11 Εργαλεία για σάρωση διακομιστή Linux για σφάλματα ασφαλείας και κακόβουλα προγράμματα

Παρόλο που τα συστήματα που βασίζονται στο Linux συχνά θεωρούνται αδιαπέραστα, υπάρχουν ακόμα κίνδυνοι που πρέπει να ληφθούν σοβαρά υπόψη.


Rootkits, ιοί, ransomware και πολλά άλλα επιβλαβή προγράμματα μπορούν συχνά να επιτεθούν και να προκαλέσουν προβλήματα στους διακομιστές Linux.

Ανεξάρτητα από το λειτουργικό σύστημα, η λήψη μέτρων ασφαλείας είναι απαραίτητη για τους διακομιστές. Μεγάλες μάρκες και οργανισμοί έχουν λάβει τα μέτρα ασφαλείας στα χέρια τους και ανέπτυξαν εργαλεία που όχι μόνο ανιχνεύουν ελαττώματα και κακόβουλα προγράμματα, αλλά και διορθώνουν και λαμβάνουν προληπτικά μέτρα.

Ευτυχώς, υπάρχουν διαθέσιμα εργαλεία σε χαμηλή τιμή ή δωρεάν που μπορούν να βοηθήσουν σε αυτήν τη διαδικασία. Μπορούν να εντοπίσουν ελαττώματα σε διαφορετικά τμήματα ενός διακομιστή που βασίζεται σε Linux.

Λύνη

Λύνη είναι ένα διάσημο εργαλείο ασφάλειας και μια προτιμώμενη επιλογή για ειδικούς στο Linux. Λειτουργεί επίσης σε συστήματα που βασίζονται σε Unix και macOS. Πρόκειται για μια εφαρμογή λογισμικού ανοιχτού κώδικα που χρησιμοποιείται από το 2007 με άδεια GPL.

Η Lynis είναι ικανή να ανιχνεύει τρύπες ασφαλείας και ελαττώματα διαμόρφωσης. Αλλά υπερβαίνει αυτό: αντί να αποκαλύπτει μόνο τις ευπάθειες, προτείνει διορθωτικές ενέργειες. Γι ‘αυτό, για να λάβετε λεπτομερείς αναφορές ελέγχου, είναι απαραίτητο να το εκτελέσετε στο κεντρικό σύστημα.

Η εγκατάσταση δεν είναι απαραίτητη για τη χρήση του Lynis. Μπορείτε να το εξαγάγετε από ένα πακέτο που έχετε κατεβάσει ή ένα tarball και να το εκτελέσετε. Μπορείτε επίσης να το πάρετε από έναν κλώνο Git για να έχετε πρόσβαση στην πλήρη τεκμηρίωση και τον πηγαίο κώδικα.

Το Lynis δημιουργήθηκε από τον αρχικό συγγραφέα του Rkhunter, Michael Boelen. Διαθέτει δύο τύπους υπηρεσιών που βασίζονται σε άτομα και επιχειρήσεις. Σε κάθε περίπτωση, έχει εξαιρετική απόδοση.

Chkrootkit

Όπως ίσως έχετε ήδη μαντέψει, το chkrootkit είναι ένα εργαλείο για τον έλεγχο της ύπαρξης rootkit. Τα Rootkits είναι ένας τύπος κακόβουλου λογισμικού που μπορεί να δώσει πρόσβαση στο διακομιστή σε μη εξουσιοδοτημένο χρήστη. Εάν χρησιμοποιείτε διακομιστή που βασίζεται σε Linux, τα rootkits μπορεί να είναι πρόβλημα.

Το chkrootkit είναι ένα από τα πιο χρησιμοποιημένα προγράμματα που βασίζονται στο Unix και μπορούν να εντοπίσουν rootkit. Χρησιμοποιεί «συμβολοσειρές» και «grep» (εντολές εργαλείου Linux) για τον εντοπισμό προβλημάτων.

Μπορεί να χρησιμοποιηθεί είτε από έναν εναλλακτικό κατάλογο είτε από έναν δίσκο διάσωσης, σε περίπτωση που θέλετε να επαληθεύσετε ένα ήδη παραβιασμένο σύστημα. Τα διάφορα στοιχεία του Chkrootkit φροντίζουν να αναζητούν διαγραμμένες καταχωρήσεις στα αρχεία “wtmp” και “lastlog”, να βρίσκουν αρχεία καταγραφής ή αρχεία διαμόρφωσης rootkit και να ελέγχουν για κρυφές καταχωρήσεις στο “/ proc” ή κλήσεις στο πρόγραμμα “readdir”.

Για να χρησιμοποιήσετε το chkrootkit, θα πρέπει να λάβετε την πιο πρόσφατη έκδοση από έναν διακομιστή, να εξαγάγετε τα αρχεία προέλευσης, να τα μεταγλωττίσετε και να είστε έτοιμοι να ξεκινήσετε.

Rkhunter

Ο προγραμματιστής Micheal Boelen ήταν το άτομο πίσω από την παραγωγή Rkhunter (Rootkit Hunter) το 2003. Είναι ένα κατάλληλο εργαλείο για συστήματα POSIX και μπορεί να βοηθήσει στην ανίχνευση rootkit και άλλων τρωτών σημείων. Το Rkhunter διερευνά διεξοδικά αρχεία (είτε κρυμμένα είτε ορατά), προεπιλεγμένους καταλόγους, λειτουργικές μονάδες πυρήνα και δικαιώματα που δεν έχουν ρυθμιστεί σωστά.

Μετά από έναν τακτικό έλεγχο, τις συγκρίνει με την ασφαλή και σωστή εγγραφή βάσεων δεδομένων και αναζητά ύποπτα προγράμματα. Δεδομένου ότι το πρόγραμμα είναι γραμμένο στο Bash, δεν μπορεί να εκτελεστεί μόνο σε υπολογιστές Linux αλλά και σε σχεδόν οποιαδήποτε έκδοση του Unix.

ClamAV

Γράφτηκε σε Γ++, ClamAV είναι ένα λογισμικό προστασίας από ιούς ανοιχτού κώδικα που μπορεί να βοηθήσει στην ανίχνευση ιών, trojans και πολλών άλλων τύπων κακόβουλου λογισμικού. Είναι ένα εντελώς δωρεάν εργαλείο, γι ‘αυτό πολλοί άνθρωποι το χρησιμοποιούν για να σαρώσουν τις προσωπικές τους πληροφορίες, συμπεριλαμβανομένων των email, για κάθε είδους κακόβουλα αρχεία. Λειτουργεί επίσης σημαντικά ως σαρωτής από διακομιστή.

Το εργαλείο αναπτύχθηκε αρχικά, ειδικά για το Unix. Ωστόσο, έχει εκδόσεις τρίτων που μπορούν να χρησιμοποιηθούν σε Linux, BSD, AIX, macOS, OSF, OpenVMS και Solaris. Το Clam AV πραγματοποιεί μια αυτόματη και τακτική ενημέρωση της βάσης δεδομένων του, προκειμένου να μπορεί να εντοπίζει ακόμη και τις πιο πρόσφατες απειλές. Επιτρέπει τη σάρωση της γραμμής εντολών και έχει έναν επεκτάσιμο δακτύλιο πολλαπλών νημάτων για τη βελτίωση της ταχύτητας σάρωσης.

Μπορεί να περάσει από διαφορετικά είδη αρχείων για να εντοπίσει ευπάθειες. Υποστηρίζει όλα τα είδη συμπιεσμένων αρχείων, συμπεριλαμβανομένων των RAR, Zip, Gzip, Tar, Cabinet, OLE2, CHM, SIS format, BinHex και σχεδόν οποιοδήποτε είδος συστήματος email.

LMD

Ανίχνευση κακόβουλου λογισμικού Linux – ή LMD, για συντομία – είναι ένα άλλο διάσημο antivirus για συστήματα Linux, ειδικά σχεδιασμένο γύρω από τις απειλές που εντοπίζονται συνήθως σε φιλοξενούμενα περιβάλλοντα. Όπως πολλά άλλα εργαλεία που μπορούν να εντοπίσουν κακόβουλα προγράμματα και rootkit, το LMD χρησιμοποιεί μια βάση δεδομένων υπογραφής για να βρει οποιονδήποτε κακόβουλο κώδικα εκτέλεσης και να τον τερματίσει γρήγορα.

Το LMD δεν περιορίζεται στη δική του βάση δεδομένων υπογραφής. Μπορεί να αξιοποιήσει τις βάσεις δεδομένων ClamAV και Team Cymru για να βρει ακόμη περισσότερους ιούς. Για να συμπληρώσει τη βάση δεδομένων του, το LMD συλλαμβάνει δεδομένα απειλών από συστήματα ανίχνευσης εισβολών άκρων δικτύου Με αυτόν τον τρόπο, μπορεί να δημιουργήσει νέες υπογραφές για κακόβουλο λογισμικό που χρησιμοποιείται ενεργά σε επιθέσεις.

Το LMD μπορεί να χρησιμοποιηθεί μέσω της γραμμής εντολών “maldet”. Το εργαλείο είναι ειδικά κατασκευασμένο για πλατφόρμες Linux και μπορεί εύκολα να πραγματοποιήσει αναζήτηση μέσω διακομιστών Linux.

Radare2

Radare2 (R2) είναι ένα πλαίσιο για την ανάλυση δυαδικών αρχείων και για την αντίστροφη μηχανική με εξαιρετικές δυνατότητες ανίχνευσης. Μπορεί να εντοπίσει δυαδικά παραμορφωμένα αρχεία, δίνοντας στον χρήστη τα εργαλεία για τη διαχείρισή τους, εξουδετερώνοντας πιθανές απειλές. Χρησιμοποιεί το sdb, το οποίο είναι μια βάση δεδομένων NoSQL. Οι ερευνητές ασφάλειας λογισμικού και οι προγραμματιστές λογισμικού προτιμούν αυτό το εργαλείο για την εξαιρετική ικανότητα παρουσίασης δεδομένων.

Ένα από τα εξαιρετικά χαρακτηριστικά του Radare2 είναι ότι ο χρήστης δεν υποχρεούται να χρησιμοποιήσει τη γραμμή εντολών για την εκτέλεση εργασιών όπως στατική / δυναμική ανάλυση και εκμετάλλευση λογισμικού. Συνιστάται για κάθε τύπο έρευνας για δυαδικά δεδομένα.

OpenVAS

Ανοίξτε το σύστημα αξιολόγησης ευπάθειας ή OpenVAS, είναι ένα φιλοξενούμενο σύστημα για τη σάρωση τρωτών σημείων και τη διαχείρισή τους. Έχει σχεδιαστεί για επιχειρήσεις όλων των μεγεθών, βοηθώντας τους να εντοπίσουν ζητήματα ασφαλείας που κρύβονται στις υποδομές τους. Αρχικά, το προϊόν ήταν γνωστό ως GNessUs, έως ότου ο τωρινός ιδιοκτήτης του, Greenbone Networks, άλλαξε το όνομά του σε OpenVAS.

Από την έκδοση 4.0, το OpenVAS επιτρέπει τη συνεχή ενημέρωση – συνήθως σε περιόδους μικρότερες από 24 ώρες – της βάσης δοκιμής ευπάθειας δικτύου (NVT). Από τον Ιούνιο του 2016, είχε περισσότερα από 47.000 NVT.

Οι ειδικοί ασφαλείας χρησιμοποιούν το OpenVAS λόγω της δυνατότητάς του να πραγματοποιεί γρήγορη σάρωση. Διαθέτει επίσης εξαιρετική διαμόρφωση. Τα προγράμματα OpenVAS μπορούν να χρησιμοποιηθούν από μια αυτόνομη εικονική μηχανή για ασφαλή έρευνα κακόβουλου λογισμικού. Ο πηγαίος κώδικας του είναι διαθέσιμος με άδεια GNU GPL. Πολλά άλλα εργαλεία ανίχνευσης ευπάθειας εξαρτώνται από το OpenVAS – αυτός είναι ο λόγος που λαμβάνεται ως βασικό πρόγραμμα σε πλατφόρμες που βασίζονται σε Linux.

REMnux

REMnux χρησιμοποιεί μεθόδους αντίστροφης μηχανικής για την ανάλυση κακόβουλου λογισμικού. Μπορεί να εντοπίσει πολλά ζητήματα που βασίζονται στο πρόγραμμα περιήγησης, κρυμμένα σε αποσπασμένα αποσπάσματα κώδικα JavaScript και μικροεφαρμογές Flash. Είναι επίσης ικανό να σαρώσει αρχεία PDF και να εκτελέσει εγκληματολογία μνήμης. Το εργαλείο βοηθά στην ανίχνευση κακόβουλων προγραμμάτων σε φακέλους και αρχεία που δεν μπορούν να σαρωθούν εύκολα με άλλα προγράμματα εντοπισμού ιών.

Είναι αποτελεσματικό λόγω των δυνατοτήτων αποκωδικοποίησης και αντίστροφης μηχανικής. Μπορεί να προσδιορίσει τις ιδιότητες ύποπτων προγραμμάτων και επειδή είναι ελαφρύ, είναι πολύ ανιχνεύσιμο από έξυπνα κακόβουλα προγράμματα. Μπορεί να χρησιμοποιηθεί τόσο σε Linux όσο και σε Windows, και η λειτουργικότητά του μπορεί να βελτιωθεί με τη βοήθεια άλλων εργαλείων σάρωσης.

Τίγρη

Το 1992, Texas A.&Το Πανεπιστήμιο M άρχισε να εργάζεται Τίγρη για να αυξήσουν την ασφάλεια των υπολογιστών τους. Τώρα, είναι ένα δημοφιλές πρόγραμμα για πλατφόρμες τύπου Unix. Ένα μοναδικό πράγμα για το εργαλείο είναι ότι δεν είναι μόνο ένα εργαλείο ελέγχου ασφάλειας αλλά και ένα σύστημα εντοπισμού εισβολών.

Το εργαλείο είναι δωρεάν για χρήση με άδεια GPL. Εξαρτάται από τα εργαλεία POSIX και μαζί μπορούν να δημιουργήσουν ένα τέλειο πλαίσιο που μπορεί να αυξήσει σημαντικά την ασφάλεια του διακομιστή σας. Το Tiger είναι γραμμένο εξ ολοκλήρου σε γλώσσα κέλυφος – αυτός είναι ένας από τους λόγους για την αποτελεσματικότητά του. Είναι κατάλληλο για έλεγχο της κατάστασης και της διαμόρφωσης του συστήματος και η χρήση πολλαπλών χρήσεων το καθιστά πολύ δημοφιλές μεταξύ των ατόμων που χρησιμοποιούν εργαλεία POSIX.

Maltrail

Maltrail είναι ένα σύστημα εντοπισμού κυκλοφορίας ικανό να διατηρεί την κυκλοφορία του διακομιστή σας καθαρή και να τον βοηθά στην αποφυγή κάθε είδους κακόβουλης απειλής. Εκτελεί αυτήν την εργασία συγκρίνοντας τις πηγές επισκεψιμότητας με ιστότοπους που έχουν μαύρη λίστα και δημοσιεύονται στο Διαδίκτυο.

Εκτός από τον έλεγχο ιστότοπων με μαύρη λίστα, χρησιμοποιεί επίσης προηγμένους ευρετικούς μηχανισμούς για την ανίχνευση διαφορετικών ειδών απειλών. Παρόλο που είναι προαιρετικό χαρακτηριστικό, είναι χρήσιμο όταν πιστεύετε ότι ο διακομιστής σας έχει ήδη επιτεθεί.

Διαθέτει έναν αισθητήρα ικανό να ανιχνεύει την κίνηση που λαμβάνει ένας διακομιστής και να στέλνει τις πληροφορίες στον διακομιστή Maltrail. Το σύστημα ανίχνευσης επαληθεύει εάν η κίνηση είναι αρκετά καλή για την ανταλλαγή δεδομένων μεταξύ διακομιστή και πηγής.

ΓΙΑΡΑ

Κατασκευασμένο για Linux, Windows και macOS, ΓΙΑΡΑ (Ακόμα ένα γελοίο αρκτικόλεξο) είναι ένα από τα πιο απαραίτητα εργαλεία που χρησιμοποιούνται για την έρευνα και τον εντοπισμό κακόβουλων προγραμμάτων. Χρησιμοποιεί κείμενα ή δυαδικά μοτίβα για να απλοποιήσει και να επιταχύνει τη διαδικασία ανίχνευσης, με αποτέλεσμα μια γρήγορη και εύκολη εργασία.

Το YARA έχει κάποιες επιπλέον δυνατότητες, αλλά χρειάζεστε τη βιβλιοθήκη OpenSSL για να τις χρησιμοποιήσετε. Ακόμα κι αν δεν έχετε αυτήν τη βιβλιοθήκη, μπορείτε να χρησιμοποιήσετε το YARA για βασική έρευνα για κακόβουλα προγράμματα μέσω μιας μηχανής που βασίζεται σε κανόνες. Μπορεί επίσης να χρησιμοποιηθεί στο Cuckoo Sandbox, ένα sandbox με βάση το Python ιδανικό για ασφαλή έρευνα κακόβουλου λογισμικού.

Πώς να επιλέξετε το καλύτερο εργαλείο?

Όλα τα εργαλεία που αναφέραμε παραπάνω λειτουργούν πολύ καλά και όταν ένα εργαλείο είναι δημοφιλές σε περιβάλλοντα Linux, μπορείτε να είστε σίγουροι ότι χιλιάδες έμπειροι χρήστες το χρησιμοποιούν. Ένα πράγμα που πρέπει να θυμούνται οι διαχειριστές συστήματος είναι ότι κάθε εφαρμογή εξαρτάται συνήθως από άλλα προγράμματα. Για παράδειγμα, αυτό συμβαίνει με τα ClamAV και OpenVAS.

Πρέπει να καταλάβετε τι χρειάζεται το σύστημά σας και σε ποιους τομείς μπορεί να έχει ευπάθειες. Πρώτον, χρησιμοποιήστε ένα ελαφρύ εργαλείο για να ερευνήσετε ποια ενότητα χρειάζεται προσοχή. Στη συνέχεια, χρησιμοποιήστε το κατάλληλο εργαλείο για να λύσετε το πρόβλημα.

Ετικέτες:

  • Linux

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map