سیستم عامل لینوکسمقالات وب
ابزارهایی که می توان از آنها برای اسکن ویروسهای سرورهای لینوکسی استفاده کرد
سرورهایی که به اینترنت وصل می شوند ممکن است به طور مداوم در خطر حمله قرار داشته باشند و به همین خاطر ادمین سرورها باید به طور منظم چنین مواردی را اسکن و بررسی نمایند. با اینکه فایروال ها و به روزرسانی معمول و منظم سیستم ها می تواند گزینه دفاعی خوبی برای امن نگه داشتن سیستم ها باشد اما شما باید به طور منظم سرور خود را مورد بررسی قرار دهید تا مطمئن شوید حمله ای به آن انجام نشده است. ابزارهایی که در این مقاله به توضیح آن ها خواهیم پرداخت برای چنین تست هایی طراحی شده اند و می توانند سرور شما را برای بدافزارها، ویروس ها و روت کیت ها بررسی نمایند. این ابزارها باید به طور منظم مثلا هر شب اجرا شوند و گزارش آن ها از طریق ایمیل برایتان ارسال گردد. شما می توانید برای اسکن سیستم خود به هنگام بروز فعالیت های مشکوک همچون لود بالا، فرآیندهای مشکوک یا زمانی که سرور به طرو ناگهانی شروع به ارسال بدافزار می کند از مواردی همچون Chkrootkit, Rkhunter و ISPProtect استفاده کنید. همه این اسکنرها باید به عنوان کاربر روت اجرا شوند. قبل از اینکه بخواهید بر روی سیستم خود کار را آغاز کنید به صورت کاربر روت وارد آن شوید. سپس به اجرای این اسکنرها بپردازید. در این مقاله قصد داریم این ابزارها را با جزییات بیشتری مورد بررسی قرار دهیم. پس همراه وب ایده باشید.
ابزار chkrootkit: اسکنر روت کیت لینوکس
chkrootkit یک اسکنر کلاسیک برای روت کیتهاست. این ابزار سرور شما را برای فرایندهای روت کیت مشکوک بررسی می کند و به دنبال فایل روت کیت های شناخته شده می گردد. شما می توانید پکیجی که به همراه توزیع تان ارائه شده است را نصب کنید. بر روی دبیان و ابونتو می توانید دستور زیر را اجرا نمایید.
1 | apt-get install chkrootkit |
با اینکه سورس آن را از سایت chkrootkit.org دانلود کنید و به صورت دستی آن را نصب نمایید:
1 2 3 4 | wget --passive-ftp ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz tar xvfz chkrootkit.tar.gz cd chkrootkit-*/ make sense |
بعد از انجام اینکار می توانید دایرکتوری chkrootkit به جای دیگری همچون /usr/local/chkrootkit انتقال دهید.
1 2 | cd .. mv chkrootkit-<version>/ /usr/local/chkrootkit |
حالا یک Symlink برای دسترسی اسان ایجاد نمایید. برای اینکار از دستور زیر بهره بگیرید:
1 | ln -s /usr/local/chkrootkit/chkrootkit /usr/local/bin/chkrootkit |
برای اینکه بتوانید سرور خود را با این ابزار مورد بررسی قرار دهید دستور زیر را اجرا نمایید:
1 | chkrootkit |
یکی از گزارش های مثبت کاذب رایج به شکل زیر است:
1 | Checking `bindshell'... INFECTED (PORTS: 465) |
زمانی که چنین پیامی را بر روی سرور ایمیلی خود دریافت می کنید زیاد نگران نباشید. این پورت SMTPS سیستم ایمیلی شماست و به عنوان مثبت کاذب شناخته می شود. همچنین می توانید chkrootkit را به کمک cron job هم اجرا نمایید و نتایج را به صورت ایمیل دریافت کنید.
قبل از هر کاری باید جایی که chkrootkit بر روی سرورتان نصب شده است را به کمک دستور زیر پیدا کنید.
1 | which chkrootkit |
نمونه خروجی:
1 2 | root@server1:/tmp/chkrootkit-0.50# which chkrootkit /usr/sbin/chkrootkit |
همانطور که می بینید این ابزار در مسیر /usr/sbin/chkrootkit نصب شده است. ما به این مسیر در خط cron زیر نیاز داریم. دستور زیر را اجرا کنید:
1 | crontab -e |
برای ایجاد cron job ای همچون مورد زیر:
1 | 0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit output of my server" you@yourdomain.com) |
این گزینه به ابزار کمک می کند هر شب ساعت ۳٫۰۰ سرور شما را بررسی کند. مسیر این ابزار را با مسیری که از دستور بالا دریافت کرده اید جایگزین نمایید و آدرس ایمیل خود را وارد کنید.
ابزار Lynis: ابزار بررسی جامع و اسکنر روت کیت
این ابزار یکی از ابزارهای بررسی امنیت برای سیستم های لینوکسی و مبتنی بر BSD است. این ابزار بررسی دقیقی از جوانب امنیتی و پیکربندی های سیستم شما انجام می دهد. می توانید سورس این ابزار را از سایت آن دانلود کنید:
1 2 3 4 5 | cd /tmp wget https://cisofy.com/files/lynis-2.6.8.tar.gz tar xvfz lynis-2.6.8.tar.gz mv lynis /usr/local/ ln -s /usr/local/lynis/lynis /usr/local/bin/lynis |
این گزینه ابزار مدنظر را به دایرکتوری /usr/local/lynis نصب می کند و یک Symlink برای دسترسی اسان ایجاد می نماید. دستور زیر را اجرا کنید تا ببینید اخرین نسخه از آن را دارید یا خیر.
1 | lynis update info |
حالا می توانید سیستم خود را به کمک دستور زیر بررسی کنید:
1 | lynis audit system |
این ابزار چندین مورد را بررسی می کند و سپس کار را متوقف می کند تا بتوانید نتایج حاصل را مطالعه کنید. کلید اینتر را بزنید تا کار اسکن دوباره آغاز شود. در انتهای کار خلاصه ای از اسکن برایتان ارائه خواهد شد. می توانید از دستور زیر برای اجرای غیر تعاملی این ابزار هم استفاده کنید:
1 | lynis --quick |
ابزار ISPProtect: اسکنر بدافزارهای سایت
این گزینه اسکنر بدافزارها برای وب سرورهاست و می تواند بدافزارهای موجود در فایل سایت و سیستم های CMS ای همچون وردپرس، جوملا و دروپال را بررسی کند. اگر سرور هاستینگ دارید سایت های میزبانی شده ممکن است بیشتر از سایر قسمت ها مورد حمله قرار گیرند. توصیه می شود این سایت ها را به طور منظم بررسی کنید. این ابزار جزو نرم افزارهای رایگان نیست اما شما می توانید به صورت رایگان ان را تست کنید. ابزار ISPProtect نیازمند نصب php و clamav بر روی سرور است. برای نصب می توانید از دستور زیر استفاده کنید. بر روی دبیان ۹:
1 | apt-get install php7.0-cli clamav |
بر روی اوبونتو ۱۸٫۰۴:
1 | apt-get install php7.2-cli clamav |
بر روی فدورا یا سنت او اس:
1 | yum install php |
برای نصب ISPProtect می توانید از دستور زیر استفاده کنید:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 | mkdir -p /usr/local/ispprotect chown -R root:root /usr/local/ispprotect chmod -R 750 /usr/local/ispprotect cd /usr/local/ispprotect wget http://www.ispprotect.com/download/ispp_scan.tar.gz tar xzf ispp_scan.tar.gz rm -f ispp_scan.tar.gz ln -s /usr/local/ispprotect/ispp_scan /usr/local/bin/ispp_scan |
برای استارت این ابزار می توانید از دستور زیر کمک بگیرید:
1 | ispp_scan |
این اسکنر به طور خودکار به دنبال آپدیت ها می گردد و سپس دنبال keyخواهد بود و مسیر سایت را از شما می پرسد که معمولا /var/www است:
1 2 | Please enter scan key: <-- trial Please enter path to scan: <-- /var/www |
حالا اسکنر می تواند اسکن را آغاز نماید. فرایند اسکن نشان داده می شود. فایلی که توسط بدافزارها مورد حمله قرار گرفته نیز نشان داده می شود و نتایج در فایل sin ذخیره می شود:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 | After the scan is completed, you will find the results also in the following files: Malware => /usr/local/ispprotect/found_malware_20180605115005.txt Wordpress => /usr/local/ispprotect/software_wordpress_20180605115005.txt Joomla => /usr/local/ispprotect/software_joomla_20180605115005.txt Drupal => /usr/local/ispprotect/software_drupal_20180605115005.txt Mediawiki => /usr/local/ispprotect/software_mediawiki_20180605115005.txt Contao => /usr/local/ispprotect/software_contao_20180605115005.txt Magentocommerce => /usr/local/ispprotect/software_magentocommerce_20180605115005.txt Woltlab Burning Board => /usr/local/ispprotect/software_woltlab_burning_board_20180605115005.txt Cms Made Simple => /usr/local/ispprotect/software_cms_made_simple_20180605115005.txt Phpmyadmin => /usr/local/ispprotect/software_phpmyadmin_20180605115005.txt Typo3 => /usr/local/ispprotect/software_typo3_20180605115005.txt Roundcube => /usr/local/ispprotect/software_roundcube_20180605115005.txt Shopware => /usr/local/ispprotect/software_shopware_20180605115005.txt Mysqldumper => /usr/local/ispprotect/software_mysqldumper_20180605115005.txt Starting scan level 1 ... Scanning 3471 files now ... |
برای اینکه بتوانید این ابزار را به عنوان cronjob شبانه اجرا کنید یک فایل cron با نانو ایجاد نمایید:
1 | nano /etc/cron.d/ispprotect |
خط زیر را در آن قرار دهید:
1 | 0 3 * * * root /usr/local/ispprotect/ispp_scan --update && /usr/local/ispprotect/ispp_scan --path=/var/www --email-results=root@localhost --non-interactive --scan-key=AAA-BBB-CCC-DDD |
عبارت root@localhost را با آدرس ایمیل خود جایگزین نمایید . سپس AAA-BBB-CCC-DDD را با license key خود عوض کنید.دستورات کامل این ابزار را به کمک دستور زیر می توانید مشاهده کنید:
1 | ispp_scan --help |
ابزار Rkhunter: اسکنر روت کیت لینوکس
این گزینه یکی از ابزارهای ساده،قدرتمند و متن باز و شناخته شده برای اسکن Backdoor ها، روت کیت ها و تهاجم های محلی بر روی سیستم هایی همچون لینوکس است. همانطور که از نامش پیداست این گزینه به مانیتورینگ و تجزیه و تحلیل مشکلات پنهانی سیستم می پردازد. می توانید به کمک دستور زیر این ابزار را بر روی سیستم های مبتنی بر سنت او اس و اوبونتو نصب کنید:
1 | $ sudo apt install rkhunter# yum install epel-release# yum install rkhunter |
برای بررسی سرور با این ابزار از دستور زیر استفاده کنید:
1 | # rkhunter -c |
برای اینکه این ابزار به طور خودکار هر شب اجرا شود، cron زیر را ایجاد کنید که ساعت سه نیمه شب اجرا می شود و گزارش های موجود را به ادرس ایمیلی تان ارسال می کند:
1 | 0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My |
ابزار LMD: ابزار شناساگر بدافزارهای لینوکسی
این ابزار یکی از اسکنرهای قدرتمند، متن باز و با ویژگی های متعدد برای لینوکس است و می تواند محیط های هاست اشتراکی مورد استفاده قرار گیرد اما شما می توانید از آن برای شناسایی تهدیدهای هر سیستم لینوکسی استفاده کنید. این ابزار را می توان برای بهبود کارایی و بهره وری، با موتور اسکنر ClamAV ادغام کرد. این ابزار سیستم گزارش دهی کاملی را برای مشاهده نتایج اسکن قبلی و فعلی ارائه می کند و از گزارش دهی ایمیلی پشتیبانی می نماید. شما می توانید قابلیت های متعدد دیگری هم در این ابزار بیابید.
