11 Tools om Linux Server te scannen op beveiligingsfouten en malware

Hoewel op Linux gebaseerde systemen vaak als ondoordringbaar worden beschouwd, zijn er nog steeds risico’s die serieus moeten worden genomen.


Rootkits, virussen, ransomware en vele andere schadelijke programma’s kunnen Linux-servers vaak aanvallen en problemen veroorzaken.

Ongeacht het besturingssysteem, het nemen van beveiligingsmaatregelen is een must voor servers. Grote merken en organisaties hebben de beveiligingsmaatregelen in handen genomen en tools ontwikkeld die niet alleen fouten en malware detecteren, maar ook corrigeren en preventieve maatregelen nemen.

Gelukkig zijn er tools beschikbaar voor een lage prijs of gratis die hierbij kunnen helpen. Ze kunnen gebreken detecteren in verschillende secties van een op Linux gebaseerde server.

Lynis

Lynis is een bekende beveiligingstool en een voorkeursoptie voor experts in Linux. Het werkt ook op systemen op basis van Unix en macOS. Het is een open source software-app die sinds 2007 wordt gebruikt onder een GPL-licentie.

Lynis kan beveiligingslekken en configuratiefouten detecteren. Maar het gaat verder: in plaats van alleen de kwetsbaarheden bloot te leggen, stelt het corrigerende maatregelen voor. Daarom is het, om gedetailleerde controlerapporten te krijgen, noodzakelijk om het op het hostsysteem uit te voeren.

Installatie is niet nodig voor het gebruik van Lynis. Je kunt het uit een gedownload pakket of een tarball halen en het uitvoeren. Je kunt het ook van een Git-kloon halen om toegang te hebben tot de volledige documentatie en broncode.

Lynis is gemaakt door de oorspronkelijke auteur van Rkhunter, Michael Boelen. Het heeft twee soorten services op basis van individuen en bedrijven. In beide gevallen levert het uitstekende prestaties.

Chkrootkit

Zoals je misschien al geraden had, de chkrootkit is een tool om te controleren op het bestaan ​​van rootkits. Rootkits zijn een soort schadelijke software die toegang tot de server kan geven aan een onbevoegde gebruiker. Als u een op Linux gebaseerde server gebruikt, kunnen rootkits een probleem zijn.

chkrootkit is een van de meest gebruikte op Unix gebaseerde programma’s die rootkits kunnen detecteren. Het gebruikt ‘strings’ en ‘grep’ (Linux-toolopdrachten) om problemen te detecteren.

Het kan worden gebruikt vanuit een alternatieve directory of vanaf een reddingsschijf, voor het geval u wilt dat het een reeds gecompromitteerd systeem verifieert. De verschillende componenten van Chkrootkit zorgen voor het zoeken naar verwijderde items in de “wtmp” – en “lastlog” -bestanden, het vinden van sniffer-records of rootkit-configuratiebestanden en het controleren op verborgen items in “/ proc” of aanroepen van het “readdir” -programma.

Om chkrootkit te gebruiken, moet je de nieuwste versie van een server halen, de bronbestanden uitpakken, ze compileren en je bent klaar om te gaan.

Rkhunter

Ontwikkelaar Micheal Boelen was de persoon achter het maken Rkhunter (Rootkit Hunter) in 2003. Het is een geschikte tool voor POSIX-systemen en kan helpen bij het detecteren van rootkits en andere kwetsbaarheden. Rkhunter doorloopt grondig bestanden (verborgen of zichtbaar), standaardmappen, kernelmodules en verkeerd geconfigureerde rechten.

Na een routinecontrole worden ze vergeleken met de veilige en juiste records van databases en wordt gezocht naar verdachte programma’s. Omdat het programma in Bash is geschreven, kan het niet alleen op Linux-machines draaien, maar ook op vrijwel elke versie van Unix.

ClamAV

Geschreven in C++, ClamAV is een open-source antivirus die kan helpen bij het detecteren van virussen, trojaanse paarden en vele andere soorten malware. Het is een volledig gratis tool, daarom gebruiken veel mensen het om hun persoonlijke informatie, inclusief e-mails, te scannen op elke vorm van kwaadaardige bestanden. Het dient ook aanzienlijk als server-side scanner.

De tool is in eerste instantie ontwikkeld, speciaal voor Unix. Toch heeft het versies van derden die kunnen worden gebruikt op Linux, BSD, AIX, macOS, OSF, OpenVMS en Solaris. Clam AV voert een automatische en regelmatige update van zijn database uit om zelfs de meest recente bedreigingen te kunnen detecteren. Het maakt scannen via de opdrachtregel mogelijk en het heeft een schaalbare demon met meerdere threads om de scansnelheid te verbeteren.

Het kan verschillende soorten bestanden doorlopen om kwetsbaarheden te detecteren. Het ondersteunt alle soorten gecomprimeerde bestanden, waaronder RAR, Zip, Gzip, Tar, Cabinet, OLE2, CHM, SIS-indeling, BinHex en bijna elk type e-mailsysteem.

LMD

Linux Malware Detect – of kortweg LMD – is een andere gerenommeerde antivirus voor Linux-systemen, specifiek ontworpen rond de bedreigingen die gewoonlijk voorkomen in gehoste omgevingen. Net als veel andere tools die malware en rootkits kunnen detecteren, gebruikt LMD een handtekeningdatabase om kwaadaardige actieve code te vinden en deze snel te beëindigen.

LMD beperkt zich niet tot zijn eigen handtekeningdatabase. Het kan de databases van ClamAV en Team Cymru gebruiken om nog meer virussen te vinden. Om zijn database te vullen, legt LMD bedreigingsgegevens vast van inbraakdetectiesystemen van het netwerk. Hierdoor kan het nieuwe handtekeningen genereren voor malware die actief wordt gebruikt bij aanvallen.

LMD kan worden gebruikt via de opdrachtregel “maldet”. De tool is speciaal gemaakt voor Linux-platforms en kan gemakkelijk zoeken via Linux-servers.

Radare2

Radare2 (R2) is een raamwerk voor het analyseren van binaire bestanden en het uitvoeren van reverse-engineering met uitstekende detectiecapaciteiten. Het kan misvormde binaire bestanden detecteren, waardoor de gebruiker de tools krijgt om ze te beheren en potentiële bedreigingen te neutraliseren. Het maakt gebruik van sdb, een NoSQL-database. Onderzoekers van softwarebeveiliging en softwareontwikkelaars geven de voorkeur aan deze tool vanwege zijn uitstekende datapresentatie.

Een van de opvallende kenmerken van Radare2 is dat de gebruiker niet gedwongen wordt om de opdrachtregel te gebruiken voor het uitvoeren van taken zoals statische / dynamische analyse en softwarebenutting. Het wordt aanbevolen voor elk type onderzoek naar binaire gegevens.

OpenVAS

Open kwetsbaarheidsbeoordelingssysteem, of OpenVAS, is een gehost systeem om kwetsbaarheden te scannen en te beheren. Het is ontworpen voor bedrijven van elke omvang en helpt hen beveiligingsproblemen op te sporen die verborgen zijn in hun infrastructuur. Aanvankelijk stond het product bekend als GNessUs, totdat de huidige eigenaar, Greenbone Networks, de naam veranderde in OpenVAS.

Sinds versie 4.0 staat OpenVAS continue updates toe – meestal binnen een periode van minder dan 24 uur – van de Network Vulnerability Testing (NVT) -basis. Vanaf juni 2016 had het meer dan 47.000 NVT’s.

Beveiligingsexperts gebruiken OpenVAS omdat het snel kan scannen. Het beschikt ook over een uitstekende configureerbaarheid. OpenVAS-programma’s kunnen vanaf een zelfstandige virtuele machine worden gebruikt voor het uitvoeren van veilig malware-onderzoek. De broncode is beschikbaar onder een GNU GPL-licentie. Veel andere tools voor het detecteren van kwetsbaarheden zijn afhankelijk van OpenVAS – daarom wordt het beschouwd als een essentieel programma op Linux-gebaseerde platforms.

REMnux

REMnux gebruikt reverse-engineeringmethoden voor het analyseren van malware. Het kan veel browsergebaseerde problemen detecteren, verborgen in JavaScript-verduisterde codefragmenten en Flash-applets. Het is ook in staat om PDF-bestanden te scannen en forensisch geheugen uit te voeren. De tool helpt bij het detecteren van schadelijke programma’s in mappen en bestanden die niet gemakkelijk kunnen worden gescand met andere virusdetectieprogramma’s.

Het is effectief vanwege zijn decoderings- en reverse-engineering-mogelijkheden. Het kan de eigenschappen van verdachte programma’s bepalen en omdat het licht van gewicht is, is het niet erg op te sporen door slimme, kwaadaardige programma’s. Het kan worden gebruikt op zowel Linux als Windows en de functionaliteit kan worden verbeterd met behulp van andere scantools.

Tijger

In 1992 werd Texas A&M University begon aan te werken Tijger om de beveiliging van hun campuscomputers te verbeteren. Nu is het een populair programma voor Unix-achtige platforms. Uniek aan de tool is dat het niet alleen een security audit tool is, maar ook een inbraakdetectiesysteem.

De tool is gratis te gebruiken onder een GPL-licentie. Het is afhankelijk van POSIX-tools en samen kunnen ze een perfect raamwerk creëren dat de beveiliging van uw server aanzienlijk kan verhogen. Tiger is volledig geschreven in shell-taal – dat is een van de redenen voor de effectiviteit ervan. Het is geschikt voor het controleren van de systeemstatus en configuratie, en door het multifunctionele gebruik ervan is het erg populair bij mensen die POSIX-tools gebruiken.

Maltrail

Maltrail is een verkeersdetectiesysteem dat het verkeer van uw server schoon kan houden en elke vorm van kwaadaardige bedreigingen kan helpen voorkomen. Het voert die taak uit door de verkeersbronnen te vergelijken met online op de zwarte lijst geplaatste sites.

Naast het controleren op sites op de zwarte lijst, gebruikt het ook geavanceerde heuristische mechanismen voor het detecteren van verschillende soorten bedreigingen. Ook al is het een optionele functie, het is handig als je denkt dat je server al is aangevallen.

Het heeft een sensor die het verkeer dat een server ontvangt kan detecteren en de informatie naar de Maltrail-server kan verzenden. Het detectiesysteem controleert of het verkeer goed genoeg is om gegevens uit te wisselen tussen een server en de bron.

YARA

Gemaakt voor Linux, Windows en macOS, YARA (Yet Another Ridiculous Acronym) is een van de meest essentiële tools die worden gebruikt voor het onderzoeken en detecteren van kwaadaardige programma’s. Het gebruikt tekstuele of binaire patronen om het detectieproces te vereenvoudigen en te versnellen, wat resulteert in een snelle en gemakkelijke taak.

YARA heeft wat extra functies, maar je hebt de OpenSSL-bibliotheek nodig om ze te gebruiken. Ook al heb je die bibliotheek niet, je kunt YARA gebruiken voor basisonderzoek naar malware via een op regels gebaseerde engine. Het kan ook worden gebruikt in de Cuckoo Sandbox, een op Python gebaseerde sandbox die ideaal is om veilig onderzoek te doen naar schadelijke software.

Hoe u de beste tool kiest?

Alle tools die we hierboven hebben genoemd werken heel goed, en als een tool populair is in Linux-omgevingen, kun je er vrij zeker van zijn dat duizenden ervaren gebruikers het gebruiken. Een ding dat systeembeheerders moeten onthouden, is dat elke applicatie meestal afhankelijk is van andere programma’s. Dat is bijvoorbeeld het geval bij ClamAV en OpenVAS.

U moet begrijpen wat uw systeem nodig heeft en op welke gebieden het kwetsbaar kan zijn. Gebruik eerst een lichtgewicht hulpmiddel om te onderzoeken welke sectie aandacht nodig heeft. Gebruik vervolgens de juiste tool om het probleem op te lossen.

TAGS:

  • Linux

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map