11 Tools om Linux Server te scannen op beveiligingsfouten en malware

Ook al worden op Linux gebaseerde systemen vaak als ondoordringbaar beschouwd, toch zijn er risico’s die serieus genomen moeten worden.

Rootkits, virussen, ransomware en vele andere schadelijke programma’s kunnen vaak Linux-servers aanvallen en problemen veroorzaken.

Ongeacht het besturingssysteem, het nemen van beveiligingsmaatregelen is een must voor servers. Grote merken en organisaties hebben de beveiligingsmaatregelen in handen genomen en tools ontwikkeld die niet alleen fouten en malware detecteren, maar ook corrigeren en preventieve acties ondernemen.

Gelukkig zijn er tools beschikbaar voor een lage prijs of gratis die kunnen helpen bij dit proces. Ze kunnen fouten detecteren in verschillende secties van een op Linux gebaseerde server.

Lynis

Lynis is een gerenommeerd beveiligingshulpmiddel en een voorkeursoptie voor experts in Linux. Het werkt ook op systemen gebaseerd op Unix en macOS. Het is een open-source software-app die sinds 2007 wordt gebruikt onder een GPL-licentie.

Lynis is in staat gaten in de beveiliging en configuratiefouten te detecteren. Maar het gaat verder: in plaats van alleen de kwetsbaarheden bloot te leggen, stelt het corrigerende maatregelen voor. Daarom is het nodig om het op het hostsysteem uit te voeren om gedetailleerde auditrapporten te krijgen.

Installatie is niet nodig om Lynis te gebruiken. Je kunt het uit een gedownload pakket of een tarball halen en het uitvoeren. Je kunt het ook van een Git-kloon krijgen om toegang te krijgen tot de volledige documentatie en broncode.

Lynis is gemaakt door de oorspronkelijke auteur van Rkhunter, Michael Boelen. Het heeft twee soorten diensten op basis van individuen en bedrijven. Het levert in ieder geval uitstekende prestaties.

Chkrootkit

Zoals je misschien al geraden hebt, is de chkrootkit is een tool om te controleren op het bestaan ​​van rootkits. Rootkits zijn een soort kwaadaardige software die servertoegang kan geven aan een onbevoegde gebruiker. Als u een op Linux gebaseerde server gebruikt, kunnen rootkits een probleem zijn.

chkrootkit is een van de meest gebruikte op Unix gebaseerde programma’s die rootkits kan detecteren. Het gebruikt ‘strings’ en ‘grep’ (Linux-toolopdrachten) om problemen te detecteren.

Het kan worden gebruikt vanuit een alternatieve map of vanaf een reddingsschijf, voor het geval u wilt dat het een reeds gecompromitteerd systeem verifieert. De verschillende componenten van Chkrootkit zorgen voor het zoeken naar verwijderde items in de bestanden “wtmp” en “lastlog”, het vinden van sniffer-records of rootkit-configuratiebestanden en het controleren op verborgen items in “/proc” of oproepen naar het programma “readdir”.

Om chkrootkit te gebruiken, moet je de nieuwste versie van een server halen, de bronbestanden uitpakken, ze compileren en je bent klaar om te gaan.

  Hoe de yes-opdracht op Linux te gebruiken?

Rkhunter

Ontwikkelaar Micheal Boelen was de persoon achter het maken Rkhunter (Rootkit Hunter) in 2003. Het is een geschikte tool voor POSIX-systemen en kan helpen bij het opsporen van rootkits en andere kwetsbaarheden. Rkhunter doorloopt grondig bestanden (verborgen of zichtbaar), standaardmappen, kernelmodules en verkeerd geconfigureerde machtigingen.

Na een routinecontrole vergelijkt het ze met de veilige en correcte gegevens van databases en zoekt het naar verdachte programma’s. Omdat het programma in Bash is geschreven, kan het niet alleen op Linux-machines draaien, maar ook op vrijwel elke versie van Unix.

ClamAV

Geschreven in C++, ClamAV is een open-source antivirus die kan helpen bij de detectie van virussen, trojans en vele andere soorten malware. Het is een volledig gratis tool, daarom gebruiken veel mensen het om hun persoonlijke informatie, inclusief e-mails, te scannen op allerlei schadelijke bestanden. Het dient ook aanzienlijk als een server-side scanner.

De tool is in eerste instantie speciaal voor Unix ontwikkeld. Toch heeft het versies van derden die kunnen worden gebruikt op Linux, BSD, AIX, macOS, OSF, OpenVMS en Solaris. Clam AV voert een automatische en regelmatige update van zijn database uit om zelfs de meest recente bedreigingen te kunnen detecteren. Het maakt scannen via de opdrachtregel mogelijk en het heeft een schaalbare demon met meerdere threads om de scansnelheid te verbeteren.

Het kan verschillende soorten bestanden doorlopen om kwetsbaarheden te detecteren. Het ondersteunt alle soorten gecomprimeerde bestanden, waaronder RAR, Zip, Gzip, Tar, Cabinet, OLE2, CHM, SIS-indeling, BinHex en bijna elk type e-mailsysteem.

LMD

Linux Malware Detecteren -of kortweg LMD- is een andere gerenommeerde antivirus voor Linux-systemen, speciaal ontworpen rond de bedreigingen die gewoonlijk worden aangetroffen in gehoste omgevingen. Net als veel andere tools die malware en rootkits kunnen detecteren, gebruikt LMD een database met handtekeningen om kwaadaardige code te vinden en deze snel te beëindigen.

LMD beperkt zich niet tot zijn eigen handtekeningendatabase. Het kan gebruikmaken van de databases van ClamAV en Team Cymru om nog meer virussen te vinden. Om de database te vullen, legt LMD dreigingsgegevens vast van netwerkrandinbraakdetectiesystemen. Door dit te doen, is het in staat om nieuwe handtekeningen te genereren voor malware die actief wordt gebruikt bij aanvallen.

LMD kan worden gebruikt via de opdrachtregel “maldet”. De tool is speciaal gemaakt voor Linux-platforms en kan eenvoudig door Linux-servers zoeken.

Radare2

Radare2 (R2) is een raamwerk voor het analyseren van binaire bestanden en het uitvoeren van reverse-engineering met uitstekende detectiemogelijkheden. Het kan misvormde binaire bestanden detecteren, waardoor de gebruiker de tools krijgt om ze te beheren en potentiële bedreigingen te neutraliseren. Het maakt gebruik van sdb, een NoSQL-database. Onderzoekers en softwareontwikkelaars op het gebied van softwarebeveiliging geven de voorkeur aan deze tool vanwege de uitstekende mogelijkheid om gegevens te presenteren.

  Hoe Lightworks op Linux te installeren

Een van de opvallende kenmerken van Radare2 is dat de gebruiker niet gedwongen wordt om de opdrachtregel te gebruiken om taken uit te voeren zoals statische/dynamische analyse en software-exploitatie. Het wordt aanbevolen voor elk type onderzoek naar binaire gegevens.

OpenVAS

Open kwetsbaarheidsbeoordelingssysteem, of OpenVAS, is een gehost systeem voor het scannen en beheren van kwetsbaarheden. Het is ontworpen voor bedrijven van elke omvang en helpt hen beveiligingsproblemen op te sporen die verborgen zijn in hun infrastructuur. Aanvankelijk stond het product bekend als GnessUs, totdat de huidige eigenaar, Greenbone Networks, de naam veranderde in OpenVAS.

Sinds versie 4.0 staat OpenVAS continue updates toe – meestal in perioden van minder dan 24 uur – van zijn Network Vulnerability Testing (NVT)-basis. Met ingang van juni 2016 had het meer dan 47.000 NVT’s.

Beveiligingsexperts gebruiken OpenVAS vanwege de mogelijkheid om snel te scannen. Het beschikt ook over uitstekende configureerbaarheid. OpenVAS-programma’s kunnen worden gebruikt vanaf een op zichzelf staande virtuele machine om veilig malware-onderzoek uit te voeren. De broncode is beschikbaar onder een GNU GPL-licentie. Veel andere hulpprogramma’s voor het detecteren van kwetsbaarheden zijn afhankelijk van OpenVAS – daarom wordt het beschouwd als een essentieel programma in op Linux gebaseerde platforms.

REMnux

REMnux gebruikt reverse-engineeringmethoden voor het analyseren van malware. Het kan veel browsergebaseerde problemen detecteren, verborgen in door JavaScript versluierde codefragmenten en Flash-applets. Het is ook in staat om PDF-bestanden te scannen en geheugenforensisch onderzoek uit te voeren. De tool helpt bij de detectie van kwaadaardige programma’s in mappen en bestanden die niet gemakkelijk kunnen worden gescand met andere virusdetectieprogramma’s.

Het is effectief vanwege zijn decoderings- en reverse-engineeringmogelijkheden. Het kan de eigenschappen van verdachte programma’s bepalen en omdat het licht van gewicht is, is het nauwelijks detecteerbaar door slimme kwaadaardige programma’s. Het kan op zowel Linux als Windows worden gebruikt en de functionaliteit kan worden verbeterd met behulp van andere scantools.

Tijger

In 1992 begon Texas A&M University te werken aan: Tijger om de beveiliging van hun campuscomputers te vergroten. Nu is het een populair programma voor Unix-achtige platforms. Uniek aan de tool is dat het niet alleen een tool voor beveiligingsaudits is, maar ook een inbraakdetectiesysteem.

De tool is gratis te gebruiken onder een GPL-licentie. Het is afhankelijk van POSIX-tools en samen kunnen ze een perfect raamwerk creëren dat de beveiliging van uw server aanzienlijk kan verhogen. Tiger is volledig geschreven in shell-taal – dat is een van de redenen voor zijn effectiviteit. Het is geschikt voor het controleren van de systeemstatus en configuratie, en het veelzijdige gebruik maakt het erg populair bij mensen die POSIX-tools gebruiken.

  Hoe verloren gegevens op Linux te herstellen

Maltrail

Maltrail is een verkeersdetectiesysteem dat in staat is het verkeer van uw server schoon te houden en elke vorm van kwaadaardige bedreigingen te helpen vermijden. Het voert die taak uit door de verkeersbronnen te vergelijken met online gepubliceerde sites op de zwarte lijst.

Naast het controleren op sites op de zwarte lijst, gebruikt het ook geavanceerde heuristische mechanismen voor het detecteren van verschillende soorten bedreigingen. Ook al is het een optionele functie, het is handig als je denkt dat je server al is aangevallen.

Het heeft een sensor die het verkeer dat een server ontvangt kan detecteren en de informatie naar de Maltrail-server kan sturen. Het detectiesysteem controleert of het verkeer goed genoeg is om gegevens uit te wisselen tussen een server en de bron.

YARA

Gemaakt voor Linux, Windows en macOS, YARA (Yet Another Ridiculous Acroniem) is een van de meest essentiële tools die worden gebruikt voor het onderzoeken en detecteren van kwaadaardige programma’s. Het maakt gebruik van tekstuele of binaire patronen om het detectieproces te vereenvoudigen en te versnellen, wat resulteert in een snelle en gemakkelijke taak.

YARA heeft wel wat extra functies, maar je hebt de OpenSSL-bibliotheek nodig om ze te gebruiken. Ook al heeft u die bibliotheek niet, u kunt YARA gebruiken voor basisonderzoek naar malware via een op regels gebaseerde engine. Het kan ook worden gebruikt in de Cuckoo Sandbox, een op Python gebaseerde sandbox die ideaal is voor veilig onderzoek naar schadelijke software.

Hoe kies je het beste gereedschap?

Alle tools die we hierboven hebben genoemd, werken heel goed, en wanneer een tool populair is in Linux-omgevingen, kun je er vrij zeker van zijn dat duizenden ervaren gebruikers het gebruiken. Een ding dat systeembeheerders moeten onthouden, is dat elke toepassing meestal afhankelijk is van andere programma’s. Dat is bijvoorbeeld het geval bij ClamAV en OpenVAS.

U moet begrijpen wat uw systeem nodig heeft en op welke gebieden het kwetsbaarheden kan hebben. Gebruik eerst een lichtgewicht tool om te onderzoeken welk onderdeel aandacht nodig heeft. Gebruik dan de juiste tool om het probleem op te lossen.

gerelateerde berichten