Tim Malware và Rootkit trên Linux Unix

Tác giả Network Engineer, T.Sáu 11, 2020, 09:45:37 SÁNG

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Tim Malware và Rootkit trên Linux Unix


Trên mạng internet luôn luôn xảy ra các cuộc tấn công và quét cổng liên tục trên các máy chủ Linux, nên tường lửa cần được cấu hình đúng và cập nhật hệ thống bảo mật thường xuyên sẽ thêm một lớp để giữ an toàn cho hệ thống, nhưng bạn cũng nên thường xuyên xem nếu có ai đã thâm nhập vào. Cũng giúp đảm bảo rằng máy chủ của bạn không có bất kỳ chương trình nào nhằm phá hoại hoạt động bình thường của nó.

Các công cụ được trình bày trong bài viết này được tạo ra để quét các malware, rootkit và chúng có thể xác định các hành vi virus, phần mềm độc hại, rootkit. Bạn có thể sử dụng các công cụ này để quét hệ thống thường xuyên, ví dụ như mỗi đêm và gửi báo cáo qua email đến địa chỉ email của bạn.

1. Lynis - Kiểm tra bảo mật và quét Rootkit

Lynis là một công cụ quét virus và kiểm tra bảo mật miễn phí, mã nguồn mở, mạnh mẽ và phổ biến cho các hệ điều hành Unix / Linux. Nó là một công cụ phát hiện phần mềm độc hại và quét các lỗ hổng hệ thống để tìm thông tin và vấn đề bảo mật, tính toàn vẹn của tập tin, lỗi cấu hình, thực hiện kiểm tra tường lửa, kiểm tra phần mềm đã cài đặt, quyền truy cập tập tin/thư mục và nhiều hơn nữa.


Điều quan trọng, nó không tự động thực hiện bất kỳ việc làm đong cứng hardening hệ thống nào, tuy nhiên nó chỉ cung cấp các đề xuất cho phép bạn làm đong cứng máy chủ của mình.

Chúng tôi sẽ cài đặt phiên bản Lynis mới nhất (tức là 2.6.6 ) từ các nguồn, sử dụng các lệnh sau.

Mã nguồn [Chọn]
# cd /opt/
# wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz
# tar xvzf lynis-2.6.6.tar.gz
# mv lynis /usr/local/
# ln -s /usr/local/lynis/lynis /usr/local/bin/lynis

Bây giờ bạn có thể thực hiện quét hệ thống của bạn với lệnh dưới đây.

Mã nguồn [Chọn]
# lynis audit system

Để thực hiện chạy Lynis tự động vào mỗi tối, hãy thêm mục cron sau, mục này sẽ chạy vào lúc 3 giờ sáng và gửi báo cáo đến địa chỉ email của bạn.

Mã nguồn [Chọn]
0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server" [email protected]
2. Chkrootkit - Quét Linux Rootkit

Chkrootkit cũng là một trình phát hiện rootkit mã nguồn mở miễn phí khác, kiểm tra cục bộ các dấu hiệu của rootkit trên các hệ thống giống như Unix. Nó giúp phát hiện các lỗ hổng bảo mật tiềm ẩn. Gói chkrootkit bao gồm một tập lệnh shell kiểm tra các gói nhị phân hệ thống để sửa đổi rootkit và một số chương trình kiểm tra các vấn đề bảo mật khác nhau.


Công cụ chkrootkit có thể được cài đặt bằng lệnh sau trên các hệ thống dựa trên Debian.

Mã nguồn [Chọn]
$ sudo apt install chkrootkit
Trên các hệ thống dựa trên CentOS, bạn cần cài đặt nó từ các nguồn bằng các lệnh sau.

Mã nguồn [Chọn]
# yum update
# yum install wget gcc-c++ glibc-static
# wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
# tar –xzf chkrootkit.tar.gz
# mkdir /usr/local/chkrootkit
# mv chkrootkit-0.52/* /usr/local/chkrootkit
# cd /usr/local/chkrootkit
# make sense

Để kiểm tra máy chủ của bạn với Chkrootkit, hãy chạy lệnh sau.

Mã nguồn [Chọn]
$ sudo chkrootkit
Hoặc

Mã nguồn [Chọn]
# /usr/local/chkrootkit/chkrootkit
Sau khi chạy, nó sẽ bắt đầu kiểm tra hệ thống của bạn để biết phần mềm độc hại và Rootkit đã biết và sau khi quá trình kết thúc, bạn có thể xem tóm tắt báo cáo.

Để chạy Chkrootkit tự động vào mỗi tối, hãy thêm mục cron sau, sẽ chạy vào lúc 3 giờ sáng và gửi báo cáo đến địa chỉ email của bạn.

Mã nguồn [Chọn]
0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server" [email protected]
3. Rkhunter - Quét Linux Rootkit

RKH (RootKit Hunter) là một công cụ miễn phí, mã nguồn mở, mạnh mẽ, dễ sử dụng và nổi tiếng để quét backdoor, rootkit và khai thác cục bộ trên các hệ thống POSIX như Linux. Như tên của nó, nó là một thợ săn rootkit, công cụ giám sát và phân tích bảo mật, kiểm tra kỹ lưỡng một hệ thống để phát hiện các lỗ hổng bảo mật ẩn.


Công cụ rkhunter có thể được cài đặt bằng lệnh sau trên các hệ thống dựa trên Ubuntu và CentOS.

Mã nguồn [Chọn]
$ sudo apt install rkhunter
# yum install epel-release
# yum install rkhunter

Để kiểm tra máy chủ của bạn với rkhunter chạy lệnh sau.

Mã nguồn [Chọn]
# rkhunter -c
Để thực hiện chạy rkhunter tự động vào mỗi tối, hãy thêm mục cron sau, mục này sẽ chạy vào lúc 3 giờ sáng và gửi báo cáo đến địa chỉ email của bạn.

Mã nguồn [Chọn]
0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server" [email protected]
4. ClamAV - Bộ công cụ phần mềm chống vi-rút

ClamAV là một công cụ chống vi-rút mã nguồn mở, đa năng, phổ biến và đa nền tảng để phát hiện vi-rút, phần mềm độc hại, trojan và các chương trình độc hại khác trên máy tính. Đây là một trong những chương trình chống vi-rút miễn phí tốt nhất cho Linux và là tiêu chuẩn nguồn mở cho phần mềm quét các email gateway hỗ trợ hầu hết các định dạng tập tin email.


Nó chỉ hỗ trợ cập nhật cơ sở dữ liệu virus trên tất cả các hệ thống và quét truy cập trên Linux. Ngoài ra, nó có thể quét trong kho lưu trữ và các tập tin nén và hỗ trợ các định dạng như Zip, Tar, 7Zip, Rar trong số các tính năng khác và nhiều tính năng khác.

Các ClamAV có thể được cài đặt bằng lệnh sau trên hệ thống Debian-based.

Mã nguồn [Chọn]
$ sudo apt-get install clamav
ClamAV có thể được cài đặt bằng lệnh sau trên hệ thống CentOS-based.

Mã nguồn [Chọn]
# yum -y update
# yum -y install clamav

Sau khi cài đặt, bạn có thể cập nhật cỡ sở dữ liệu virus từ nhà phát triển phần mềm và quét một thư mục với các lệnh sau.

Mã nguồn [Chọn]
# freshclam
# clamscan -r -i DIRECTORY

Trong đó DIRECTORY là vị trí thư mục cần quét. Các tùy chọn -r, có nghĩa là quét đệ quy và -i để chỉ hiển thị các tập tin bị nhiễm.

5. LMD - Phát hiện phần mềm độc hại Linux

LMD (Linux Malware Detect) là một trình quét phần mềm độc hại mã nguồn mở, mạnh mẽ và đầy đủ tính năng dành cho Linux được thiết kế và nhắm mục tiêu đặc biệt vào các môi trường lưu trữ chia sẻ web shared hosting, nhưng có thể được sử dụng để phát hiện các mối đe dọa trên bất kỳ hệ thống Linux nào. Nó có thể được tích hợp với công cụ quét ClamAV để có hiệu suất tốt hơn.


Nó cung cấp một hệ thống báo cáo đầy đủ để xem kết quả quét hiện tại và trước đó, hỗ trợ báo cáo cảnh báo email sau mỗi lần thực hiện quét và nhiều tính năng hữu ích khác.

Để cài đặt và sử dụng LMD, hãy đọc bài viết của chúng tôi Cách cài đặt và sử dụng LMD (Linux Malware Detect) với ClamAV làm công cụ chống vi-rút.

Trong bài viết này, chúng tôi đã chia sẻ danh sách 5 công cụ để quét máy chủ Linux để tìm phần mềm độc hại và rootkit. Hãy cho chúng tôi biết suy nghĩ của bạn trong phần bình luận.