سرورها ممکن است به طور مداوم دچار حملات مختلفی شوند و به همین خاطر استفاده از ابزارهای مناسب برای اسکن آن ها ضروری است. با اینکه استفاده از فایروال و به روزرسانی مداوم سیستم، اولین لایه دفاعی از سرور و امنیت آن است اما باید به طور منظم و در بازه های زمانی تعیین شده سرور خود را به کمک ابزارهای موجود برای بدافزارها و ویروس ها اسکن کنید. در این مقاله قصد داریم ابزارهایی را برایتان معرفی کنیم که استفاده از آن ها می تواند به تشخیص بدافزارها، ویروس ها، Rootkit ها و رفتارهای بدخواهانه کمک کند. شما می توانید از این ابزارها به طور روزمره استفاده کنید و گزارش ها را در ایمیل تان دریافت نمایید. همراه وب ایده باشید تا این ابزارها را با هم مرور کنیم.
ابزار Chkrootkit: ابزاری برای اسکن کردن Rootkit در سیستم عامل لینوکس
این ابزار یکی از ابزارهای کلاسیک موجود برای بررسی Rootkit است. این گزینه سرور اوبونتوی شما را برای فرایندهای مشکوک وفهرستی از فایل های شناخته شده Rootkit مورد بررسی قرار می دهد. شما می توانید Chkrootkit را از منبع رسمی یا مخزن اوبونتو نصب کنید. در این آموزش سعی می کنیم نحوه نصب آن از طریق مخزن را با هم مرور کنیم زیرا ساده تر است:
apt-get install chkrootkit
برای اینکه سرور خود را با Chkrootkit بررسی کنید، دستور زیر را اجرا نمایید:
chkrootkit
این دستور شروع به بررسی سیستم شما برای بدافزارها و Rootkit ها می کند و بعد از اتمام این فرایند می توان گزارش موجود را مشاهده کرد. اگر می خواهید سیستم شما به طور منظم توسط این ابزار مورد بررسی قرار گیرد می توانید یک cron job برای آن ایجاد کنید. در این بخش می خواهیم یک cron job برای اسکن Chkrootkit ایجاد کنیم . اول از هر کاری پیکربندی cron را با دستور زیر باز کنید:
crontab -e
حالا خط زیر را در فایل پیست کنید و آن را ذخیره نمایید و خارج شوید. مطمئن شوید که آدرس ایمیل خود را در بخش مربوطه وارد می کنید:
0 0 * * 6 /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of my server" you@yourmail.com
حالا سرور شما هر جمعه در نیمه شب مورد بررسی قرار می گیرد و نتایج آن برایتان ایمیل می شود.
ابزار Lynis: ابزار بررسی امنیتی و اسکنر rootkit
Lynis یکی از ابزارهای بررسی امنیتی برای لینوکس و سیستم عامل های مبتنی بر آن است. این ابزار تلاش می کند جنبه های مختلف امنیت سرور شما را مورد بررسی قرار دهد.
ما در این بخش سعی می کنیم Lynis را به کمک سورس و منبع آن نصب کنیم. شما می توانید اخرین نسخه از این ابزار را از سایت رسمی اش به دست آورید:
https://cisofy.com/downloads/lynis/
به دایرکتوری opt بروید تا بتوانید فایل tar را دانلود کنید:
cd /opt/
دستور زیر را برای دانلود، اکسترکت و انتقال فابل به موقعیت مناسب اجرا کنید
wget https://cisofy.com/files/lynis-2.5.7.tar.gz tar xvzf lynis-2.5.7.tar.gz mv lynis /usr/local/
از فایل باینری Symlink را ایجاد کنید
ln -s /usr/local/lynis/lynis /usr/local/bin/lynis
حالا شما می توانید سرور اوبونتوی خود را به کمک دستور زیر اسکن نمایید:
lynis audit system
Lynis اسکن کاملی را انجام می دهد و خلاصه ای از این گزارش را در انتها نشان می دهد. شما می توانید به کمک دستورات زیر یک cron job برای این ابزار ایجاد کنید.
فایل پیکربندی cron را باز کنید. برای اینکار می توانید از دستور زیر کمک بگیرید:
crontab -e
حالا خط زیر را در فایل پیست کنید و آن را ذخیره کنید و خارج شوید. مطمئن شوید که آدرس ایمیل خود را در محل مربوط قرار می دهید.
0 0 * * 6 /usr/local/bin/lynis 2>&1 | mail -s "Lynis Reports of my server" you@yourmail.com
حالا سرور شما هر جمعه اسکن می شود و نتایج برایتان ارسال می گردد.
ابزار ISPProtect: اسکنر بدافزار سایت
ISPProtect یکی از اسکنرهای موجود برای بدافزارهای وب سرور است. این گزینه بدافزارها را در فایل سایت ها و سیستم های مدیریت محتوا همچون وردپرس، جوملا و دروپال اسکن می کند. این ابزار در برگیرنده 5 موتور اسکن کننده است:
- اسکنر بدافزار مبتنی بر امضا
- اسکنر بدافزار کشف کننده
- اسکنر برای نشان دادن دایرکتوری های نصب سیستم cms قدیمی
- اسکنری که همه افزونه های قدیمی وردپرس بر روی کل سرور را نشان می دهد
- اسکنر محتوای پایگاه داده
این ابزار رایگان نیست اما می توانید آن را بدون ثبت نام برای تست مورد استفاده قرار دهید. این گزینه برای نصب بر روی سرور نیازمند PHP است بنابراین اگر آن را ندارید می توانید آن را به کمک دستور زیر نصب نمایید:
apt-get install php php-cli
بعد از اینکه PHP را نصب کردید می توانید به کمک دستور زیر ISPProtect را هم نصب نمایید:
mkdir -p /usr/local/ispprotect cd /usr/local/ispprotect wget http://www.ispprotect.com/download/ispp_scan.tar.gz tar xzf ispp_scan.tar.gz chown -R root:root /usr/local/ispprotect chmod -R 750 /usr/local/ispprotect
حالا می توانید symlink را برای مسیر قابل اجرای خود ایجاد نمایید:
ln -s /usr/local/ispprotect/ispp_scan /usr/local/bin/ispp_scan
برای استارت ISPProtect دستور زیر را اجرا کنید:
ispp_scan
اسکنر به طور خودکار به دنبال به روزرسانی ها می گردد و key را از شما می پرسد. در این شرایط می توانید عبارت trial را وارد کنید. حالا از شما می خواهد مسیر سایت خود همچون “/var/www/” را وارد کنید. بعد از آن، اسکنر شروع به بررسی سرور می کند و آیتم های آلوده را نشان می دهد. در انتها می توانید نتایج را در دایرکتوری نصب این ابزار مشاهده کنید. برای اجرای هفتگی ISPProtect می توانید از این دستورات استفاده کنید:
crontab -e
خط زیر را به فایل اضافه کنید. آن را ذخیره نمایید و سپس خارج شوید:
0 0 * * 6 /usr/local/ispprotect/ispp_scan --update && /usr/local/ispprotect/ispp_scan --path=/var/www --email-results=you@yourma
