5 ເຄື່ອງມືໃນການສະແກນ Linux Server ສຳ ລັບ Malware ແລະ Rootkits
ມີລະດັບການໂຈມຕີສູງແລະມີການສະແກນພອດຢູ່ໃນເຊີບເວີຂອງ Linux ຕະຫຼອດເວລາ, ໃນຂະນະທີ່ລະບົບປ້ອງກັນໄຟວໍແລະການປັບປຸງລະບົບຄວາມປອດໄພເປັນປົກກະຕິເພີ່ມຊັ້ນພິເສດເພື່ອຮັກສາລະບົບໃຫ້ປອດໄພ, ແຕ່ທ່ານກໍ່ຄວນສັງເກດເບິ່ງເລື້ອຍໆຖ້າມີໃຜເຂົ້າມາ. ຍັງຊ່ວຍໃນການຮັບປະກັນວ່າເຄື່ອງແມ່ຂ່າຍຂອງທ່ານບໍ່ມີໂຄງການໃດໆທີ່ມີຈຸດປະສົງໃນການລົບກວນການເຮັດວຽກປົກກະຕິຂອງມັນ.
ເຄື່ອງມືທີ່ ນຳ ສະ ເໜີ ໃນບົດຄວາມນີ້ແມ່ນສ້າງຂື້ນມາເພື່ອການສະແກນຄວາມປອດໄພເຫລົ່ານີ້ແລະພວກເຂົາສາມາດລະບຸຕົວຕົນຂອງໄວຣັດ, Malwares, Rootkits, ແລະພຶດຕິ ກຳ ທີ່ເປັນອັນຕະລາຍ. ທ່ານສາມາດໃຊ້ເຄື່ອງມືເຫຼົ່ານີ້ເຮັດລະບົບສະແກນລະບົບເປັນປະ ຈຳ ເຊັ່ນ: ທຸກໆຄືນແລະລາຍງານອີເມວຫາທີ່ຢູ່ອີເມວຂອງທ່ານ.
1. Lynis - ເຄື່ອງກວດສອບຄວາມປອດໄພແລະເຄື່ອງສະແກນ Rootkit
Lynis ແມ່ນເຄື່ອງມືກວດສອບແລະສະແກນຄວາມປອດໄພທີ່ມີປະສິດທິພາບແລະເປັນທີ່ນິຍົມ ສຳ ລັບ Unix/Linux ຄືກັບລະບົບປະຕິບັດການ. ມັນແມ່ນເຄື່ອງມືກວດຫາຂໍ້ມູນແລະຄວາມສ່ຽງທີ່ມີຄວາມສ່ຽງທີ່ສະແກນລະບົບ ສຳ ລັບຂໍ້ມູນແລະບັນຫາຄວາມປອດໄພ, ຄວາມຖືກຕ້ອງຂອງເອກະສານ, ຂໍ້ຜິດພາດໃນການຕັ້ງຄ່າ; ປະຕິບັດການກວດສອບໄຟວໍ, ການກວດສອບຊອບແວທີ່ຕິດຕັ້ງ, ການອະນຸຍາດເອກະສານ/ໄດເລກະທໍລີແລະອື່ນໆ.
ສິ່ງທີ່ ສຳ ຄັນ, ມັນບໍ່ໄດ້ເຮັດໃຫ້ລະບົບແຂງໃດໆໂດຍອັດຕະໂນມັດ, ຢ່າງໃດກໍ່ຕາມ, ມັນພຽງແຕ່ໃຫ້ ຄຳ ແນະ ນຳ ທີ່ຊ່ວຍໃຫ້ທ່ານສາມາດເຮັດໃຫ້ເຄື່ອງແມ່ຂ່າຍຂອງທ່ານແຂງ.
ພວກເຮົາຈະຕິດຕັ້ງ Lynis ລຸ້ນລ້າສຸດ (ຕົວຢ່າງ 2.6.6) ຈາກແຫລ່ງຕ່າງໆ, ໂດຍໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້.
# cd /opt/ # wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz # tar xvzf lynis-2.6.6.tar.gz # mv lynis /usr/local/ # ln -s /usr/local/lynis/lynis /usr/local/bin/lynis
ຕອນນີ້ທ່ານສາມາດປະຕິບັດການສະແກນລະບົບຂອງທ່ານດ້ວຍ ຄຳ ສັ່ງຂ້າງລຸ່ມນີ້.
# lynis audit system
ເພື່ອເຮັດໃຫ້ Lynis ແລ່ນໂດຍອັດຕະໂນມັດໃນທຸກໆຄືນ, ຕື່ມການເຂົ້າ cron ຕໍ່ໄປນີ້, ເຊິ່ງຈະແລ່ນໃນຕອນເຊົ້າ 3 ໂມງເຊົ້າແລະສົ່ງລາຍງານໃຫ້ທີ່ຢູ່ອີເມວຂອງທ່ານ.
0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server" [email
2. Chkrootkit - ເຄື່ອງສະແກນ Linux Rootkit
Chkrootkit ຍັງເປັນເຄື່ອງກວດຫາຮາກຖານເປີດທີ່ບໍ່ເສຍຄ່າອີກຢ່າງ ໜຶ່ງ ທີ່ຢູ່ໃນທ້ອງຖິ່ນກວດເບິ່ງສັນຍານຂອງຮາກໃນລະບົບທີ່ຄ້າຍຄືກັບ Unix. ມັນຊ່ວຍໃນການກວດພົບຮູທີ່ປອດໄພທີ່ເຊື່ອງໄວ້. ຊຸດ chkrootkit ປະກອບດ້ວຍສະຄິບຫອຍເຊິ່ງກວດເບິ່ງຖານສອງລະບົບ ສຳ ລັບການດັດແປງ rootkit ແລະໂປແກຼມ ຈຳ ນວນ ໜຶ່ງ ທີ່ກວດສອບບັນຫາຄວາມປອດໄພຕ່າງໆ.
ເຄື່ອງມື chkrootkit ສາມາດຕິດຕັ້ງໄດ້ໂດຍໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້ກ່ຽວກັບລະບົບທີ່ອີງໃສ່ Debian.
$ sudo apt install chkrootkit
ໃນລະບົບທີ່ອີງໃສ່ CentOS, ທ່ານ ຈຳ ເປັນຕ້ອງຕິດຕັ້ງມັນຈາກແຫຼ່ງຕ່າງໆໂດຍໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້.
# yum update # yum install wget gcc-c++ glibc-static # wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz # tar –xzf chkrootkit.tar.gz # mkdir /usr/local/chkrootkit # mv chkrootkit-0.52/* /usr/local/chkrootkit # cd /usr/local/chkrootkit # make sense
ເພື່ອກວດສອບເຊີບເວີຂອງທ່ານດ້ວຍ Chkrootkit ດຳ ເນີນການ ຄຳ ສັ່ງຕໍ່ໄປນີ້.
$ sudo chkrootkit OR # /usr/local/chkrootkit/chkrootkit
ເມື່ອແລ່ນແລ້ວ, ມັນຈະເລີ່ມກວດສອບລະບົບຂອງທ່ານ ສຳ ລັບ Malwares ແລະ Rootkits ທີ່ຮູ້ຈັກແລະຫຼັງຈາກຂະບວນການ ສຳ ເລັດແລ້ວ, ທ່ານສາມາດເບິ່ງບົດສະຫຼຸບຂອງບົດລາຍງານ.
ເພື່ອເຮັດໃຫ້ Chkrootkit ເຮັດວຽກໂດຍອັດຕະໂນມັດໃນທຸກໆຄືນ, ຕື່ມການເຂົ້າ cron ຕໍ່ໄປນີ້, ເຊິ່ງຈະແລ່ນໃນຕອນເຊົ້າ 3 ໂມງເຊົ້າແລະສົ່ງລາຍງານໄປທີ່ອີເມວຂອງທ່ານ.
0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server" [email
Rkhunter - ເຄື່ອງສະແກນ Linux Rootkit
RKH (RootKit Hunter) ແມ່ນໂປແກຼມທີ່ບໍ່ເສຍຄ່າ, ເປີດ, ມີປະສິດທິພາບ, ງ່າຍດາຍທີ່ຈະໃຊ້ແລະເປັນທີ່ຮູ້ຈັກກັນດີໃນການສະແກນທາງຫລັງ, ຮາກແລະການຂູດຮີດທ້ອງຖິ່ນໃນລະບົບປະຕິບັດຕາມ POSIX ເຊັ່ນ Linux. ໃນຖານະເປັນຊື່ຊີ້ໃຫ້ເຫັນ, ມັນເປັນຜູ້ລ່າ rootkit, ເຄື່ອງມືກວດສອບແລະການວິເຄາະຄວາມປອດໄພທີ່ມີການກວດກາຢ່າງລະອຽດກ່ຽວກັບລະບົບເພື່ອກວດພົບຂຸມຄວາມປອດໄພທີ່ເຊື່ອງໄວ້.
ເຄື່ອງມື rkhunter ສາມາດຕິດຕັ້ງໂດຍໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້ໃນລະບົບທີ່ອີງໃສ່ Ubuntu ແລະ CentOS.
$ sudo apt install rkhunter # yum install epel-release # yum install rkhunter
ເພື່ອກວດສອບເຊີບເວີຂອງທ່ານດ້ວຍ rkhunter ດຳ ເນີນການ ຄຳ ສັ່ງຕໍ່ໄປນີ້.
# rkhunter -c
ເພື່ອເຮັດໃຫ້ rkhunter ແລ່ນໂດຍອັດຕະໂນມັດໃນທຸກໆຄືນ, ຕື່ມການເຂົ້າ cron ຕໍ່ໄປນີ້, ເຊິ່ງຈະແລ່ນໃນຕອນເຊົ້າ 3 ໂມງເຊົ້າແລະສົ່ງລາຍງານໄປທີ່ອີເມວຂອງທ່ານ.
0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server" [email
4. ClamAV - ຊຸດເຄື່ອງມືຊອຟແວປ້ອງກັນໄວຣັດ
ClamAV ແມ່ນໂປແກຼມປ້ອງກັນໄວຣັດທີ່ສາມາດຄົ້ນຫາໄດ້, ມີຄວາມຫລາກຫລາຍ, ເປັນທີ່ນິຍົມແລະຂ້າມເວທີເພື່ອຄົ້ນຫາໄວຣັສ, ມັນແວ, Trojan ແລະໂປແກຼມທີ່ເປັນອັນຕະລາຍອື່ນໆໃນຄອມພິວເຕີ. ມັນແມ່ນ ໜຶ່ງ ໃນໂປແກຼມປ້ອງກັນໄວຣັດທີ່ດີທີ່ສຸດ ສຳ ລັບ Linux ແລະມາດຕະຖານແຫຼ່ງເປີດ ສຳ ລັບຊອບແວສະແກນປະຕູເມລທີ່ສະ ໜັບ ສະ ໜູນ ຮູບແບບເອກະສານ mail ເກືອບທັງ ໝົດ.
ມັນສະ ໜັບ ສະ ໜູນ ການປັບປຸງຖານຂໍ້ມູນໄວຣັດໃນທຸກລະບົບແລະການສະແກນຫາທີ່ເຂົ້າເຖິງໃນ Linux ເທົ່ານັ້ນ. ນອກຈາກນັ້ນ, ມັນສາມາດສະແກນເອກະສານພາຍໃນບ່ອນເກັບມ້ຽນແລະຮວບຮວມເອກະສານແລະສະ ໜັບ ສະ ໜູນ ຮູບແບບຕ່າງໆເຊັ່ນ Zip, Tar, 7Zip, Rar ແລະອື່ນໆ.
ClamAV ສາມາດຕິດຕັ້ງໄດ້ໂດຍໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້ກ່ຽວກັບລະບົບທີ່ອີງໃສ່ Debian.
$ sudo apt-get install clamav
ClamAV ສາມາດຕິດຕັ້ງໂດຍໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້ກ່ຽວກັບລະບົບທີ່ອີງໃສ່ CentOS.
# yum -y update # yum -y install clamav
ເມື່ອຕິດຕັ້ງແລ້ວ, ທ່ານສາມາດປັບປຸງລາຍເຊັນແລະສະແກນລາຍຊື່ທີ່ມີ ຄຳ ສັ່ງຕໍ່ໄປນີ້.
# freshclam # clamscan -r -i DIRECTORY
ບ່ອນທີ່ DIRECTORY ແມ່ນສະຖານທີ່ທີ່ຈະສະແກນ. ຕົວເລືອກ -r
, ໝາຍ ຄວາມວ່າສະແກນແບບຊ້ ຳ ແລ້ວແລະ -i
ໝາຍ ເຖິງການສະແດງເອກະສານທີ່ຕິດເຊື້ອເທົ່ານັ້ນ.
5. LMD - Linux Malware ກວດພົບ
LMD (Linux Malware Detect) ແມ່ນແຫຼ່ງເປີດ, ມີ ອຳ ນາດແລະມີຄຸນສົມບັດເຕັມຮູບແບບ ສຳ ລັບ Linux ທີ່ອອກແບບໂດຍສະເພາະແລະແນເປົ້າ ໝາຍ ໃສ່ສະພາບແວດລ້ອມທີ່ເປັນເຈົ້າພາບຮ່ວມກັນ, ແຕ່ສາມາດໃຊ້ເພື່ອກວດສອບການຂົ່ມຂູ່ໃນລະບົບ Linux ໃດໆ. ມັນສາມາດປະສົມປະສານກັບເຄື່ອງຈັກເຄື່ອງສະແກນ ClamAV ເພື່ອໃຫ້ມີປະສິດຕິພາບດີຂື້ນ.
ມັນໃຫ້ລະບົບການລາຍງານເຕັມຮູບແບບເພື່ອເບິ່ງຜົນການສະແກນໃນປະຈຸບັນແລະກ່ອນ ໜ້າ ນີ້, ສະ ໜັບ ສະ ໜູນ ການລາຍງານການແຈ້ງເຕືອນທາງອີເມວຫຼັງຈາກທຸກໆການປະຕິບັດການສະແກນແລະຄຸນລັກສະນະທີ່ມີປະໂຫຍດຫຼາຍຢ່າງ.
ສຳ ລັບການຕິດຕັ້ງແລະການ ນຳ ໃຊ້ຂອງ LMD, ໃຫ້ອ່ານບົດຄວາມຂອງພວກເຮົາວິທີການຕິດຕັ້ງແລະ ນຳ ໃຊ້ Linux Malware Detect (LMD) ກັບ ClamAV ເປັນ Antivirus Engine.
ດຽວນີ້ ໝົດ ແລ້ວ! ໃນບົດຂຽນນີ້, ພວກເຮົາໄດ້ແບ່ງປັນບັນຊີລາຍຊື່ຂອງ 5 ເຄື່ອງມືເພື່ອສະແກນ Linux server ສຳ ລັບ malware ແລະ rootkits. ໃຫ້ພວກເຮົາຮູ້ຄວາມຄິດຂອງທ່ານໃນສ່ວນ ຄຳ ເຫັນ.