Recherche de site Web

5 outils pour analyser un serveur Linux à la recherche de logiciels malveillants et de rootkits


Il y a constamment des niveaux élevés d'attaques et d'analyses de ports sur les serveurs Linux, tandis qu'un pare-feu correctement configuré et des mises à jour régulières du système de sécurité ajoutent une couche supplémentaire pour assurer la sécurité du système, mais vous devez également surveiller fréquemment si quelqu'un entre. contribuent également à garantir que votre serveur reste exempt de tout programme visant à perturber son fonctionnement normal.

Les outils présentés dans cet article sont créés pour ces analyses de sécurité et sont capables d'identifier les virus, les malwares, les rootkits et les malveillants. comportements. Vous pouvez utiliser ces outils pour effectuer des analyses régulières du système, par ex. tous les soirs et envoyez des rapports par courrier électronique à votre adresse e-mail.

1. Lynis – Audit de sécurité et scanner de rootkits

Lynis est un outil d'audit et d'analyse de sécurité gratuit, open source, puissant et populaire pour les systèmes d'exploitation de type Unix/Linux. Il s'agit d'un outil d'analyse des logiciels malveillants et de détection des vulnérabilités qui analyse les systèmes à la recherche d'informations et de problèmes de sécurité, de l'intégrité des fichiers et des erreurs de configuration ; effectue un audit du pare-feu, vérifie les logiciels installés, les autorisations de fichiers/répertoires et bien plus encore.

Il est important de noter qu’il n’effectue automatiquement aucun renforcement du système, mais propose simplement des suggestions qui vous permettent de renforcer votre serveur.

Nous allons installer la dernière version de Lynis (c'est-à-dire 3.0.9) à partir des sources, en utilisant les commandes suivantes.

cd /opt/
sudo wget https://downloads.cisofy.com/lynis/lynis-3.0.9.tar.gz
sudo tar xvzf lynis-3.0.9.tar.gz
sudo mv lynis /usr/local/
sudo ln -s /usr/local/lynis/lynis /usr/local/bin/lynis

Vous pouvez maintenant effectuer une analyse de votre système avec la commande ci-dessous.

sudo lynis audit system

Pour que lynis s'exécute automatiquement tous les soirs, ajoutez l'entrée cron suivante, qui s'exécutera à 3 heures du matin et enverra des rapports à votre adresse e-mail.

0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server" [email 

2. Chkrootkit – Un scanner de rootkit Linux

Chkrootkit est également un autre détecteur de rootkit gratuit et open source qui vérifie localement les signes d'un rootkit sur les systèmes de type Unix. Cela aide à détecter les failles de sécurité cachées.

Le package chkrootkit se compose d'un script shell qui vérifie les fichiers binaires du système pour détecter les modifications du rootkit et d'un certain nombre de programmes qui vérifient divers problèmes de sécurité.

L'outil chkrootkit peut être installé à l'aide de la commande suivante sur les systèmes basés sur Debian.

sudo apt install chkrootkit

Sur les systèmes basés sur RHEL, vous devez l'installer à partir des sources à l'aide des commandes suivantes.

sudo yum update
sudo yum install wget gcc-c++ glibc-static
sudo wget -c ftp://ftp.chkrootkit.org/pub/seg/pac/chkrootkit.tar.gz
sudo tar –xzf chkrootkit.tar.gz
sudo mkdir /usr/local/chkrootkit
sudo mv chkrootkit-0.58b/* /usr/local/chkrootkit
cd /usr/local/chkrootkit
sudo make sense

Pour vérifier votre serveur avec Chkrootkit, exécutez la commande suivante.

sudo chkrootkit 
OR
sudo /usr/local/chkrootkit/chkrootkit

Une fois exécuté, il commencera à rechercher sur votre système les logiciels malveillants et les rootkits connus et une fois le processus terminé, vous pourrez voir le résumé du rapport.

Pour exécuter Chkrootkit automatiquement tous les soirs, ajoutez l'entrée cron suivante, qui s'exécutera à 3 heures du matin et enverra des rapports à votre adresse e-mail.

0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server" [email 

3. Rkhunter – Un scanner de rootkit Linux

RootKit Hunter est un outil gratuit, open source, puissant, simple à utiliser et bien connu pour analyser les portes dérobées, les rootkits et les exploits locaux sur les systèmes compatibles POSIX tels que Linux.

Comme son nom l'indique, il s'agit d'un chasseur de rootkits, un outil de surveillance et d'analyse de la sécurité qui inspecte minutieusement un système pour détecter les failles de sécurité cachées.

L'outil rkhunter peut être installé à l'aide de la commande suivante sur les systèmes Ubuntu et basés sur RHEL.

sudo apt install rkhunter   [On Debian systems]
sudo yum install rkhunter   [On RHEL systems] 

Pour vérifier votre serveur avec rkhunter, exécutez la commande suivante.

sudo rkhunter -c

Pour exécuter rkhunter automatiquement chaque nuit, ajoutez l'entrée cron suivante, qui s'exécutera à 3 heures du matin et enverra des rapports à votre adresse e-mail.

0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server" [email 

4. ClamAV – Boîte à outils logicielle antivirus

ClamAV est un moteur antivirus open source, polyvalent, populaire et multiplateforme permettant de détecter les virus, logiciels malveillants, chevaux de Troie et autres programmes malveillants sur un ordinateur.

Il s'agit de l'un des meilleurs programmes antivirus gratuits pour Linux et de la norme open source pour les logiciels d'analyse de passerelle de messagerie qui prend en charge presque tous les formats de fichiers courrier.

Il prend en charge les mises à jour des bases de données virales sur tous les systèmes et l'analyse lors de l'accès sous Linux uniquement. De plus, il peut analyser les archives et les fichiers compressés et prend en charge des formats tels que Zip, Tar, 7Zip et Rar, entre autres, ainsi que d'autres fonctionnalités.

Le ClamAV peut être installé à l'aide de la commande suivante sur les systèmes basés sur Debian.

sudo apt install clamav

Le ClamAV peut être installé à l'aide de la commande suivante sur les systèmes basés sur RHEL.

sudo yum -y update
sudo -y install clamav

Une fois installé, vous pouvez mettre à jour les signatures et analyser un répertoire avec les commandes suivantes.

freshclam
sudo clamscan -r -i DIRECTORY

DIRECTORY est l'emplacement à analyser. Les options -r signifient une analyse récursive et -i signifie afficher uniquement les fichiers infectés.

5. LMD – Détection des logiciels malveillants Linux

LMD (Linux Malware Detect) est un scanner de logiciels malveillants open source, puissant et complet pour Linux, spécialement conçu et destiné aux environnements hébergés partagés, mais peut être utilisé pour détecter les menaces sur n'importe quel système Linux. Il peut être intégré au moteur de scanner ClamAV pour de meilleures performances.

Il fournit un système de reporting complet pour afficher les résultats d'analyse actuels et précédents, prend en charge les rapports d'alerte par e-mail après chaque exécution d'analyse et de nombreuses autres fonctionnalités utiles.

Pour l'installation et l'utilisation de LMD, lisez notre article Comment installer LMD avec ClamAV en tant que moteur antivirus sous Linux.

C'est tout pour le moment! Dans cet article, nous avons partagé une liste de 5 outils pour analyser un serveur Linux à la recherche de logiciels malveillants et de rootkits. Faites-nous part de vos réflexions dans la section commentaires.