5 Tools zum Scannen eines Linux-Servers auf Malware und Rootkits
Auf Linux-Servern kommt es ständig zu starken Angriffen und Port-Scans. Eine ordnungsgemäß konfigurierte Firewall und regelmäßige Aktualisierungen des Sicherheitssystems sorgen für eine zusätzliche Ebene, um die Sicherheit des Systems zu gewährleisten. Sie sollten jedoch auch regelmäßig darauf achten, ob sich jemand eindringt. Das wird der Fall sein Außerdem tragen Sie dazu bei, sicherzustellen, dass Ihr Server frei von Programmen bleibt, die darauf abzielen, seinen normalen Betrieb zu stören.
Die in diesem Artikel vorgestellten Tools wurden für diese Sicherheitsscans entwickelt und sind in der Lage, Viren, Malware, Rootkits und bösartige Programme zu identifizieren Verhaltensweisen. Mit diesen Tools können Sie regelmäßige Systemscans durchführen, z. B. jede Nacht und senden Sie Berichte an Ihre E-Mail-Adresse.
1. Lynis – Sicherheitsüberwachung und Rootkit-Scanner
Lynis ist ein kostenloses, quelloffenes, leistungsstarkes und beliebtes Sicherheitsüberwachungs- und Scan-Tool für Unix/Linux-ähnliche Betriebssysteme. Es handelt sich um ein Malware-Scan- und Schwachstellenerkennungstool, das Systeme auf Sicherheitsinformationen und -probleme, Dateiintegrität und Konfigurationsfehler überprüft. Führt Firewall-Überprüfungen durch, überprüft installierte Software, Datei-/Verzeichnisberechtigungen und vieles mehr.
Wichtig ist, dass es nicht automatisch eine Systemhärtung durchführt, sondern lediglich Vorschläge macht, die es Ihnen ermöglichen, Ihren Server zu härten.
Wir werden die neueste Version von Lynis (d. h. 3.0.9) aus den Quellen installieren, indem wir die folgenden Befehle verwenden.
cd /opt/
sudo wget https://downloads.cisofy.com/lynis/lynis-3.0.9.tar.gz
sudo tar xvzf lynis-3.0.9.tar.gz
sudo mv lynis /usr/local/
sudo ln -s /usr/local/lynis/lynis /usr/local/bin/lynis
Jetzt können Sie Ihren Systemscan mit dem folgenden Befehl durchführen.
sudo lynis audit system
Damit lynis jede Nacht automatisch ausgeführt wird, fügen Sie den folgenden Cron-Eintrag hinzu, der um 3 Uhr morgens ausgeführt wird und Berichte an Ihre E-Mail-Adresse sendet.
0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server" [email
2. Chkrootkit – Ein Linux-Rootkit-Scanner
Chkrootkit ist außerdem ein weiterer kostenloser Open-Source-Rootkit-Detektor, der auf Unix-ähnlichen Systemen lokal nach Anzeichen eines Rootkits sucht. Es hilft, versteckte Sicherheitslücken zu erkennen.
Das chkrootkit-Paket besteht aus einem Shell-Skript, das Systembinärdateien auf Rootkit-Änderungen überprüft, und einer Reihe von Programmen, die verschiedene Sicherheitsprobleme prüfen.
Das Tool chkrootkit kann mit dem folgenden Befehl auf Debian-basierten Systemen installiert werden.
sudo apt install chkrootkit
Auf RHEL-basierten Systemen müssen Sie es mit den folgenden Befehlen aus Quellen installieren.
sudo yum update
sudo yum install wget gcc-c++ glibc-static
sudo wget -c ftp://ftp.chkrootkit.org/pub/seg/pac/chkrootkit.tar.gz
sudo tar –xzf chkrootkit.tar.gz
sudo mkdir /usr/local/chkrootkit
sudo mv chkrootkit-0.58b/* /usr/local/chkrootkit
cd /usr/local/chkrootkit
sudo make sense
Um Ihren Server mit Chkrootkit zu überprüfen, führen Sie den folgenden Befehl aus.
sudo chkrootkit
OR
sudo /usr/local/chkrootkit/chkrootkit
Nach der Ausführung beginnt die Überprüfung Ihres Systems auf bekannte Malware und Rootkits. Nach Abschluss des Vorgangs können Sie die Zusammenfassung des Berichts anzeigen.
Um Chkrootkit jede Nacht automatisch auszuführen, fügen Sie den folgenden Cron-Eintrag hinzu, der um 3 Uhr morgens ausgeführt wird und Berichte an Ihre E-Mail-Adresse sendet.
0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server" [email
3. Rkhunter – Ein Linux-Rootkit-Scanner
RootKit Hunter ist ein kostenloses, leistungsstarkes, benutzerfreundliches und bekanntes Open-Source-Tool zum Scannen von Hintertüren, Rootkits und lokalen Exploits auf POSIX-kompatiblen Systemen wie Linux.
Wie der Name schon sagt, handelt es sich um einen Rootkit-Jäger, ein Sicherheitsüberwachungs- und Analysetool, das ein System gründlich untersucht, um versteckte Sicherheitslücken zu erkennen.
Das Tool rkhunter kann mit dem folgenden Befehl auf Ubuntu- und RHEL-basierten Systemen installiert werden.
sudo apt install rkhunter [On Debian systems]
sudo yum install rkhunter [On RHEL systems]
Um Ihren Server mit rkhunter zu überprüfen, führen Sie den folgenden Befehl aus.
sudo rkhunter -c
Um rkhunter jede Nacht automatisch auszuführen, fügen Sie den folgenden Cron-Eintrag hinzu, der um 3 Uhr morgens ausgeführt wird und Berichte an Ihre E-Mail-Adresse sendet.
0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server" [email
4. ClamAV – Antiviren-Software-Toolkit
ClamAV ist eine vielseitige, beliebte und plattformübergreifende Open-Source-Antiviren-Engine zur Erkennung von Viren, Malware, Trojanern und anderen Schadprogrammen auf einem Computer.
Es ist eines der besten kostenlosen Antivirenprogramme für Linux und der Open-Source-Standard für Mail-Gateway-Scan-Software, der fast alle Mail-Dateiformate unterstützt.
Es unterstützt Virendatenbank-Updates auf allen Systemen und On-Access-Scans nur unter Linux. Darüber hinaus kann es in Archiven und komprimierten Dateien scannen und unterstützt unter anderem Formate wie Zip, Tar, 7Zip und Rar sowie weitere Funktionen.
Das ClamAV kann mit dem folgenden Befehl auf Debian-basierten Systemen installiert werden.
sudo apt install clamav
Das ClamAV kann mit dem folgenden Befehl auf RHEL-basierten Systemen installiert werden.
sudo yum -y update
sudo -y install clamav
Nach der Installation können Sie die Signaturen aktualisieren und ein Verzeichnis mit den folgenden Befehlen scannen.
freshclam
sudo clamscan -r -i DIRECTORY
Dabei ist VERZEICHNIS der zu scannende Speicherort. Die Optionen -r bedeuten rekursives Scannen und -i bedeutet, dass nur infizierte Dateien angezeigt werden.
5. LMD – Linux Malware Detect
LMD (Linux Malware Detect) ist ein Open-Source-, leistungsstarker und voll ausgestatteter Malware-Scanner für Linux, der speziell für gemeinsam gehostete Umgebungen entwickelt wurde, aber zur Erkennung von Bedrohungen auf jedem Linux-System verwendet werden kann. Für eine bessere Leistung kann es in die ClamAV-Scanner-Engine integriert werden.
Es bietet ein vollständiges Berichtssystem zur Anzeige aktueller und früherer Scanergebnisse, unterstützt E-Mail-Benachrichtigungsberichte nach jeder Scanausführung und viele andere nützliche Funktionen.
Informationen zur Installation und Verwendung von LMD finden Sie in unserem Artikel „So installieren Sie LMD mit ClamAV als Antiviren-Engine unter Linux“.
Das ist alles für jetzt! In diesem Artikel haben wir eine Liste von 5 Tools zum Scannen eines Linux-Servers auf Malware und Rootkits veröffentlicht. Teilen Sie uns Ihre Meinung im Kommentarbereich mit.