11 Mjetet për të skanuar Serverin Linux për të metat e sigurisë dhe malware

Edhe pse sistemet me bazë Linux shpesh konsiderohen të padepërtueshme, ende ekzistojnë rreziqe që duhet të merren seriozisht.


Rootkits, viruset, ransomware dhe shumë programe të tjera të dëmshme shpesh mund të sulmojnë dhe të shkaktojnë probleme tek serverët Linux.

Pavarësisht nga sistemi operativ, marrja e masave të sigurisë është një domosdoshmëri për serverat. Markat dhe organizatat e mëdha kanë ndërmarrë masat e sigurisë në duart e tyre dhe kanë zhvilluar mjete që jo vetëm zbulojnë të metat dhe malware por gjithashtu i korrigjojnë ato dhe ndërmarrin veprime parandaluese.

Për fat të mirë, ekzistojnë mjete në dispozicion për një çmim të ulët ose falas që mund të ndihmojnë në këtë proces. Ata mund të zbulojnë të metat në seksione të ndryshme të një serveri të bazuar në Linux.

Lynis

Lynis është një mjet i njohur sigurie dhe një mundësi e preferuar për ekspertët në Linux. Ai gjithashtu funksionon në sisteme të bazuara në Unix dhe macOS. Shtë një program me burim të hapur që është përdorur që nga viti 2007 nën një licencë GPL.

Lynis është i aftë të zbulojë vrimat e sigurisë dhe të metat e konfigurimit. Por shkon përtej kësaj: në vend që të ekspozojë vetëm dobësitë, ajo sugjeron veprime korrigjuese. Kjo është arsyeja pse, për të marrë raporte të hollësishme të auditimit, është e nevojshme që ato të ekzekutohen në sistemin pritës.

Instalimi nuk është i nevojshëm për përdorimin e Lynis. Ju mund ta ekstraktoni atë nga një paketë e shkarkuar ose një tarball dhe ta ekzekutoni. Ju gjithashtu mund ta merrni atë nga një klon Git për të pasur qasje në dokumentacionin e plotë dhe kodin burimor.

Lynis u krijua nga autori origjinal i Rkhunter, Michael Boelen. Ka dy lloje shërbimesh të bazuara në individë dhe ndërmarrje. Në të dy rastet, ajo ka një performancë të jashtëzakonshme.

Chkrootkit

Siç mund ta keni menduar tashmë, chkrootkit është një mjet për të kontrolluar ekzistencën e rrënjëve. Rootkits janë një lloj programi me qëllim të keq që mund t’i japin serverit qasje te një përdorues i paautorizuar. Nëse po ekzekutoni një server të bazuar në Linux, rootkits mund të jenë problem.

chkrootkit është një nga programet më të përdorura me bazë Unix që mund të zbulojë rrënjët e rrënjës. Përdor ‘tela’ dhe ‘grep’ (komandat e mjetit Linux) për të zbuluar problemet.

Mund të përdoret ose nga një direktori alternative ose nga një disk shpëtimi, në rast se dëshironi që ai të verifikojë një sistem tashmë të kompromentuar. Përbërësit e ndryshëm të Chkrootkit kujdesen të kërkojnë shënime të fshira në skedarët “wtmp” dhe “lastlog”, gjetjen e rekordeve sniffer ose skedarët e konfigurimit të rootkit dhe kontrollimin e shënimeve të fshehura në “/ proc” ose thirrjet drejt programit “readdir”.

Për të përdorur chkrootkit, duhet të merrni versionin e fundit nga një server, të nxirrni skedarët burim, t’i përpiloni ato dhe jeni gati të shkoni.

Rkhunter

Zhvilluesi Micheal Boelen ishte personi që bëri Rkhunter (Rootkit Hunter) në 2003. Itshtë një mjet i përshtatshëm për sistemet POSIX dhe mund të ndihmojë në zbulimin e rrënjëve dhe dobësive të tjera. Rkhunter kalon plotësisht përmes skedarëve (ose të fshehura ose të dukshme), direktoriumet parazgjedhje, modulet e kernelit dhe lejet e gabuara të konfiguruara.

Pas një kontrolli rutinë, i krahason ato me të dhënat e sigurta dhe të duhura të bazave të të dhënave dhe kërkon programe të dyshimta. Meqenëse programi është shkruar në Bash, ai jo vetëm që mund të ekzekutohet në makinat Linux, por edhe në praktikisht çdo version të Unix.

ClamAV

Shkruar në C++, ClamAV është një antivirus me burim të hapur që mund të ndihmojë në zbulimin e viruseve, trojanëve dhe shumë llojeve të tjera të malware. Shtë një mjet plotësisht falas, kjo është arsyeja pse shumë njerëz e përdorin atë për të skanuar informacionin e tyre personal, duke përfshirë postat elektronike, për çdo lloj skedarësh me qëllim të keq. Ai gjithashtu shërben në mënyrë të konsiderueshme si një skanues nga serveri.

Mjeti u zhvillua fillimisht, veçanërisht për Unix. Megjithatë, ai ka versione të palëve të treta që mund të përdoren në Linux, BSD, AIX, macOS, OSF, OpenVMS dhe Solaris. Clam AV bën një azhurnim automatik dhe të rregullt të bazës së të dhënave të tij, në mënyrë që të jetë në gjendje të zbulojë edhe kërcënimet më të fundit. Ai lejon skanimin e linjës komanduese dhe ka një demon të shkallëzuar me shumë fije për të përmirësuar shpejtësinë e skanimit.

Mund të kalojë nëpër lloje të ndryshme skedarësh për të zbuluar dobësitë. Ai mbështet të gjitha llojet e skedarëve të kompresuar, duke përfshirë RAR, Zip, Gzip, Tar, Kabinet, OLE2, CHM, format SIS, BinHex dhe pothuajse çdo lloj sistemi emaili.

LMD

Zbulimi i Malware Linux – ose LMD, për shkurt – është një tjetër antivirus i njohur për sistemet Linux, i krijuar posaçërisht rreth kërcënimeve që gjenden zakonisht në mjediset e pritura. Ashtu si shumë mjete të tjera që mund të zbulojnë malware dhe rootkits, LMD përdor një bazë të dhënash nënshkrimi për të gjetur ndonjë kod me qëllim të keq dhe duke e përfunduar shpejt atë.

LMD nuk kufizohet vetëm në bazën e të dhënave të nënshkrimit. Mund të shfrytëzojë bazat e të dhënave të ClamAV dhe Team Cymru për të gjetur edhe më shumë viruse. Për të populluar bazën e të dhënave të saj, LMD kap të dhëna kërcënuese nga sistemet e zbulimit të ndërhyrjeve në skaj të rrjetit. Duke e bërë këtë, është në gjendje të gjenerojë nënshkrime të reja për malware që përdoren në mënyrë aktive në sulme.

LMD mund të përdoret përmes linjës komanduese “maldet”. Mjeti është bërë posaçërisht për platformat Linux dhe mund të kërkojë me lehtësi përmes serverëve Linux.

Radare2

Radare2 (R2) është një kornizë për të analizuar binarët dhe për të bërë inxhinieri të kundërt me aftësi të shkëlqyera të zbulimit. Ai mund të zbulojë binarët e keqformuar, duke i dhënë përdoruesit mjetet për t’i menaxhuar ato, duke neutralizuar kërcënimet e mundshme. Ajo përdor sdb, e cila është një bazë e të dhënave NoSQL. Studiuesit e sigurisë së softuerëve dhe zhvilluesit e programeve preferojnë këtë mjet për aftësinë e tij të shkëlqyer për prezantimin e të dhënave.

Një nga karakteristikat e jashtëzakonshme të Radare2 është se përdoruesi nuk është i detyruar të përdorë linjën e komandës për të realizuar detyra të tilla si analiza statike / dinamike dhe shfrytëzimi i softverit. Rekomandohet për çdo lloj studimi mbi të dhënat binare.

OpenVAS

Sistemi i Vlerësimit të Vleresueshmërisë së Hapur, ose OpenVAS, është një sistem i pritur për skanimin e dobësive dhe menaxhimin e tyre. Isshtë krijuar për biznese të të gjitha madhësive, duke i ndihmuar ata të zbulojnë çështje të sigurisë të fshehura brenda infrastrukturës së tyre. Fillimisht, produkti njihej si GNessUs, derisa pronari i tij aktual, Greenbone Networks, ndryshoi emrin e tij në OpenVAS.

Që nga versioni 4.0, OpenVAS lejon azhurnimin e vazhdueshëm – në mënyrë të vazhdueshme në periudha më të vogël se 24 orë – të bazës së tij të Testimit të Vulnerabilitetit të Rrjetit (NVT). Që nga qershori 2016, ajo kishte më shumë se 47,000 NVT.

Ekspertët e sigurisë përdorin OpenVAS për shkak të aftësisë së tij për të skanuar shpejt. Ai gjithashtu përmban konfigurim të shkëlqyeshëm. Programet OpenVAS mund të përdoren nga një makinë virtuale e vetë-përmbajtur për të bërë hulumtime të sigurta për malware. Kodi i tij burimor është në dispozicion nën një licencë GNU GPL. Shumë mjete të tjera të zbulimit të cenueshmërisë varen nga OpenVAS – kjo është arsyeja pse merret si një program thelbësor në platformat e bazuara në Linux..

REMnux

REMnux përdor metoda të inxhinierisë së kundërt për të analizuar malware. Ai mund të zbulojë shumë çështje të bazuara në shfletues, të fshehura në copëzat e kodit të mbytur me JavaScript dhe aplikacionet Flash. Shtë gjithashtu i aftë të skanojë skedarët PDF dhe të kryejë forenzikën e kujtesës. Mjet ndihmon me zbulimin e programeve me qëllim të keq brenda dosjeve dhe skedarëve që nuk mund të skanohen lehtë me programet e tjera të zbulimit të virusit.

Isshtë efektiv për shkak të aftësive të tij të deshifrimit dhe inxhinierisë së kundërt. Mund të përcaktojë vetitë e programeve të dyshimta dhe për të qenë i lehtë, është shumë i padukshëm nga programet inteligjentë të këqij. Mund të përdoret si në Linux ashtu edhe në Windows, dhe funksionaliteti i tij mund të përmirësohet me ndihmën e mjeteve të tjera të skanimit.

tigër

Në 1992, Texas A&Universiteti M filloi të punojë në tigër për të rritur sigurinë e kompjuterave të tyre në kampus. Tani, është një program i njohur për platformat e ngjashme me Unix. Një gjë unike në lidhje me mjetin është se ai nuk është vetëm një mjet i kontrollit të sigurisë, por gjithashtu një sistem i zbulimit të ndërhyrjes.

Mjeti është i lirë për t’u përdorur nën një licencë GPL. Ai varet nga mjetet POSIX, dhe së bashku ata mund të krijojnë një kornizë të përsosur që mund të rrisë ndjeshëm sigurinë e serverit tuaj. Tiger është shkruar plotësisht në gjuhën e guaskës – kjo është një nga arsyet e efektivitetit të saj. Shtë i përshtatshëm për të kontrolluar statusin dhe konfigurimin e sistemit, dhe përdorimi i tij me shumë qëllime e bën atë shumë të popullarizuar në mesin e njerëzve që përdorin mjetet POSIX.

Maltrail

Maltrail është një sistem i zbulimit të trafikut i aftë për të mbajtur të pastër trafikun e serverit tuaj dhe për ta ndihmuar atë të shmangë çdo lloj kërcënimesh me qëllim të keq. Ajo e kryen atë detyrë duke krahasuar burimet e trafikut me faqet e listës së zezë të publikuar në internet.

Përveç kontrollit për vendet me listë të zezë, Ai gjithashtu përdor mekanizma të përparuar heuristikë për zbulimin e llojeve të ndryshme të kërcënimeve. Edhe pse është një tipar opsional, ai vjen në dispozicion kur mendoni se serveri juaj është sulmuar tashmë.

Ka një sensor të aftë për të zbuluar trafikun që merr një server dhe dërgimin e informacionit në serverin Maltrail. Sistemi i zbulimit verifikon nëse trafiku është mjaft i mirë për të shkëmbyer të dhëna midis një serveri dhe burimi.

YARA

Krijuar për Linux, Windows dhe macOS, YARA (Megjithatë, një akronim tjetër i tronditshëm) është një nga mjetet më thelbësore që përdoret për hulumtimin dhe zbulimin e programeve me qëllim të keq. Ai përdor modele tekstuale ose binare për të thjeshtuar dhe përshpejtuar procesin e zbulimit, duke rezultuar në një detyrë të shpejtë dhe të lehtë.

YARA ka disa veçori shtesë, por keni nevojë për bibliotekën OpenSSL për t’i përdorur ato. Edhe pse nuk e keni atë bibliotekë, mund të përdorni YARA për hulumtime themelore të malware përmes një motori të bazuar në rregull. Mund të përdoret gjithashtu në Sandbox Cuckoo, një sandbox me bazë në Python ideal për të bërë hulumtime të sigurta të programeve me qëllim të keq.

Si të zgjidhni mjetin më të mirë?

Të gjitha mjetet që kemi përmendur më lart funksionojnë shumë mirë, dhe kur një mjet është i njohur në mjediset Linux, mund të jeni mjaft i sigurt se mijëra përdorues me përvojë po e përdorin atë. Një gjë që administratorët e sistemit duhet ta kujtojnë është se çdo aplikacion zakonisht varet nga programet e tjera. Për shembull, kjo është rasti me ClamAV dhe OpenVAS.

Ju duhet të kuptoni se çfarë i nevojitet sistemit tuaj dhe në cilat fusha mund të ketë dobësi. Së pari, përdorni një mjet të lehtë për të studiuar se çfarë pjese ka nevojë për vëmendje. Pastaj përdorni mjetin e duhur për të zgjidhur problemin.

TAGS:

  • Linux

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map