【51CTO.com快譯】針對Linux服務(wù)器的攻擊和端口掃描從未停過；雖然正確配置的防火墻和安全系統(tǒng)定期更新增添了額外的一層防線以確保系統(tǒng)安全，但是還應(yīng)該經(jīng)常觀察是否有人潛入。這還有助于確保服務(wù)器遠(yuǎn)離任何旨在破壞其正常運(yùn)行的程序。

[[240292]]

本文介紹的工具是為這些安全掃描開發(fā)的，它們能夠識別諸多病毒、惡意軟件、rootkit和惡意行為。你可以使用這些工具定期(比如每晚)掃描系統(tǒng)，通過郵件將掃描報(bào)告發(fā)送到你的電子郵件地址。

1. Lynis：安全審計(jì)和rootkit掃描工具

Lynis是一款免費(fèi)、開源、功能強(qiáng)大且備受歡迎的安全審計(jì)和掃描工具，適用于類似Unix/Linux的操作系統(tǒng)。它是一款惡意軟件掃描和漏洞檢測工具，可掃描系統(tǒng)、查找安全信息、問題、文件完整性及配置錯誤，執(zhí)行防火墻審查、檢查已安裝的軟件以及文件/目錄權(quán)限等等。

然而重要的是，它并不自動執(zhí)行任何系統(tǒng)加固，只是提供讓你能夠加固服務(wù)器的建議。

我們將使用以下命令從源代碼安裝最新版本的Lynis(即2.6.6)。

現(xiàn)在，可以使用以下命令執(zhí)行系統(tǒng)掃描。

# cd /opt/ 
# wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz 
# tar xvzf lynis-2.6.6.tar.gz 
# mv lynis /usr/local/ 
# ln -s /usr/local/lynis/lynis /usr/local/bin/lynis 

現(xiàn)在，可以用以下命令執(zhí)行系統(tǒng)掃描。

# lynis audit system 

Lynis Linux安全審計(jì)工具

想在每晚自動運(yùn)行Lynis，請?zhí)砑右韵耤ron條目，該條目將在凌晨3點(diǎn)運(yùn)行掃描，并將報(bào)告發(fā)送到電子郵件地址。

0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server" you@yourdomain.com 

鏈接：https://cisofy.com/lynis/

2. Chkrootkit：Linux rootkit掃描工具

Chkrootkit是另一款免費(fèi)的開源rootkit檢測工具，可以在類似Unix的系統(tǒng)上本地查找rootkit的跡象。它有助于檢測隱藏的安全漏洞。Chkrootkit軟件包包含檢查系統(tǒng)二進(jìn)制代碼以尋找rootkit篡改的shell腳本和檢查各種安全問題的諸多程序。

可以在基于Debian的系統(tǒng)上使用以下命令安裝chkrootkit工具。

$ sudo apt install chkrootkit 

在基于CentOS的系統(tǒng)，你需要使用以下命令從源代碼安裝它。

# yum update 
# yum install wget gcc-c++ glibc-static 
# wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz 
# tar –xzf chkrootkit.tar.gz 
# mkdir /usr/local/chkrootkit 
# mv chkrootkit-0.52/* /usr/local/chkrootkit 
# cd /usr/local/chkrootkit 
# make sense 

想用Chkrootkit檢查服務(wù)器，請運(yùn)行以下命令。

$ sudo chkrootkit 

或者：

# /usr/local/chkrootkit/chkrootkit 

一旦運(yùn)行，它會開始檢查系統(tǒng)、尋找已知的惡意軟件和rootkit;掃描完畢后，可以看到報(bào)告摘要。

想在每天晚上自動運(yùn)行Chkrootkit，添加以下cron條目，該條目將在凌晨3點(diǎn)運(yùn)行掃描，并將報(bào)告發(fā)送到電子郵件地址。

0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server" you@yourdomain.com 

鏈接：http://www.chkrootkit.org/

3. Rkhunter：Linux rootkit掃描工具

RKH(RootKit Hunter)是一款免費(fèi)、開源、功能強(qiáng)大、易于使用、眾所周知的工具，可用于掃描與POSIX兼容的系統(tǒng)(比如Linux)上的后門、rootkit和本地漏洞。顧名思義，它是一款rootkit查找、安全監(jiān)控和分析工具，可全面檢查系統(tǒng)，查找隱藏的安全漏洞。

可在基于Ubuntu和CentOs的系統(tǒng)上使用以下命令安裝rkhunter工具。

$ sudo apt install rkhunter 
# yum install epel-release 
# yum install rkhunter 

想用rkhunter檢查服務(wù)器，請運(yùn)行以下命令。

# rkhunter -c 

想在每天晚上自動運(yùn)行rkhunter，添加以下cron條目，該條目將在凌晨3點(diǎn)運(yùn)行掃描，并將報(bào)告發(fā)送到電子郵件地址。

0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server" you@yourdomain.com 

鏈接：https://sourceforge.net/p/rkhunter/wiki/index/

4. ClamAV：反病毒軟件工具包

ClamAV是一款開源、用途廣泛、備受歡迎的跨平臺反病毒引擎，可檢查計(jì)算機(jī)上的諸多病毒、惡意軟件、特洛伊木馬及其他惡意程序。它是面向Linux的最出色的免費(fèi)反病毒軟件之一，也是郵件網(wǎng)關(guān)掃描軟件的開源標(biāo)準(zhǔn)，支持幾乎所有的郵件文件格式。

它支持在所有系統(tǒng)上的病毒數(shù)據(jù)庫更新，并支持只針對Linux的即時(shí)(on-access)掃描。此外，它可以在歸檔和壓縮文件里面掃描，支持Zip、Tar、7Zip和Rar等格式，還有其他功能。

可在基于Debian的系統(tǒng)上使用以下命令安裝ClamAV。

$ sudo apt-get install clamav 

可在基于CentOS的系統(tǒng)上使用以下命令安裝ClamAV。

# yum -y update 
# yum -y install clamav 

一旦安裝完畢可以用以下命令來更新病毒特征和掃描目錄。

# freshclam 
# clamscan -r -i DIRECTORY 

DIRECTORY是待掃描的位置。選項(xiàng)-r意味著遞歸掃描，-i意味著只顯示被感染的文件。

鏈接：https://www.clamav.net/

5. LMD：Linux惡意軟件檢測工具

LMD(Linux Malware Detect)是一款開源、功能強(qiáng)大、特性完備的惡意軟件掃描工具，面向Linux，專門針對共享的主機(jī)環(huán)境設(shè)計(jì)，但也可以用來檢測任何Linux系統(tǒng)上的威脅。它可與ClamAV掃描器引擎整合起來，以提升性能。

它提供了全面報(bào)告系統(tǒng)，可查看當(dāng)前和以往的掃描結(jié)果、支持每次掃描執(zhí)行后通過郵件發(fā)送提醒報(bào)告以及其他實(shí)用功能。

鏈接：https://www.rfxn.com/projects/linux-malware-detect/

我們在上面介紹了掃描Linux服務(wù)器、查找惡意軟件和rootkit的5款工具。歡迎留言交流!

原文標(biāo)題：5 Tools to Scan a Linux Server for Malware and Rootkits，作者：Aaron Kili

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】