11 outils pour analyser le serveur Linux pour les failles de sécurité et les logiciels malveillants

Même si les systèmes basés sur Linux sont souvent considérés comme impénétrables, il existe encore des risques qui doivent être pris au sérieux.


Les rootkits, les virus, les ransomwares et de nombreux autres programmes nuisibles peuvent souvent attaquer et causer des problèmes aux serveurs Linux.

Quel que soit le système d’exploitation, la prise de mesures de sécurité est indispensable pour les serveurs. De grandes marques et organisations ont pris les mesures de sécurité entre leurs mains et développé des outils qui non seulement détectent les failles et les logiciels malveillants, mais aussi les corrigent et prennent des mesures préventives.

Heureusement, il existe des outils disponibles à bas prix ou gratuitement qui peuvent vous aider dans ce processus. Ils peuvent détecter des failles dans différentes sections d’un serveur basé sur Linux.

Lynis

Lynis est un outil de sécurité renommé et une option privilégiée pour les experts de Linux. Il fonctionne également sur les systèmes basés sur Unix et macOS. Il s’agit d’une application logicielle open source utilisée depuis 2007 sous licence GPL.

Lynis est capable de détecter les failles de sécurité et les failles de configuration. Mais cela va au-delà: au lieu d’exposer simplement les vulnérabilités, il suggère des actions correctives. C’est pourquoi, pour obtenir des rapports d’audit détaillés, il est nécessaire de l’exécuter sur le système hôte.

L’installation n’est pas nécessaire pour utiliser Lynis. Vous pouvez l’extraire d’un package téléchargé ou d’une archive tar et l’exécuter. Vous pouvez également l’obtenir à partir d’un clone Git pour avoir accès à la documentation complète et au code source.

Lynis a été créé par l’auteur original de Rkhunter, Michael Boelen. Il propose deux types de services basés sur les particuliers et les entreprises. Dans les deux cas, il a une performance exceptionnelle.

Chkrootkit

Comme vous l’avez peut-être déjà deviné, le chkrootkit est un outil pour vérifier l’existence de rootkits. Les rootkits sont un type de logiciel malveillant qui peut donner accès au serveur à un utilisateur non autorisé. Si vous utilisez un serveur Linux, les rootkits peuvent être un problème.

chkrootkit est l’un des programmes basés sur Unix les plus utilisés qui peuvent détecter les rootkits. Il utilise des «chaînes» et «grep» (commandes d’outils Linux) pour détecter les problèmes.

Il peut être utilisé à partir d’un autre répertoire ou d’un disque de secours, au cas où vous souhaiteriez qu’il vérifie un système déjà compromis. Les différents composants de Chkrootkit se chargent de rechercher les entrées supprimées dans les fichiers “wtmp” et “lastlog”, de trouver des enregistrements de renifleur ou des fichiers de configuration de rootkit, et de vérifier les entrées cachées dans “/ proc” ou les appels au programme “readdir”.

Pour utiliser chkrootkit, vous devez obtenir la dernière version d’un serveur, extraire les fichiers source, les compiler et vous êtes prêt à partir.

Rkhunter

Le développeur Micheal Boelen était la personne derrière la fabrication Rkhunter (Rootkit Hunter) en 2003. C’est un outil approprié pour les systèmes POSIX et peut aider à la détection des rootkits et autres vulnérabilités. Rkhunter passe en revue les fichiers (cachés ou visibles), les répertoires par défaut, les modules du noyau et les autorisations mal configurées.

Après un contrôle de routine, il les compare aux enregistrements sûrs et appropriés des bases de données et recherche les programmes suspects. Étant donné que le programme est écrit en Bash, il peut non seulement fonctionner sur des machines Linux mais également sur pratiquement toutes les versions d’Unix.

ClamAV

Écrit en C++, ClamAV est un antivirus open source qui peut aider à détecter les virus, les chevaux de Troie et de nombreux autres types de logiciels malveillants. Il s’agit d’un outil entièrement gratuit, c’est pourquoi de nombreuses personnes l’utilisent pour analyser leurs informations personnelles, y compris les e-mails, pour tout type de fichiers malveillants. Il sert également de manière significative de scanner côté serveur.

L’outil a été initialement développé, en particulier pour Unix. Pourtant, il a des versions tierces qui peuvent être utilisées sur Linux, BSD, AIX, macOS, OSF, OpenVMS et Solaris. Clam AV effectue une mise à jour automatique et régulière de sa base de données, afin de pouvoir détecter même les menaces les plus récentes. Il permet une analyse en ligne de commande et un démon évolutif multithread pour améliorer sa vitesse d’analyse.

Il peut passer par différents types de fichiers pour détecter les vulnérabilités. Il prend en charge toutes sortes de fichiers compressés, y compris RAR, Zip, Gzip, Tar, Cabinet, OLE2, CHM, SIS, BinHex et presque tout type de système de messagerie.

LMD

Détection de logiciels malveillants Linux – ou LMD, pour faire court – est un autre antivirus renommé pour les systèmes Linux, spécialement conçu autour des menaces que l’on trouve généralement dans les environnements hébergés. Comme de nombreux autres outils capables de détecter les logiciels malveillants et les rootkits, LMD utilise une base de données de signatures pour trouver tout code en cours d’exécution malveillant et y mettre fin rapidement.

LMD ne se limite pas à sa propre base de données de signatures. Il peut exploiter les bases de données de ClamAV et de Team Cymru pour trouver encore plus de virus. Pour remplir sa base de données, LMD capture les données de menace des systèmes de détection d’intrusion de périphérie du réseau. Ce faisant, il est capable de générer de nouvelles signatures pour les logiciels malveillants activement utilisés dans les attaques.

LMD peut être utilisé via la ligne de commande «maldet». L’outil est spécialement conçu pour les plates-formes Linux et peut facilement rechercher sur les serveurs Linux.

Radare2

Radare2 (R2) est un cadre d’analyse des binaires et de rétro-ingénierie avec d’excellentes capacités de détection. Il peut détecter des fichiers binaires malformés, donnant à l’utilisateur les outils pour les gérer, neutralisant les menaces potentielles. Il utilise sdb, qui est une base de données NoSQL. Les chercheurs et les développeurs de logiciels préfèrent cet outil pour son excellente capacité de présentation des données.

L’une des caractéristiques remarquables de Radare2 est que l’utilisateur n’est pas obligé d’utiliser la ligne de commande pour accomplir des tâches telles que l’analyse statique / dynamique et l’exploitation logicielle. Il est recommandé pour tout type de recherche sur les données binaires.

OpenVAS

Open Vulnerability Assessment System, ou OpenVAS, est un système hébergé pour analyser les vulnérabilités et les gérer. Il est conçu pour les entreprises de toutes tailles, les aidant à détecter les problèmes de sécurité cachés dans leurs infrastructures. Initialement, le produit était connu sous le nom de GNessUs, jusqu’à ce que son propriétaire actuel, Greenbone Networks, change son nom en OpenVAS.

Depuis la version 4.0, OpenVAS permet une mise à jour continue, généralement en moins de 24 heures, de sa base NVT (Network Vulnerability Testing). En juin 2016, il comptait plus de 47 000 NVT.

Les experts en sécurité utilisent OpenVAS en raison de sa capacité à analyser rapidement. Il présente également une excellente configurabilité. Les programmes OpenVAS peuvent être utilisés à partir d’une machine virtuelle autonome pour effectuer des recherches sûres sur les logiciels malveillants. Son code source est disponible sous une licence GNU GPL. De nombreux autres outils de détection de vulnérabilité dépendent d’OpenVAS – c’est pourquoi il est considéré comme un programme essentiel dans les plates-formes Linux..

REMnux

REMnux utilise des méthodes d’ingénierie inverse pour analyser les logiciels malveillants. Il peut détecter de nombreux problèmes liés au navigateur, cachés dans des extraits de code obscurcis JavaScript et des applets Flash. Il est également capable de numériser des fichiers PDF et d’effectuer des analyses de la mémoire. L’outil aide à détecter les programmes malveillants dans les dossiers et les fichiers qui ne peuvent pas être analysés facilement avec d’autres programmes de détection de virus.

Il est efficace en raison de ses capacités de décodage et de rétro-ingénierie. Il peut déterminer les propriétés des programmes suspects, et pour être léger, il est très indétectable par les programmes malveillants intelligents. Il peut être utilisé sur Linux et Windows, et ses fonctionnalités peuvent être améliorées à l’aide d’autres outils de numérisation.

tigre

En 1992, Texas A&M University a commencé à travailler sur tigre pour augmenter la sécurité des ordinateurs de leur campus. Maintenant, c’est un programme populaire pour les plateformes de type Unix. Une caractéristique unique de l’outil est qu’il n’est pas seulement un outil d’audit de sécurité mais également un système de détection d’intrusion.

L’outil est gratuit à utiliser sous une licence GPL. Cela dépend des outils POSIX et, ensemble, ils peuvent créer un cadre parfait qui peut augmenter considérablement la sécurité de votre serveur. Tiger est entièrement écrit en langage shell – c’est l’une des raisons de son efficacité. Il convient pour vérifier l’état et la configuration du système, et son utilisation polyvalente le rend très populaire parmi les personnes qui utilisent les outils POSIX.

Maltrail

Maltrail est un système de détection du trafic capable de maintenir le trafic de votre serveur propre et de l’aider à éviter tout type de menaces malveillantes. Il accomplit cette tâche en comparant les sources de trafic avec les sites sur liste noire publiés en ligne.

Outre la recherche de sites sur liste noire, il utilise également des mécanismes heuristiques avancés pour détecter différents types de menaces. Même s’il s’agit d’une fonctionnalité facultative, elle est utile lorsque vous pensez que votre serveur a déjà été attaqué.

Il dispose d’un capteur capable de détecter le trafic qu’un serveur obtient et d’envoyer les informations au serveur Maltrail. Le système de détection vérifie si le trafic est suffisamment bon pour échanger des données entre un serveur et la source.

YARA

Conçu pour Linux, Windows et macOS, YARA (Pourtant, un autre acronyme ridicule) est l’un des outils les plus essentiels utilisés pour la recherche et la détection de programmes malveillants. Il utilise des modèles textuels ou binaires pour simplifier et accélérer le processus de détection, résultant en une tâche rapide et facile.

YARA possède quelques fonctionnalités supplémentaires, mais vous avez besoin de la bibliothèque OpenSSL pour les utiliser. Même si vous ne disposez pas de cette bibliothèque, vous pouvez utiliser YARA pour la recherche de base sur les logiciels malveillants via un moteur basé sur des règles. Il peut également être utilisé dans le Cuckoo Sandbox, un sandbox basé sur Python idéal pour effectuer des recherches sûres sur les logiciels malveillants.

Comment choisir le meilleur outil?

Tous les outils que nous avons mentionnés ci-dessus fonctionnent très bien, et lorsqu’un outil est populaire dans les environnements Linux, vous pouvez être sûr que des milliers d’utilisateurs expérimentés l’utilisent. Les administrateurs système ne doivent pas oublier que chaque application dépend généralement d’autres programmes. Par exemple, c’est le cas avec ClamAV et OpenVAS.

Vous devez comprendre ce dont votre système a besoin et dans quels domaines il peut être vulnérable. Tout d’abord, utilisez un outil léger pour rechercher quelle section a besoin d’attention. Utilisez ensuite l’outil approprié pour résoudre le problème.

MOTS CLÉS:

  • Linux

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map