5扫描Linux服务器以查找恶意软件和Rootkit的工具

本文中介绍的工具是为这些安全扫描创建的,它们能够识别病毒,恶意软件,Rootkit和恶意行为。

在Linux服务器上始终存在高水平的高攻击和端口扫描,而正确配置的防火墙和常规安全系统更新增加了额外的层以保证系统安全,但是您还应经常观察是否有人进入。这将还有助于确保您的服务器不受任何旨在破坏其正常运行的程序的影响。

本文中介绍的工具是为这些安全扫描创建的,它们能够识别病毒,恶意软件,Rootkit和恶意行为。 您可以使用这些工具定期进行系统扫描,例如每晚和邮件报告到您的电子邮件地址。

1. Lynis - 安全审计和Rootkit扫描程序

Lynis是一个免费的,开源的,功能强大且流行的安全审计和扫描工具,适用于类Unix / Linux操作系统。 它是一种恶意软件扫描和漏洞检测工具,可扫描系统以查找安全信息和问题,文件完整性,配置错误; 执行防火墙审核,检查已安装的软件,文件/目录权限等等。

重要的是,它不会自动执行任何系统强化,但是,它只是提供了使您能够强化服务器的建议

我们将使用以下命令从源代码安装最新版本的Lynis (即2.6.6 )。

# cd /opt/
# wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz
# tar xvzf lynis-2.6.6.tar.gz
# mv lynis /usr/local/
# ln -s /usr/local/lynis/lynis /usr/local/bin/lynis

现在,您可以使用以下命令执行系统扫描。

# lynis audit system
Lynis Linux安全审计工具

Lynis Linux安全审计工具

要在每晚自动运行Lynis ,请添加以下cron条目,该条目将在凌晨3点运行并将报告发送到您的电子邮件地址。

0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server" [email protected]

2. Chkrootkit - Linux Rootkit扫描程序

Chkrootkit也是另一个免费的开源rootkit检测器,可以在类Unix系统上本地检查rootkit的迹象。 它有助于检测隐藏的安全漏洞。 chkrootkit包由一个shell脚本和一些检查各种安全问题的程序组成,该脚本检查系统二进制文件以进行rootkit修改。

可以在基于Debian的系统上使用以下命令安装chkrootkit工具。

$ sudo apt install chkrootkit

在基于CentOS的系统上,您需要使用以下命令从源安装它。

# yum update
# yum install wget gcc-c++ glibc-static
# wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
# tar –xzf chkrootkit.tar.gz
# mkdir /usr/local/chkrootkit
# mv chkrootkit-0.52/* /usr/local/chkrootkit
# cd /usr/local/chkrootkit
# make sense

要使用Chkrootkit检查服务器, 运行以下命令。

$ sudo chkrootkit 
OR
# /usr/local/chkrootkit/chkrootkit

运行后,它将开始检查系统中是否存在已知的恶意软件和Rootkit,并在完成此过程后,您可以看到报告摘要。

要在每晚自动运行Chkrootkit ,请添加以下cron条目,该条目将在凌晨3点运行并将报告发送到您的电子邮件地址。

0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server" [email protected]

Rkhunter - Linux Rootkit扫描仪

RKH(RootKit Hunter)是一个免费的,开源的,功能强大,易于使用且众所周知的工具,用于扫描兼容POSIX的系统(如Linux)上的后门程序,rootkit和本地漏洞。 顾名思义,它是一个rootkit猎人,安全监控和分析工具,它彻底检查系统以检测隐藏的安全漏洞。

可以在基于Ubuntu和CentOS的系统上使用以下命令安装rkhunter工具。

$ sudo apt install rkhunter
# yum install epel-release
# yum install rkhunter

要使用rkhunter检查服务器,请运行以下命令。

# rkhunter -c

要在每晚自动运行rkhunter ,请添加以下cron条目,该条目将在凌晨3点运行并将报告发送到您的电子邮件地址。

0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server" [email protected]

4. ClamAV - 防病毒软件工具包

ClamAV是一种开源,通用,流行和跨平台的防病毒引擎,用于检测计算机上的病毒,恶意软件,特洛伊木马和其他恶意程序。 它是针对Linux的最佳免费防病毒程序之一,也是支持几乎所有邮件文件格式的邮件网关扫描软件的开源标准。

它支持所有系统上的病毒数据库更新和仅在Linux上的按访问扫描。 此外,它还可以在档案和压缩文件中进行扫描,并支持Zip,Tar,7Zip,Rar等格式以及更多其他功能。

可以在基于Debian的系统上使用以下命令安装ClamAV

$ sudo apt-get install clamav

可以在基于CentOS的系统上使用以下命令安装ClamAV

# yum -y update
# yum -y install clamav

安装后,您可以使用以下命令更新签名并扫描目录。

# freshclam
# clamscan -r -i DIRECTORY

DIRECTORY是扫描的位置。 选项-r表示递归扫描, -i表示仅显示受感染文件。

5. LMD - Linux恶意软件检测

LMD(Linux恶意软件检测)是一个开源,功能强大且功能齐全的恶意软件扫描程序,专门针对Linux而设计并针对共享托管环境,但可用于检测任何Linux系统上的威胁。 它可以与ClamAV扫描仪引擎集成,以获得更好的性能。

它提供了完整的报告系统,可以查看当前和以前的扫描结果,支持每次扫描执行后的电子邮件警报报告以及许多其他有用的功能。

有关LMD的安装和使用,请阅读我们的文章如何使用ClamAV作为防病毒引擎安装和使用Linux恶意软件检测(LMD)

目前为止就这样了! 在本文中,我们共享了5个工具列表,用于扫描Linux服务器以查找恶意软件和rootkit。 请在评论部分告诉我们您的想法。


分享按钮