5 ເຄື່ອງມືໃນການສະແກນ Linux Server ສຳ ລັບ Malware ແລະ Rootkits

ມີລະດັບການໂຈມຕີສູງແລະມີການສະແກນພອດຢູ່ໃນເຊີບເວີຂອງ Linux ຕະຫຼອດເວລາ, ໃນຂະນະທີ່ລະບົບປ້ອງກັນໄຟວໍແລະການປັບປຸງລະບົບຄວາມປອດໄພເປັນປົກກະຕິເພີ່ມຊັ້ນພິເສດເພື່ອຮັກສາລະບົບໃຫ້ປອດໄພ, ແຕ່ທ່ານກໍ່ຄວນສັງເກດເບິ່ງເລື້ອຍໆຖ້າມີໃຜເຂົ້າມາ. ຍັງຊ່ວຍໃນການຮັບປະກັນວ່າເຄື່ອງແມ່ຂ່າຍຂອງທ່ານບໍ່ມີໂຄງການໃດໆທີ່ມີຈຸດປະສົງໃນການລົບກວນການເຮັດວຽກປົກກະຕິຂອງມັນ.

ເຄື່ອງມືທີ່ ນຳ ສະ ເໜີ ໃນບົດຄວາມນີ້ແມ່ນສ້າງຂື້ນມາເພື່ອການສະແກນຄວາມປອດໄພເຫລົ່ານີ້ແລະພວກເຂົາສາມາດລະບຸຕົວຕົນຂອງໄວຣັດ, Malwares, Rootkits, ແລະພຶດຕິ ກຳ ທີ່ເປັນອັນຕະລາຍ. ທ່ານສາມາດໃຊ້ເຄື່ອງມືເຫຼົ່ານີ້ເຮັດລະບົບສະແກນລະບົບເປັນປະ ຈຳ ເຊັ່ນ: ທຸກໆຄືນແລະລາຍງານອີເມວຫາທີ່ຢູ່ອີເມວຂອງທ່ານ.

1. Lynis - ເຄື່ອງກວດສອບຄວາມປອດໄພແລະເຄື່ອງສະແກນ Rootkit

Lynis ແມ່ນເຄື່ອງມືກວດສອບແລະສະແກນຄວາມປອດໄພທີ່ມີປະສິດທິພາບແລະເປັນທີ່ນິຍົມ ສຳ ລັບ Unix/Linux ຄືກັບລະບົບປະຕິບັດການ. ມັນແມ່ນເຄື່ອງມືກວດຫາຂໍ້ມູນແລະຄວາມສ່ຽງທີ່ມີຄວາມສ່ຽງທີ່ສະແກນລະບົບ ສຳ ລັບຂໍ້ມູນແລະບັນຫາຄວາມປອດໄພ, ຄວາມຖືກຕ້ອງຂອງເອກະສານ, ຂໍ້ຜິດພາດໃນການຕັ້ງຄ່າ; ປະຕິບັດການກວດສອບໄຟວໍ, ການກວດສອບຊອບແວທີ່ຕິດຕັ້ງ, ການອະນຸຍາດເອກະສານ/ໄດເລກະທໍລີແລະອື່ນໆ.

ສິ່ງທີ່ ສຳ ຄັນ, ມັນບໍ່ໄດ້ເຮັດໃຫ້ລະບົບແຂງໃດໆໂດຍອັດຕະໂນມັດ, ຢ່າງໃດກໍ່ຕາມ, ມັນພຽງແຕ່ໃຫ້ ຄຳ ແນະ ນຳ ທີ່ຊ່ວຍໃຫ້ທ່ານສາມາດເຮັດໃຫ້ເຄື່ອງແມ່ຂ່າຍຂອງທ່ານແຂງ.

ພວກເຮົາຈະຕິດຕັ້ງ Lynis ລຸ້ນລ້າສຸດ (ຕົວຢ່າງ 2.6.6) ຈາກແຫລ່ງຕ່າງໆ, ໂດຍໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້.

# cd /opt/
# wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz
# tar xvzf lynis-2.6.6.tar.gz
# mv lynis /usr/local/
# ln -s /usr/local/lynis/lynis /usr/local/bin/lynis

ຕອນນີ້ທ່ານສາມາດປະຕິບັດການສະແກນລະບົບຂອງທ່ານດ້ວຍ ຄຳ ສັ່ງຂ້າງລຸ່ມນີ້.

# lynis audit system

ເພື່ອເຮັດໃຫ້ Lynis ແລ່ນໂດຍອັດຕະໂນມັດໃນທຸກໆຄືນ, ຕື່ມການເຂົ້າ cron ຕໍ່ໄປນີ້, ເຊິ່ງຈະແລ່ນໃນຕອນເຊົ້າ 3 ໂມງເຊົ້າແລະສົ່ງລາຍງານໃຫ້ທີ່ຢູ່ອີເມວຂອງທ່ານ.

0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server" [email 

2. Chkrootkit - ເຄື່ອງສະແກນ Linux Rootkit

Chkrootkit ຍັງເປັນເຄື່ອງກວດຫາຮາກຖານເປີດທີ່ບໍ່ເສຍຄ່າອີກຢ່າງ ໜຶ່ງ ທີ່ຢູ່ໃນທ້ອງຖິ່ນກວດເບິ່ງສັນຍານຂອງຮາກໃນລະບົບທີ່ຄ້າຍຄືກັບ Unix. ມັນຊ່ວຍໃນການກວດພົບຮູທີ່ປອດໄພທີ່ເຊື່ອງໄວ້. ຊຸດ chkrootkit ປະກອບດ້ວຍສະຄິບຫອຍເຊິ່ງກວດເບິ່ງຖານສອງລະບົບ ສຳ ລັບການດັດແປງ rootkit ແລະໂປແກຼມ ຈຳ ນວນ ໜຶ່ງ ທີ່ກວດສອບບັນຫາຄວາມປອດໄພຕ່າງໆ.

ເຄື່ອງມື chkrootkit ສາມາດຕິດຕັ້ງໄດ້ໂດຍໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້ກ່ຽວກັບລະບົບທີ່ອີງໃສ່ Debian.

$ sudo apt install chkrootkit

ໃນລະບົບທີ່ອີງໃສ່ CentOS, ທ່ານ ຈຳ ເປັນຕ້ອງຕິດຕັ້ງມັນຈາກແຫຼ່ງຕ່າງໆໂດຍໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້.

# yum update
# yum install wget gcc-c++ glibc-static
# wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
# tar –xzf chkrootkit.tar.gz
# mkdir /usr/local/chkrootkit
# mv chkrootkit-0.52/* /usr/local/chkrootkit
# cd /usr/local/chkrootkit
# make sense

ເພື່ອກວດສອບເຊີບເວີຂອງທ່ານດ້ວຍ Chkrootkit ດຳ ເນີນການ ຄຳ ສັ່ງຕໍ່ໄປນີ້.

$ sudo chkrootkit 
OR
# /usr/local/chkrootkit/chkrootkit

ເມື່ອແລ່ນແລ້ວ, ມັນຈະເລີ່ມກວດສອບລະບົບຂອງທ່ານ ສຳ ລັບ Malwares ແລະ Rootkits ທີ່ຮູ້ຈັກແລະຫຼັງຈາກຂະບວນການ ສຳ ເລັດແລ້ວ, ທ່ານສາມາດເບິ່ງບົດສະຫຼຸບຂອງບົດລາຍງານ.

ເພື່ອເຮັດໃຫ້ Chkrootkit ເຮັດວຽກໂດຍອັດຕະໂນມັດໃນທຸກໆຄືນ, ຕື່ມການເຂົ້າ cron ຕໍ່ໄປນີ້, ເຊິ່ງຈະແລ່ນໃນຕອນເຊົ້າ 3 ໂມງເຊົ້າແລະສົ່ງລາຍງານໄປທີ່ອີເມວຂອງທ່ານ.

0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server" [email 

Rkhunter - ເຄື່ອງສະແກນ Linux Rootkit

RKH (RootKit Hunter) ແມ່ນໂປແກຼມທີ່ບໍ່ເສຍຄ່າ, ເປີດ, ມີປະສິດທິພາບ, ງ່າຍດາຍທີ່ຈະໃຊ້ແລະເປັນທີ່ຮູ້ຈັກກັນດີໃນການສະແກນທາງຫລັງ, ຮາກແລະການຂູດຮີດທ້ອງຖິ່ນໃນລະບົບປະຕິບັດຕາມ POSIX ເຊັ່ນ Linux. ໃນຖານະເປັນຊື່ຊີ້ໃຫ້ເຫັນ, ມັນເປັນຜູ້ລ່າ rootkit, ເຄື່ອງມືກວດສອບແລະການວິເຄາະຄວາມປອດໄພທີ່ມີການກວດກາຢ່າງລະອຽດກ່ຽວກັບລະບົບເພື່ອກວດພົບຂຸມຄວາມປອດໄພທີ່ເຊື່ອງໄວ້.

ເຄື່ອງມື rkhunter ສາມາດຕິດຕັ້ງໂດຍໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້ໃນລະບົບທີ່ອີງໃສ່ Ubuntu ແລະ CentOS.

$ sudo apt install rkhunter
# yum install epel-release
# yum install rkhunter

ເພື່ອກວດສອບເຊີບເວີຂອງທ່ານດ້ວຍ rkhunter ດຳ ເນີນການ ຄຳ ສັ່ງຕໍ່ໄປນີ້.

# rkhunter -c

ເພື່ອເຮັດໃຫ້ rkhunter ແລ່ນໂດຍອັດຕະໂນມັດໃນທຸກໆຄືນ, ຕື່ມການເຂົ້າ cron ຕໍ່ໄປນີ້, ເຊິ່ງຈະແລ່ນໃນຕອນເຊົ້າ 3 ໂມງເຊົ້າແລະສົ່ງລາຍງານໄປທີ່ອີເມວຂອງທ່ານ.

0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server" [email 

4. ClamAV - ຊຸດເຄື່ອງມືຊອຟແວປ້ອງກັນໄວຣັດ

ClamAV ແມ່ນໂປແກຼມປ້ອງກັນໄວຣັດທີ່ສາມາດຄົ້ນຫາໄດ້, ມີຄວາມຫລາກຫລາຍ, ເປັນທີ່ນິຍົມແລະຂ້າມເວທີເພື່ອຄົ້ນຫາໄວຣັສ, ມັນແວ, Trojan ແລະໂປແກຼມທີ່ເປັນອັນຕະລາຍອື່ນໆໃນຄອມພິວເຕີ. ມັນແມ່ນ ໜຶ່ງ ໃນໂປແກຼມປ້ອງກັນໄວຣັດທີ່ດີທີ່ສຸດ ສຳ ລັບ Linux ແລະມາດຕະຖານແຫຼ່ງເປີດ ສຳ ລັບຊອບແວສະແກນປະຕູເມລທີ່ສະ ໜັບ ສະ ໜູນ ຮູບແບບເອກະສານ mail ເກືອບທັງ ໝົດ.

ມັນສະ ໜັບ ສະ ໜູນ ການປັບປຸງຖານຂໍ້ມູນໄວຣັດໃນທຸກລະບົບແລະການສະແກນຫາທີ່ເຂົ້າເຖິງໃນ Linux ເທົ່ານັ້ນ. ນອກຈາກນັ້ນ, ມັນສາມາດສະແກນເອກະສານພາຍໃນບ່ອນເກັບມ້ຽນແລະຮວບຮວມເອກະສານແລະສະ ໜັບ ສະ ໜູນ ຮູບແບບຕ່າງໆເຊັ່ນ Zip, Tar, 7Zip, Rar ແລະອື່ນໆ.

ClamAV ສາມາດຕິດຕັ້ງໄດ້ໂດຍໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້ກ່ຽວກັບລະບົບທີ່ອີງໃສ່ Debian.

$ sudo apt-get install clamav

ClamAV ສາມາດຕິດຕັ້ງໂດຍໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້ກ່ຽວກັບລະບົບທີ່ອີງໃສ່ CentOS.

# yum -y update
# yum -y install clamav

ເມື່ອຕິດຕັ້ງແລ້ວ, ທ່ານສາມາດປັບປຸງລາຍເຊັນແລະສະແກນລາຍຊື່ທີ່ມີ ຄຳ ສັ່ງຕໍ່ໄປນີ້.

# freshclam
# clamscan -r -i DIRECTORY

ບ່ອນທີ່ DIRECTORY ແມ່ນສະຖານທີ່ທີ່ຈະສະແກນ. ຕົວເລືອກ -r , ໝາຍ ຄວາມວ່າສະແກນແບບຊ້ ຳ ແລ້ວແລະ -i ໝາຍ ເຖິງການສະແດງເອກະສານທີ່ຕິດເຊື້ອເທົ່ານັ້ນ.

5. LMD - Linux Malware ກວດພົບ

LMD (Linux Malware Detect) ແມ່ນແຫຼ່ງເປີດ, ມີ ອຳ ນາດແລະມີຄຸນສົມບັດເຕັມຮູບແບບ ສຳ ລັບ Linux ທີ່ອອກແບບໂດຍສະເພາະແລະແນເປົ້າ ໝາຍ ໃສ່ສະພາບແວດລ້ອມທີ່ເປັນເຈົ້າພາບຮ່ວມກັນ, ແຕ່ສາມາດໃຊ້ເພື່ອກວດສອບການຂົ່ມຂູ່ໃນລະບົບ Linux ໃດໆ. ມັນສາມາດປະສົມປະສານກັບເຄື່ອງຈັກເຄື່ອງສະແກນ ClamAV ເພື່ອໃຫ້ມີປະສິດຕິພາບດີຂື້ນ.

ມັນໃຫ້ລະບົບການລາຍງານເຕັມຮູບແບບເພື່ອເບິ່ງຜົນການສະແກນໃນປະຈຸບັນແລະກ່ອນ ໜ້າ ນີ້, ສະ ໜັບ ສະ ໜູນ ການລາຍງານການແຈ້ງເຕືອນທາງອີເມວຫຼັງຈາກທຸກໆການປະຕິບັດການສະແກນແລະຄຸນລັກສະນະທີ່ມີປະໂຫຍດຫຼາຍຢ່າງ.

ສຳ ລັບການຕິດຕັ້ງແລະການ ນຳ ໃຊ້ຂອງ LMD, ໃຫ້ອ່ານບົດຄວາມຂອງພວກເຮົາວິທີການຕິດຕັ້ງແລະ ນຳ ໃຊ້ Linux Malware Detect (LMD) ກັບ ClamAV ເປັນ Antivirus Engine.

ດຽວນີ້ ໝົດ ແລ້ວ! ໃນບົດຂຽນນີ້, ພວກເຮົາໄດ້ແບ່ງປັນບັນຊີລາຍຊື່ຂອງ 5 ເຄື່ອງມືເພື່ອສະແກນ Linux server ສຳ ລັບ malware ແລະ rootkits. ໃຫ້ພວກເຮົາຮູ້ຄວາມຄິດຂອງທ່ານໃນສ່ວນ ຄຳ ເຫັນ.