Sâu, vi rút, phần mềm độc hại và bộ rootkit đáng sợ là những yếu tố cơ bản đối với sự tồn tại của mọi quản trị viên máy chủ. Tùy thuộc vào kiến trúc, có thể có nhiều tùy chọn để mã ne’er-do-well có thể khám phá trong các hệ thống bị nhiễm, thu thập thông tin nhạy cảm và / hoặc các tổ chức tiêu tốn khá nhiều tiền trong quá trình này.
Rất may, bạn không cần phải phất cờ bại trận khi đối mặt với những kẻ thù mạng như vậy - việc phát hiện chúng trên máy chủ của bạn là hoàn toàn có thể và có rất nhiều công cụ giúp bạn quét máy chủ Linux của mình để tìm phần mềm độc hại và rootkit. Hơn hết, nhiều công cụ trong số này được sử dụng miễn phí.
1. Ngao AV
Phần mềm chống vi-rút dòng lệnh này được thiết kế để tích hợp chặt chẽ với các máy chủ thư và có sẵn cho tất cả các loại hệ thống, bao gồm các bản phân phối Linux nổi bật như SuSE, Fedora và Ubuntu.
Cài đặt trong Ubuntu dễ dàng bằng cách chạy lệnh sau:
sudo apt install clamav clamav-daemon
Sau khi được cài đặt, có thể sử dụng clashav từ một thiết bị đầu cuối để đi qua toàn bộ hệ thống bằng một chiếc lược nhỏ và khử trùng bất kỳ tệp nào bị nhiễm. Ngoài ra, Clam AV cũng cung cấp các tiện ích quét và giám sát tài nguyên theo thời gian thực mạnh mẽ.
Để chạy một quá trình quét đơn giản hệ thống tệp của máy chủ của bạn, hãy sử dụng mã sau từ thư mục gốc:
clamscan -r -i
Lệnh trên sẽ hướng dẫn Clam AV thực hiện quét đệ quy (kiểm tra tệp bên trong tệp) và chỉ in các tài liệu bị nhiễm vào thiết bị đầu cuối. Hãy nhớ rằng trước khi chạy mã này, bạn cần cho phép Clam AV có đủ thời gian để cài đặt cơ sở dữ liệu về chữ ký vi-rút trên máy của bạn. Để theo dõi quá trình này, bạn có thể hủy dịch vụ và khởi động lại theo cách thủ công bằng mã sau:
sudo systemctl stop clamav-freshclam.service
tiếp theo là:
sudo freshclam
Để tự động xóa các tệp bị nhiễm khỏi hệ thống trong quá trình quét, hãy sử dụng đoạn mã sau. (Hãy cẩn thận với tùy chọn này!):
clamscan -r -i --remove
2. chkrootkit
Công cụ này chạy một số thử nghiệm để phát hiện các mô-đun nhân có thể tải độc hại, sâu và rootkit đầy đủ.
Đối với Ubuntu, công cụ này có sẵn từ kho lưu trữ chính thức. Sử dụng mã sau để cài đặt nó:
sudo apt install chkrootkit
Không giống như Clam AV, chkrootkit là một công cụ thụ động và thiếu chức năng để xử lý mọi mối đe dọa được phát hiện. Bất kỳ điều gì đáng ngờ mà nó tìm thấy trong hệ thống tệp của máy chủ của bạn sẽ cần được nghiên cứu và loại bỏ theo cách thủ công, vì vậy hãy giữ một bản sao đầu ra của nó để tham khảo sau này.
Để chạy công cụ này, hãy sử dụng lệnh sau:
sudo chkrootkit
Danh sách mà chkrootkit cung cấp cho bạn là điểm khởi đầu tốt để chẩn đoán thêm.
3 bên cạnh
Tên của công cụ này là từ viết tắt của “Môi trường phát hiện xâm nhập nâng cao” - một sự thay thế hoàn toàn miễn phí cho một công cụ tương tự có tên là Tripwire.
AIDE cho phép bạn theo dõi các tab trên tệp hệ thống của mình để theo dõi thời điểm và cách thức chúng được sửa đổi hoặc truy cập theo cách khác. Công cụ này có thể dễ dàng cài đặt từ kho lưu trữ chính thức của Ubuntu với apt.
sudo apt install aide
Để hoàn tất quá trình cài đặt, bạn sẽ cần phải cấu hình Postfix thông qua các tùy chọn được cung cấp cho bạn. Để điều hướng những thứ này, bạn có thể sử dụng tab các nút phím hoặc mũi tên, sau đó nhấn Enter trên tùy chọn bạn muốn. Postfix được sử dụng để gửi thông tin đến địa chỉ email của bạn theo lịch trình mà bạn có thể kiểm soát.
Cấu hình AIDE yêu cầu một chút thao tác với tệp. Bạn sẽ cần xử lý tệp ở các vị trí sau:
/var/lib/aide /etc/aide
Trước tiên, chúng tôi sẽ tạo cơ sở dữ liệu và tệp cấu hình bằng cách chạy lệnh sau:
sudo aideinit
Sau khi hoàn tất, quá trình này đặt cơ sở dữ liệu và các tệp cấu hình mà nó tạo ra trong “/ var / lib / aide /” dưới các tên “aide.db.new” và “aide.conf.autogenerated”. Cả hai điều này cần được sao chép tương ứng là “aide.db” và “aide.conf,” để hoạt động bình thường.
Tạo một bản sao của tệp cơ sở dữ liệu với tên mới thật dễ dàng với mã sau:
sudo cp /var/lib/aide/aide.db.new /var/lib/aide/aide.db
Trước khi đổi tên và sao chép tệp cấu hình, hãy cập nhật tệp bằng lệnh sau:
sudo update-aide.conf
Khi bạn đã cập nhật tệp cấu hình, hãy sao chép tệp đó vào đúng thư mục bằng lệnh sau:
sudo cp /var/lib/aide/aide.conf.autogenerated /etc/aide/aide.conf
Bây giờ AIDE sẽ hoạt động trên máy chủ của bạn và tích cực xem bản trình bày HASHED của hệ thống tệp của bạn mà nó đã tạo.
AIDE có thể được định cấu hình để loại trừ các thư mục, chạy định kỳ và hơn thế nữa bằng cách sửa đổi tệp cấu hình của nó, nhưng lệnh sau là đủ để xem đầu ra của hệ thống của bạn:
aide -c /etc/aide/aide.conf -C
AIDE có hiệu quả nhất khi cấu hình của nó được truy cập từ vị trí chỉ đọc, vì rootkit có thể cho phép kẻ tấn công sửa đổi tệp. Cân nhắc triển khai thiết lập như vậy để có kết quả tối ưu.
Các công cụ được đề cập trong bài viết này sẽ giúp bạn quét máy chủ Linux của mình để tìm phần mềm độc hại và rootkit bằng nhiều kỹ thuật khác nhau. Rootkit là mối đe dọa kỹ thuật số khó giải quyết nhất, nhưng chúng có thể được ngăn chặn bằng sự siêng năng thích hợp.