Worm, virus, malware e il temuto rootkit sono la vera rovina dell’esistenza di ogni amministratore di server. A seconda dell’architettura, ci possono essere numerose opzioni per il codice da esplorare nei sistemi infetti, raccogliendo informazioni sensibili e / o costando alle organizzazioni un bel po ‘di soldi nel processo.
Per fortuna, non è necessario sventolare una bandiera di sconfitta di fronte a tali cyber-nemici: rilevarli sul tuo server è possibile e ci sono molti strumenti per aiutarti a scansionare il tuo server Linux alla ricerca di malware e rootkit. Soprattutto, molti di questi strumenti sono gratuiti.
1. Clam AV
Questo antivirus da riga di comando è progettato per integrarsi strettamente con i server di posta ed è disponibile per tutti i tipi di sistemi, comprese importanti distribuzioni Linux come SuSE, Fedora e Ubuntu.
L’installazione in Ubuntu è facile come eseguire il seguente comando:
sudo apt install clamav clamav-daemon
Una volta installato, clamav può essere utilizzato da un terminale per controllare l’intero sistema con un pettine a denti fini e disinfettare eventuali file infetti. Oltre a questo, Clam AV fornisce potenti utilità di scansione in tempo reale e monitoraggio delle risorse.
Per eseguire una semplice scansione del filesystem del tuo server, usa il seguente codice dalla directory principale:
clamscan -r -i
Il comando precedente indicherà a Clam AV di eseguire una scansione ricorsiva (controllando i file all’interno dei file) e di stampare solo i documenti infetti sul terminale. Tieni presente che prima di eseguire questo codice dovrai concedere a Clam AV abbastanza tempo per installare il suo database di firme dei virus sul tuo computer. Per tenere d’occhio questo processo, puoi annullare il servizio e riavviarlo manualmente con il seguente codice:
sudo systemctl stop clamav-freshclam.service
seguito da:
sudo freshclam
Per rimuovere automaticamente i file infetti dal sistema durante una scansione, utilizzare il codice seguente. (Fai attenzione con questa opzione!):
clamscan -r -i --remove
2. chkrootkit
Questo strumento esegue una serie di test per rilevare moduli kernel caricabili dannosi, worm e rootkit in piena regola.
Per Ubuntu, questo strumento è disponibile dal repository ufficiale. Usa il codice seguente per installarlo:
sudo apt install chkrootkit
A differenza di Clam AV, chkrootkit è uno strumento passivo e manca di funzionalità per agire su eventuali minacce rilevate. Qualsiasi cosa sospetta che trovi nel filesystem del tuo server dovrà essere ricercata e rimossa manualmente, quindi tieni una copia del suo output per riferimento futuro.
Per eseguire questo strumento, utilizza il seguente comando:
sudo chkrootkit
L’elenco che ti offre chkrootkit è un buon punto di partenza per ulteriori diagnosi.
3.AIDE
Il nome di questo strumento è un acronimo che sta per “Advanced Intrusion Detection Environment”, un sostituto totalmente gratuito per uno strumento simile chiamato Tripwire.
AIDE ti consente di tenere sotto controllo i file del tuo sistema per tenere traccia di quando e come vengono modificati o in altro modo accessibili. Questo strumento è facilmente installabile dai repository ufficiali di Ubuntu con apt.
sudo apt install aide
Per completare il processo di installazione, dovrai configurare Postfix attraverso le opzioni che ti vengono presentate. Per navigare tra questi, puoi usare il Tab i pulsanti chiave o freccia, quindi premere Invio sull’opzione desiderata. Postfix viene utilizzato per inviare informazioni al tuo indirizzo e-mail in base a una pianificazione che puoi controllare.
La configurazione di AIDE richiede un po ‘di manipolazione dei file. Dovrai gestire i file nelle seguenti posizioni:
/var/lib/aide /etc/aide
Innanzitutto, creeremo il database e i file di configurazione eseguendo il seguente comando:
sudo aideinit
Una volta completato, questo processo colloca il database ei file di configurazione che genera in “/ var / lib / aide /” sotto i nomi “aide.db.new” e “aide.conf.autogenerated”. Entrambi devono essere copiati rispettivamente come “aide.db” e “aide.conf” per funzionare correttamente.
Fare una copia del file del database con un nuovo nome è facile con il seguente codice:
sudo cp /var/lib/aide/aide.db.new /var/lib/aide/aide.db
Prima di rinominare e copiare il file di configurazione, aggiornalo con il seguente comando:
sudo update-aide.conf
Dopo aver aggiornato il file di configurazione, copiarlo nella cartella corretta con il seguente comando:
sudo cp /var/lib/aide/aide.conf.autogenerated /etc/aide/aide.conf
Ora AIDE dovrebbe essere funzionante sul tuo server e guardare attivamente la rappresentazione HASHED del tuo filesystem che ha generato.
AIDE può essere configurato per escludere cartelle, eseguire periodicamente e altro modificando il suo file di configurazione, ma il seguente comando è sufficiente per vedere l’output del tuo sistema:
aide -c /etc/aide/aide.conf -C
AIDE è più efficace quando si accede alla sua configurazione da una posizione di sola lettura, poiché i rootkit potrebbero consentire agli aggressori di modificare il file. Considerare l’implementazione di tale configurazione per ottenere risultati ottimali.
Gli strumenti trattati in questo articolo dovrebbero aiutarti a scansionare il tuo server Linux alla ricerca di malware e rootkit utilizzando una varietà di tecniche. I rootkit sono le minacce digitali più difficili da affrontare, ma possono essere respinti con la dovuta diligenza.
