

Ele fornece um sistema de relatórios completo para visualizar os resultados de varreduras atuais e anteriores, oferece suporte a relatórios de alertas por e-mail após cada execução de varredura e muitos outros recursos úteis.

Para instalação e uso do LMD, leia nosso artigo Como instalar o LMD com ClamAV como mecanismo antivírus no Linux.

É tudo por agora! Neste artigo, compartilhamos uma lista de 5 ferramentas para verificar se há malware e rootkits em um servidor Linux. Deixe-nos saber sua opinião na seção de comentários.