ابزارهایی که می توان از آن‌ها برای اسکن ویروس‌های سرورهای لینوکسی استفاده کرد

سرورهایی که به اینترنت وصل می شوند ممکن است به طور مداوم در خطر حمله قرار داشته باشند و به همین خاطر ادمین سرورها باید به طور منظم چنین  مواردی را اسکن و بررسی نمایند. با اینکه فایروال ها و به روزرسانی معمول و منظم سیستم ها می تواند گزینه دفاعی خوبی برای امن نگه داشتن سیستم ها باشد اما شما باید به طور منظم سرور خود را مورد بررسی قرار دهید تا مطمئن شوید حمله ای به آن انجام نشده است. ابزارهایی که در این مقاله به توضیح آن ها خواهیم پرداخت برای چنین تست هایی طراحی شده اند و می توانند سرور شما را برای بدافزارها، ویروس ها  و روت کیت ها بررسی نمایند. این ابزارها باید به طور منظم مثلا هر شب اجرا شوند و گزارش آن ها از طریق ایمیل برایتان ارسال گردد. شما می توانید برای اسکن سیستم خود به هنگام بروز فعالیت های مشکوک همچون لود بالا، فرآیندهای مشکوک یا زمانی که سرور به  طرو ناگهانی شروع به ارسال بدافزار می کند از مواردی همچون Chkrootkit, Rkhunter و  ISPProtect استفاده کنید. همه این اسکنرها باید به عنوان کاربر روت اجرا شوند. قبل از اینکه بخواهید بر روی سیستم خود کار را آغاز کنید به صورت کاربر روت وارد آن شوید. سپس به اجرای این اسکنرها بپردازید. در این مقاله قصد داریم این ابزارها را با جزییات بیشتری مورد بررسی قرار دهیم. پس همراه وب ایده باشید.

ابزار chkrootkit: اسکنر روت کیت لینوکس

chkrootkit یک اسکنر کلاسیک برای روت کیت‌هاست. این ابزار سرور شما را برای فرایندهای روت کیت مشکوک بررسی می کند و به دنبال فایل روت کیت های شناخته شده می گردد. شما می توانید پکیجی که به همراه توزیع تان ارائه شده است را نصب کنید. بر روی دبیان و ابونتو می توانید دستور زیر را اجرا نمایید.

apt-get install chkrootkit

با اینکه سورس آن را از سایت chkrootkit.org دانلود کنید و به صورت دستی آن را نصب نمایید:

wget --passive-ftp ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar xvfz chkrootkit.tar.gz
cd chkrootkit-*/
make sense

بعد از انجام اینکار می توانید دایرکتوری chkrootkit به جای دیگری همچون /usr/local/chkrootkit انتقال دهید.

cd ..
mv chkrootkit-<version>/ /usr/local/chkrootkit

حالا یک Symlink برای دسترسی اسان ایجاد نمایید. برای اینکار از دستور زیر بهره بگیرید:

ln -s /usr/local/chkrootkit/chkrootkit /usr/local/bin/chkrootkit

برای اینکه بتوانید سرور خود را با این ابزار مورد بررسی قرار دهید دستور زیر را اجرا نمایید:

chkrootkit

یکی از گزارش های مثبت کاذب رایج به شکل زیر است:

Checking `bindshell'...                                     INFECTED (PORTS:  465)

زمانی که چنین پیامی را بر روی سرور ایمیلی خود دریافت می کنید زیاد نگران نباشید. این پورت SMTPS سیستم ایمیلی شماست و به عنوان مثبت کاذب شناخته می شود. همچنین می توانید chkrootkit را به کمک cron job هم اجرا نمایید و نتایج را به صورت ایمیل دریافت کنید.

قبل از هر کاری باید جایی که chkrootkit بر روی سرورتان نصب شده است را به کمک دستور زیر پیدا کنید.

which chkrootkit

نمونه خروجی:

root@server1:/tmp/chkrootkit-0.50# which chkrootkit
/usr/sbin/chkrootkit

همانطور که می بینید این ابزار در مسیر /usr/sbin/chkrootkit نصب شده است. ما به این مسیر در خط cron زیر نیاز داریم. دستور زیر را اجرا کنید:

crontab -e

برای ایجاد cron job ای همچون مورد زیر:

0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit output of my server" you@yourdomain.com)

این گزینه به ابزار کمک می کند هر شب ساعت 3.00 سرور شما را بررسی کند. مسیر این ابزار را با مسیری که از دستور بالا دریافت کرده اید جایگزین نمایید  و آدرس ایمیل خود را وارد کنید.

ابزار Lynis: ابزار بررسی جامع و اسکنر روت کیت

این ابزار یکی از ابزارهای بررسی امنیت برای سیستم های لینوکسی و مبتنی بر BSD است. این ابزار بررسی دقیقی از جوانب امنیتی و پیکربندی های سیستم شما انجام می دهد.  می توانید سورس این ابزار را از سایت آن دانلود کنید:

cd /tmp
wget https://cisofy.com/files/lynis-2.6.8.tar.gz
tar xvfz lynis-2.6.8.tar.gz
mv lynis /usr/local/
ln -s /usr/local/lynis/lynis /usr/local/bin/lynis

این گزینه ابزار مدنظر را به دایرکتوری /usr/local/lynis نصب می کند و یک Symlink برای دسترسی اسان ایجاد می نماید. دستور زیر را اجرا کنید تا ببینید اخرین نسخه از آن را دارید یا خیر.

lynis update info

حالا می توانید سیستم خود را به کمک دستور زیر بررسی کنید:

lynis audit system

این ابزار چندین مورد را بررسی می کند و سپس کار را متوقف  می کند تا بتوانید نتایج حاصل را مطالعه کنید. کلید اینتر را بزنید تا کار اسکن دوباره آغاز شود. در انتهای کار خلاصه ای از اسکن برایتان ارائه خواهد شد. می توانید از دستور زیر برای اجرای غیر تعاملی این ابزار هم استفاده کنید:

lynis --quick

ابزار ISPProtect: اسکنر بدافزارهای سایت

این گزینه اسکنر بدافزارها برای وب سرورهاست و می تواند بدافزارهای موجود در فایل سایت و سیستم های CMS ای همچون وردپرس، جوملا و دروپال را بررسی کند. اگر سرور هاستینگ دارید  سایت های میزبانی شده ممکن است بیشتر از سایر قسمت ها مورد حمله قرار گیرند. توصیه می شود این سایت ها را به طور منظم بررسی کنید. این ابزار جزو نرم افزارهای رایگان نیست اما شما می توانید به صورت رایگان ان را تست کنید. ابزار ISPProtect نیازمند نصب PHP و clamav بر روی سرور است. برای نصب می توانید از دستور زیر استفاده کنید. بر روی دبیان 9:

apt-get install php7.0-cli clamav

بر روی اوبونتو 18.04:

apt-get install php7.2-cli clamav

بر روی فدورا یا سنت او اس:

yum install php

برای نصب ISPProtect می توانید از دستور زیر استفاده کنید:

mkdir -p /usr/local/ispprotect

chown -R root:root /usr/local/ispprotect

chmod -R 750 /usr/local/ispprotect

cd /usr/local/ispprotect

wget http://www.ispprotect.com/download/ispp_scan.tar.gz

tar xzf ispp_scan.tar.gz

rm -f ispp_scan.tar.gz

ln -s /usr/local/ispprotect/ispp_scan /usr/local/bin/ispp_scan

برای استارت این ابزار می توانید از دستور زیر کمک بگیرید:

ispp_scan

این اسکنر به طور خودکار به دنبال آپدیت ها می گردد و سپس دنبال keyخواهد بود و مسیر سایت را از شما می پرسد که معمولا /var/www است:

Please enter scan key: <-- trial
Please enter path to scan: <-- /var/www

حالا اسکنر می تواند اسکن را آغاز نماید. فرایند اسکن نشان داده می شود. فایلی که توسط بدافزارها مورد حمله قرار گرفته نیز نشان داده می شود و نتایج در فایل sin ذخیره می شود:

After the scan is completed, you will find the results also in the following files:
Malware => /usr/local/ispprotect/found_malware_20180605115005.txt
Wordpress => /usr/local/ispprotect/software_wordpress_20180605115005.txt
Joomla => /usr/local/ispprotect/software_joomla_20180605115005.txt
Drupal => /usr/local/ispprotect/software_drupal_20180605115005.txt
Mediawiki => /usr/local/ispprotect/software_mediawiki_20180605115005.txt
Contao => /usr/local/ispprotect/software_contao_20180605115005.txt
Magentocommerce => /usr/local/ispprotect/software_magentocommerce_20180605115005.txt
Woltlab Burning Board => /usr/local/ispprotect/software_woltlab_burning_board_20180605115005.txt
Cms Made Simple => /usr/local/ispprotect/software_cms_made_simple_20180605115005.txt
Phpmyadmin => /usr/local/ispprotect/software_phpmyadmin_20180605115005.txt
Typo3 => /usr/local/ispprotect/software_typo3_20180605115005.txt
Roundcube => /usr/local/ispprotect/software_roundcube_20180605115005.txt
Shopware => /usr/local/ispprotect/software_shopware_20180605115005.txt
Mysqldumper => /usr/local/ispprotect/software_mysqldumper_20180605115005.txt
Starting scan level 1 ...
Scanning 3471 files now ...

برای اینکه بتوانید این ابزار را به عنوان cronjob شبانه اجرا کنید یک فایل cron با نانو ایجاد نمایید:

nano /etc/cron.d/ispprotect

خط زیر را در آن قرار دهید:

0 3  * * *   root   /usr/local/ispprotect/ispp_scan --update && /usr/local/ispprotect/ispp_scan --path=/var/www --email-results=root@localhost --non-interactive --scan-key=AAA-BBB-CCC-DDD

عبارت root@localhost را با آدرس ایمیل خود جایگزین نمایید . سپس AAA-BBB-CCC-DDD را با license key خود عوض کنید.دستورات کامل این ابزار را به کمک دستور زیر می توانید مشاهده کنید:

ispp_scan --help

ابزار Rkhunter: اسکنر روت کیت لینوکس

این گزینه یکی از ابزارهای ساده،قدرتمند و متن باز و شناخته شده برای اسکن Backdoor ها، روت کیت ها و تهاجم های محلی بر روی سیستم هایی همچون لینوکس است. همانطور که از نامش پیداست این گزینه به مانیتورینگ و تجزیه و تحلیل مشکلات پنهانی سیستم می پردازد. می توانید به کمک دستور زیر این ابزار را بر روی سیستم های مبتنی بر سنت او اس و اوبونتو نصب کنید:

$ sudo apt install rkhunter# yum install epel-release# yum install rkhunter

برای بررسی سرور با این ابزار از دستور زیر استفاده کنید:

# rkhunter -c

برای اینکه این ابزار به طور خودکار هر شب اجرا شود، cron زیر را ایجاد کنید که ساعت سه نیمه شب اجرا می شود و گزارش های موجود را به ادرس ایمیلی تان ارسال می کند:

0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My

ابزار LMD: ابزار شناساگر بدافزارهای لینوکسی

این ابزار یکی از اسکنرهای قدرتمند، متن باز و با ویژگی های متعدد برای لینوکس است و می تواند  محیط های هاست اشتراکی مورد استفاده قرار گیرد اما شما می توانید از آن برای شناسایی تهدیدهای هر سیستم لینوکسی استفاده کنید. این ابزار را می توان برای بهبود کارایی و بهره وری، با موتور اسکنر ClamAV ادغام کرد. این ابزار سیستم گزارش دهی کاملی را برای مشاهده نتایج اسکن قبلی و فعلی ارائه می کند و از گزارش دهی ایمیلی پشتیبانی می نماید. شما می توانید قابلیت های متعدد دیگری هم در این ابزار بیابید.