Hoewel er veel wordt gezegd dat Linux-besturingssystemen niet kwetsbaar zijn voor virusaanvallen, is het tegenwoordig met de toenemende bedreigingen die zich voordoen en de verschillende gebruikte technieken zonder twijfel dat geen enkel systeem 100% beschermd is en daarom moeten we de respectieve beveiligingsmaatregelen nemen om aanvallen te voorkomen en diefstal van gevoelige informatie. Daarom hebben we twee kritieke bedreigingen, zoals malware en rootkits, malware en rootkits in het bijzonder, die in Linux op een geïntegreerde en volledige manier kunnen werken, net als in andere "onveilige" besturingssystemen.
Solvetic zal enkele van de beste tools beoordelen om het Linux-systeem te scannen op malware of rootkits die de normale werking ervan in gevaar kunnen brengen.
Wat is een rootkit?Een rootkit is een soort tool die de macht heeft om onafhankelijk te handelen, of samen te werken met elke variant van kwaadaardige code waarvan het hoofddoel is om de doeleinden ervan te verbergen voor gebruikers en systeembeheerders.
De fundamentele taak van een rootkit is het verbergen van informatie die verband houdt met processen, netwerkverbindingen, bestanden, mappen, privileges, maar het kan functionaliteiten toevoegen zoals achterdeur of achterdeur om permanente toegang tot het systeem te bieden of gebruik te maken van de keyloggers waarvan de taak is om de toetsaanslagen te onderscheppen die gebruikersactiviteiten in gevaar brengen.
Er zijn verschillende soorten rootkits, zoals:
Rootkit in gebruikersruimteDit type rootkit wordt rechtstreeks in de gebruikersruimte uitgevoerd op hetzelfde niveau als andere applicaties en binaire bestanden, het is de taak om legitieme systeemuitvoerbare bestanden te vervangen door andere die zijn gewijzigd, zodat de informatie die ze verstrekken voor negatieve doeleinden wordt gemanipuleerd. . Onder de belangrijkste binaire bestanden die worden aangevallen door rootkit hebben we ls, df, stat, du, find, lsof, lsatrr, chatrr, sync, ip, route, neststat, lsof, nc, iptables, arp, crontab, at, crontab, at en meer.
Rootkit in kernelruimteHet is een van de gevaarlijkste omdat je in dit geval toegang hebt tot het systeem en superuser-privileges kunt verkrijgen om een rootkit in kernelmodus te installeren en op deze manier totale controle over het systeem te krijgen, dus, eenmaal geïntegreerd in het systeem, hun detectie zal veel complexer zijn omdat ze naar een hoger privilegeniveau gaan met machtigingen om te wijzigen en niet alleen de binaire bestanden maar ook de functies en oproepen van het besturingssysteem aan te passen.
BootkitsDeze hebben de mogelijkheid om opstartfunctionaliteiten toe te voegen aan rootkits en hebben vanaf deze mod invloed op de systeemfirmware en schijfopstartsectoren.
Wat is malwareMalware (kwaadaardige software), is in feite een programma dat de functie heeft om een systeem te beschadigen of een storing te veroorzaken, zowel in het systeem als in de applicaties die daar zijn geïnstalleerd, binnen deze groep vinden we Virussen, Trojaanse paarden (Trojaanse paarden), Wormen (Worm), keyloggers, Botnets, Ransomware, Spyware, Adware, Rogues en nog veel meer.
Malware heeft verschillende toegangspaden waar het in het systeem kan worden ingevoegd, zoals:
- Sociale media
- Frauduleuze websites
- Geïnfecteerde USB-apparaten / cd's / dvd's
- Bijlagen in ongevraagde e-mails (Spam)
Nu zullen we de beste tools zien om deze bedreigingen te detecteren en verder te gaan met hun correctie.
Lynis
Lynis is een beveiligingstool die is ontworpen voor systemen met Linux, macOS of een op Unix gebaseerd besturingssysteem.
Zijn rol is om een uitgebreide systeemgezondheidsscan uit te voeren om systeemverharding te ondersteunen en om de nodige compliancetests uit te voeren om bedreigingen uit te sluiten. Lynis is open source-software met GPL-licentie en is sinds 2007 beschikbaar.
Belangrijkste actiesDe belangrijkste acties zijn gericht op:
- Beveiligingsaudits
- Nalevingstesten zoals PCI, HIPAA, SOx
- Penetratietests om interne veiligheid te zien
- Kwetsbaarheidsdetectie
- Systeemverharding
Voor de installatie zullen we allereerst het bestand downloaden van de officiële site:
cd / opt / wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz
VERGROTEN
We extraheren de inhoud:
tar xvzf lynis-2.6.6.tar.gz
VERGROTEN
Ten slotte verplaatsen we de applicatie naar de juiste map:
mv lynis / usr / lokaal / ln -s / usr / lokaal / lynis / lynis / usr / lokaal / bin / lynisLynis-scannen is gebaseerd op kansen, dat wil zeggen dat het alleen gebruikt wat beschikbaar is, zoals beschikbare tools of bibliotheken, dus door deze scanmethode te gebruiken, kan de tool bijna zonder afhankelijkheden worden uitgevoerd.
Wat houdt het in?De aspecten die Lynis behandelt zijn:
- Initialisatie en basisbediening
- Bepaal het besturingssysteem en de bijbehorende tools
- Zoeken naar beschikbare systeemhulpprogramma's
- Controleer de Lynis-update
- Voer ingeschakelde plug-ins uit
- Op categorie gebaseerde beveiligingstests uitvoeren
- Aangepaste tests uitvoeren
- Status van beveiligingsscan rapporteren
Om een volledige analyse van het systeem uit te voeren, voeren we uit:
lynis auditsysteem
VERGROTEN
Daar begint het hele analyseproces en uiteindelijk zullen we alle resultaten in categorieën zien:
VERGROTEN
Het is mogelijk om de werking van Lynis automatisch te laten verlopen binnen een bepaald tijdsbestek, hiervoor moeten we de volgende cron-invoer toevoegen, die in dit geval om 11 uur 's nachts wordt uitgevoerd en rapporten naar het ingevoerde e-mailadres stuurt :
0 23 * * * / usr / lokaal / bin / lynis --quick 2> & 1 | mail -s "Lynis Report" [email protected]
Rkhunter
RKH (RootKit Hunter), is een gratis, open source en eenvoudig te gebruiken tool waarmee het mogelijk wordt om backdoors, rootkits en lokale exploits op POSIX-compatibele systemen, zoals Linux, te scannen. het is gemaakt als een hulpmiddel voor het bewaken en analyseren van de beveiliging dat het systeem in detail inspecteert om verborgen beveiligingslekken te detecteren.
De rkhunter-tool kan worden geïnstalleerd met behulp van de volgende opdracht op Ubuntu- en CentOS-gebaseerde systemen:
sudo apt install rkhunter (Ubuntu) yum install epel-release (CentOS) yum install rkhunter (CentOS)
VERGROTEN
We voeren de letter S in om de download en installatie van het hulpprogramma te bevestigen. Eenmaal geïnstalleerd, kunnen we het systeem controleren door het volgende uit te voeren:
sudo rkhunter -c
VERGROTEN
Daar gaat het proces van het analyseren van het systeem op zoek naar gevaarlijke situaties verder:
VERGROTEN
Daar analyseert het alle bestaande rootkit-opties en voert het aanvullende analyseacties uit op het netwerk en andere items.
Chkrootkit
Chkrootkit is een van de tools die zijn ontwikkeld om lokaal te controleren of er rootkits zijn. Dit hulpprogramma bevat:
chkrootkitHet is een shellscript dat de binaire bestanden van het systeem controleert op wijziging van de rootkit.
ifpromisc.cControleer of de interface in promiscue modus staat
chklastlog.cControleer verwijderingen van het laatste logboek
chkwtmp.cControleer wtmp-verwijderingen
check_wtmpx.cControleer wtmpx-verwijderingen
chkproc.cZoek naar tekenen van LKM Trojaanse paarden
chkdirs.cZoek naar tekenen van LKM Trojaanse paarden
strings.cSnelle en vuile kettingvervanging
chkutmp.cUtmp-verwijderingen controleren
Chkrootkit kan worden geïnstalleerd door het volgende uit te voeren:
sudo apt install chkrootkit
VERGROTEN
In het geval van CentOS moeten we uitvoeren:
yum update yum install wget gcc-c ++ glibc-static wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz tar -xzf chkrootkit.tar.gz mkdir / usr / local / chkrootkit mv chkrootkit-0.52 / * / usr / local / chkrootkit cd / usr / local / chkrootkit zinvolOm deze tool uit te voeren, kunnen we een van de volgende opties gebruiken:
sudo chkrootkit / usr / local / chkrootkit / chkrootkit
VERGROTEN
ClamAV
Een andere van de bekende oplossingen voor kwetsbaarheidsanalyse in Linux is ClamAV, dat is ontwikkeld als een open source antivirus-engine (GPL) die kan worden uitgevoerd voor verschillende acties, waaronder het scannen van e-mail, webscanning en webbeveiliging.
ClamAV biedt ons een reeks hulpprogramma's, waaronder een flexibele en schaalbare multithreaded daemon, een opdrachtregelscanner en een geavanceerde tool voor automatische database-updates.
FunctiesOnder de meest opvallende kenmerken vinden we:
- Opdrachtregelscanner
- Milter-interface voor sendmail
- Geavanceerde database-updater met ondersteuning voor gescripte updates en digitale handtekeningen
- Geïntegreerde ondersteuning voor archiefformaten zoals Zip, RAR, Dmg, Tar, Gzip, Bzip2, OLE2, Cabinet, CHM, BinHex, SIS en andere
- Voortdurend bijgewerkte virusdatabase
- Geïntegreerde ondersteuning voor alle standaard e-mailbestandsindelingen
- Geïntegreerde ondersteuning voor ELF-uitvoerbare bestanden en Portable Executable-bestanden verpakt met UPX, FSG, Petite, NsPack, wwpack32, MEW, Upack en versluierd met SUE, Y0da Cryptor en anderen
- Ingebouwde ondersteuning voor MS Office en MacOffice, HTML, Flash, RTF en PDF-documentformaten.
Om ClamAV te installeren gaan we het volgende commando uitvoeren:
sudo apt install clamav
VERGROTEN
We voeren de letter S in om de download en installatie van ClamAV te bevestigen.
In het geval van CentOS kunnen we het volgende uitvoeren:
yum -y update yum -y installeer clamavVoor de uitvoering van ClamAV gaan we het volgende uitvoeren:
sudo clamscan -r -i "Directory"
VERGROTEN
LMD - Linux Malware Detecteren
Linux Malware Detect (LMD) is ontwikkeld als malwarescanner voor Linux onder de GNU GPLv2-licentie, waarvan de belangrijkste functie is om bedreigingsgegevens van inbraakdetectiesystemen te gebruiken om malware te extraheren die actief wordt gebruikt bij aanvallen en handtekeningen kan genereren om deze bedreigingen te detecteren .
De handtekeningen die LMD gebruikt, zijn MD5-bestandshashes en HEX-patroonovereenkomsten, die ook gemakkelijk kunnen worden geëxporteerd naar verschillende detectietools zoals ClamAV.
KenmerkenOnder zijn kenmerken vinden we:
- Ingebouwde ClamAV-detectie voor gebruik als scanner-engine voor de beste resultaten
- MD5-bestandshashdetectie voor snelle identificatie van bedreigingen
- Statistische analysecomponent voor detectie van bedreigingen
- Ingebouwde versie-updatefunctie met -d
- Geïntegreerde functie voor het bijwerken van handtekeningen met -u
- Dagelijks cron-script compatibel met RH-, Cpanel- en Ensim-stijlsystemen
- Kernel inotify-monitor die padgegevens uit STDIN of FILE kan halen
- Dagelijkse cron-gebaseerde scan van alle wijzigingen in de afgelopen 24 uur naar gebruikerslogboeken
- Quarantainehersteloptie om bestanden terug te zetten naar het oorspronkelijke pad, inclusief eigenaar
- Opties om regels te negeren op basis van routes, extensies en handtekeningen
Om LMD in Linux te installeren gaan we het volgende uitvoeren:
cd / tmp / curl -O http://www.rfxn.com/downloads/maldetect-current.tar.gz tar -zxvf maldetect-current.tar.gz cd maldetect-1.6.2 / bash install.sh
VERGROTEN
Nu kunnen we de gewenste directory, in dit geval tmp, als volgt uitvoeren:
maldet -a / tmp
VERGROTEN
Met elk van deze tools is het mogelijk om de integriteit van ons systeem te behouden en de aanwezigheid van malware of rootkits te vermijden.