Công cụ tốt nhất để tìm phần mềm độc hại và lỗi bảo mật trong Linux

Tác giả Network Engineer, T.M.Một 03, 2021, 10:42:16 SÁNG

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Công cụ tốt nhất để tìm phần mềm độc hại và lỗi bảo mật trong Linux


Bạn lo lắng rằng máy chủ Linux của mình có thể bị nhiễm phần mềm độc hại (malware) hoặc rootkit? Quét hệ thống của bạn bằng 10 công cụ bảo mật này.

Linux hoàn toàn là một trong những hệ điều hành phổ biến và an toàn nhất cho các máy chủ quy mô lớn. Mặc dù được sử dụng rộng rãi, nó vẫn dễ bị tấn công mạng. Tin tặc nhắm mục tiêu các máy chủ để đánh sập chúng hoặc đánh cắp thông tin có giá trị.

Nhu cầu cấp bách là phải phát triển các phương pháp chống hack để khắc phục các vi phạm bảo mật và các cuộc tấn công phần mềm độc hại. Điều này có thể thực hiện được bằng cách thuê các chuyên gia an ninh mạng. Thật không may, điều này có thể được chứng minh là một việc tốn kém. Giải pháp tốt nhất tiếp theo là cài đặt các công cụ quét vừa vặn như một chiếc găng tay cho hệ thống Linux của bạn.

Dưới đây là danh sách mười công cụ quét Linux hàng đầu để kiểm tra máy chủ của bạn để tìm lỗi bảo mật và phần mềm độc hại.

1. Lynis

Lynis là một công cụ bảo mật mã nguồn mở dành cho Linux, là lựa chọn ưu tiên cho các hệ điều hành kiểm tra dựa trên Unix, chẳng hạn như macOS, Linux và BSD. Công cụ này là đứa con tinh thần của Michael Boelen, người trước đây đã từng làm việc trên rkhunter.

Là một công cụ bảo mật, Lynis thực hiện quét phức tạp bằng cách xem qua các chi tiết của hệ điều hành của bạn, các tham số Kernel, các gói và dịch vụ đã cài đặt, cấu hình mạng, mật mã và các lần quét phần mềm độc hại khác. Nó được sử dụng rộng rãi cho các mục đích kiểm tra tuân thủ và kiểm tra.

Để cài đặt trên các bản phân phối dựa trên Debian, hãy nhập lệnh sau vào dòng lệnh:

Mã nguồn [Chọn]
$ sudo apt-get install -y lynis
Để kiểm tra toàn bộ hế thống, hãy nhập lệnh sau vào dòng lệnh:

Mã nguồn [Chọn]
$ /usr/local/lynis/lynis audit

2. chkrootkit

Chkrootkit hay Check Rootkit là một phần mềm phổ biến cho các hệ thống dựa trên Unix. Đúng như tên gọi, đây là một phần mềm lý tưởng để tìm kiếm rootkit và các loại virus khác có thể đã tìm thấy đường vào hệ thống.

Rootkit là phần mềm độc hại cố gắng giành quyền truy cập vào các tập tin gốc trên máy chủ của bạn. Tuy nhiên, các rootkit này tiếp tục thể hiện một thỏa hiệp bảo mật khổng lồ.

Chkrootkit tìm kiếm các chương trình hệ thống cốt lõi và tìm kiếm chữ ký trong khi so sánh việc truyền tải các hệ thống tập tin với kết quả đầu ra. Nếu công cụ tìm thấy bất kỳ sự khác biệt nào, nó sẽ xử lý chúng một cách hiệu quả mà không để bất kỳ vi rút nào gây hại cho máy chủ của bạn.

Để cài đặt trên Debian, hãy nhập lệnh sau vào dòng lệnh:

Mã nguồn [Chọn]
$ sudo apt update
Mã nguồn [Chọn]
$ sudo apt install chkrootkit
Để kiểm tra toàn bộ hế thống, hãy nhập lệnh sau vào dòng lệnh:

Mã nguồn [Chọn]
$ sudo chkrootkit

3. rkhunter

Rkhunter hoặc Rootkit Hunter rút ra một số điểm tương đồng từ chkrootkit. Nó tìm kiếm rootkit và các backdoor / virus khác trên hệ thống Unix, với Linux là một ví dụ điển hình. Ngược lại, Rootkit Hunter hoạt động hơi khác so với đối tác của nó.

Ban đầu, nó kiểm tra hàm băm SHA-1 của các tập tin hệ thống cốt lõi và quan trọng. Hơn nữa, nó so sánh kết quả với các hàm băm đã được xác minh có sẵn trong cơ sở dữ liệu trực tuyến của nó. Công cụ này được trang bị tốt để tìm bất kỳ thư mục rootkit nào, mô-đun Kernel đáng ngờ, tập tin ẩn và quyền không chính xác.

Để cài đặt, hãy nhập lệnh sau vào terminal:

Mã nguồn [Chọn]
$ sudo apt-get install rkhunter -y
Để kiểm tra toàn bộ hế thống, hãy nhập lệnh sau vào dòng lệnh:

Mã nguồn [Chọn]
$ rkhunter --check

4. ClamAV

ClamAV hay Clam Anti-Virus là phần mềm diệt vi rút miễn phí, đa nền tảng. Nó có thể phát hiện nhiều loại phần mềm độc hại và vi rút. Mặc dù ban đầu nó được tạo ra cho Unix, nó có mã nguồn mở, cho phép nhiều công ty bên thứ ba phát triển các phiên bản khác nhau cho các hệ điều hành khác như Solaris, macOS, Windows, Linux và AIX.

ClamAV cung cấp một loạt tính năng, bao gồm trình quét dòng lệnh, trình cập nhật cơ sở dữ liệu và daemon có thể mở rộng đa luồng. Điều này dựa trên một công cụ chống vi-rút chạy trên thư viện vi-rút và phần mềm độc hại được chia sẻ. Mặc dù đây là phần mềm tải xuống miễn phí, nhưng thực tế đáng khen ngợi là các thư viện phần mềm độc hại được cập nhật liên tục.

Để cài đặt, hãy nhập lệnh sau vào terminal:

Mã nguồn [Chọn]
$ sudo apt-get install clamav clamav-daemon -y
Để quét toàn bộ hế thống và xóa vi rút hãy nhập lệnh sau vào dòng lệnh:

Mã nguồn [Chọn]
$ clamscan -r -i --remove /

5. Linux Malware Detect

Linux Malware Detect (LMD) hay Linux MD là một gói phần mềm tìm kiếm phần mềm độc hại trên hệ thống máy chủ dựa trên Unix và báo cáo tất cả các vi phạm bảo mật cho người dùng.

LMD bảo vệ hệ thống khỏi phần mềm độc hại bằng cách quét các tập tin hệ thống và so sánh chúng với chữ ký của hàng nghìn phần mềm độc hại Linux đã biết. Mặc dù nó duy trì cơ sở dữ liệu độc lập về chữ ký phần mềm độc hại, LMD lấy thông tin từ cơ sở dữ liệu ClamAV và Malware Hash Registry.

Để cài đặt, hãy nhập lần lượt các lệnh sau vào terminal:

Mã nguồn [Chọn]
$ sudo apt-get -y install git
Mã nguồn [Chọn]
$ git clone https://github.com/rfxn/linux-malware-detect.git
Mã nguồn [Chọn]
$ cd linux-malware-detect/
Mã nguồn [Chọn]
$ sudo ./install.sh
Để quét toàn bộ hế thống và xóa vi rút hãy nhập lệnh sau vào dòng lệnh:

Mã nguồn [Chọn]
$ maldet -b -a

6. Radare2

Radare2 là phần mềm thiết kế ngược được sử dụng để phân tích tĩnh và động. Là phần mềm mã nguồn mở, nó cung cấp các tính năng như pháp y kỹ thuật số, khai thác phần mềm, định dạng nhị phân và kiến ​​trúc.

Sức mạnh của kỹ thuật đảo ngược tạo điều kiện thuận lợi cho việc gỡ lỗi các vấn đề trong Linux, đặc biệt là khi làm việc với các chương trình bên trong cửa sổ dòng lệnh Terminal. Mục đích chính của Radare2 là trích xuất hoặc sửa chữa bất kỳ tập tin hoặc chương trình bị hỏng nào đã trở thành nạn nhân của các cuộc tấn công phần mềm độc hại thông qua kỹ thuật đảo ngược.

Để cài đặt, hãy nhập lệnh sau vào terminal:

Mã nguồn [Chọn]
$ sudo apt-get install git
Mã nguồn [Chọn]
$ git clone https://github.com/radareorg/radare2
Mã nguồn [Chọn]
$ cd radare2 ; sys/install.sh

7. OpenVAS

Hệ thống đánh giá lỗ hổng mở (OpenVAS) là một máy quét lỗ hổng được trang bị Greenbone Vulnerability Manager (GVM), một khung phần mềm bao gồm một loạt các công cụ bảo mật.

OpenVAS chạy kiểm tra bảo mật trên hệ thống để tìm kiếm bất kỳ hành vi khai thác hoặc điểm yếu nào trên máy chủ. Nó so sánh các tập tin được xác định với chữ ký của bất kỳ hành vi khai thác hoặc phần mềm độc hại nào tồn tại trong cơ sở dữ liệu của nó.


Mục đích của công cụ này không tìm thấy phần mềm độc hại thực sự, thay vào đó, nó là một công cụ cần thiết để kiểm tra các lỗ hổng trong hệ thống của bạn chống lại các hành vi khai thác khác nhau. Một khi bạn nhận thức được điểm yếu của hệ thống, việc giải quyết các mối quan tâm trở nên dễ dàng hơn.

8. REMnux

REMnux là một bộ sưu tập các công cụ miễn phí được sắp xếp khác nhau. Là một bộ công cụ Linux, công dụng chính của nó là thiết kế ngược và phân tích phần mềm độc hại. Một số tính năng bao gồm phân tích tập tin nhị phân và tĩnh, Wireshark, phân tích mạng và dọn dẹp JavaScript.


Tất cả các tính năng này cùng nhau tạo nên một hệ thống cực kỳ mạnh mẽ để giải mã các ứng dụng phần mềm độc hại khác nhau được tìm thấy trong suốt quá trình quét. Với bản chất nguồn mở của nó, bất kỳ ai cũng có thể dễ dàng tải xuống và cài đặt nó trong (các) hệ thống Linux của họ.

9. Tiger

Tiger là phần mềm mã nguồn mở, bao gồm các tập lệnh shell khác nhau để thực hiện kiểm tra bảo mật và phát hiện xâm nhập.

Tiger quét toàn bộ tập tin cấu hình của hệ thống và tập tin người dùng để tìm bất kỳ vi phạm bảo mật nào có thể xảy ra. Sau đó, chúng sẽ được báo cáo lại cho người dùng để phân tích. Tất cả điều này được thực hiện nhờ sự hiện diện của nhiều công cụ POSIX mà nó sử dụng trong phần phụ trợ của nó.

Để cài đặt Tiger, bạn có thể tải xuống trực tiếp mã nguồn hoặc cài đặt từ kho lưu trữ mặc định bằng trình quản lý gói.
Để cài đặt, hãy nhập lệnh sau vào terminal:

Mã nguồn [Chọn]
$ sudo apt-get update
Mã nguồn [Chọn]
$ sudo apt-get install tiger

10. Maltrail

Maltrail là một công cụ hợp thời cho bảo mật Linux, vì nó được sử dụng rộng rãi để phát hiện lưu lượng độc hại. Nó thực hiện quét chi tiết bằng cách sử dụng cơ sở dữ liệu của các mục được liệt kê trong danh sách đen công khai và sau đó so sánh lưu lượng truy cập với các sai sót được đánh dấu của nó.

Có thể truy cập Maltrail thông qua dòng lệnh Linux cũng như qua giao diện web.
Để cài đặt Maltrail, trước tiên hãy cập nhật danh sách kho lưu trữ của hệ thống và nâng cấp các gói đã cài đặt. Bạn cũng cần tải xuống một số phụ thuộc bổ sung.

Mã nguồn [Chọn]
$ sudo apt-get update && sudo apt-get upgrade
Mã nguồn [Chọn]
$ sudo apt-get install git python-pcapy python-setuptools
Sau đó, sao chép kho lưu trữ Maltrail Git chính thức:

Mã nguồn [Chọn]
$ git clone https://github.com/stamparm/maltrail.git
Thay đổi thư mục và chạy tập lệnh Python:

Mã nguồn [Chọn]
$ cd /mailtrail
Mã nguồn [Chọn]
$ python sensor.py

Công cụ bảo mật nào tốt nhất cho Linux?

Có nhiều công cụ phát hiện mối đe dọa khác nhau có sẵn trên thị trường. Tuy nhiên, vì mỗi công cụ có sẵn cho một mục đích khác nhau, nên có nhiều sự lựa chọn cho người dùng cuối. Bằng cách này, mọi người có thể chọn và chọn công cụ phù hợp với trường hợp sử dụng hiện tại của họ và cài đặt nó thông qua dòng lệnh hoặc các giao diện tương ứng.