11 Ferramentas para verificar o servidor Linux quanto a falhas de segurança e malware

Embora os sistemas baseados em Linux sejam frequentemente considerados impenetráveis, ainda existem riscos que precisam ser levados a sério.


Rootkits, vírus, ransomware e muitos outros programas prejudiciais geralmente podem atacar e causar problemas aos servidores Linux.

Não importa o sistema operacional, é necessário tomar medidas de segurança para os servidores. Grandes marcas e organizações tomaram as medidas de segurança em suas mãos e desenvolveram ferramentas que não apenas detectam falhas e malware, mas também as corrigem e tomam ações preventivas.

Felizmente, existem ferramentas disponíveis por um preço baixo ou de graça que podem ajudar nesse processo. Eles podem detectar falhas em diferentes seções de um servidor baseado em Linux.

Lynis

Lynis é uma ferramenta de segurança renomada e uma opção preferida para especialistas em Linux. Também funciona em sistemas baseados em Unix e macOS. É um aplicativo de software de código aberto usado desde 2007 sob uma licença GPL.

O Lynis é capaz de detectar falhas de segurança e falhas de configuração. Mas vai além disso: em vez de apenas expor as vulnerabilidades, sugere ações corretivas. Por isso, para obter relatórios detalhados de auditoria, é necessário executá-lo no sistema host.

A instalação não é necessária para usar o Lynis. Você pode extraí-lo de um pacote baixado ou de um tarball e executá-lo. Você também pode obtê-lo de um clone do Git para ter acesso à documentação e código fonte completos.

Lynis foi criado pelo autor original de Rkhunter, Michael Boelen. Possui dois tipos de serviços baseados em indivíduos e empresas. Em ambos os casos, ele tem um excelente desempenho.

Chkrootkit

Como você já deve ter adivinhado, o chkrootkit é uma ferramenta para verificar a existência de rootkits. Os rootkits são um tipo de software malicioso que pode dar acesso ao servidor a um usuário não autorizado. Se você estiver executando um servidor baseado em Linux, os rootkits podem ser um problema.

O chkrootkit é um dos programas baseados em Unix mais usados ​​para detectar rootkits. Ele usa ‘strings’ e ‘grep’ (comandos da ferramenta Linux) para detectar problemas.

Ele pode ser usado em um diretório alternativo ou em um disco de recuperação, caso você deseje verificar um sistema já comprometido. Os diferentes componentes do Chkrootkit cuidam de procurar entradas excluídas nos arquivos “wtmp” e “lastlog”, localizando registros sniffer ou arquivos de configuração do rootkit e verificando entradas ocultas em “/ proc” ou chamadas para o programa “readdir”.

Para usar o chkrootkit, você deve obter a versão mais recente de um servidor, extrair os arquivos de origem, compilá-los e você está pronto para começar.

Rkhunter

O desenvolvedor Micheal Boelen foi a pessoa responsável por fazer Rkhunter (Rootkit Hunter) em 2003. É uma ferramenta adequada para sistemas POSIX e pode ajudar na detecção de rootkits e outras vulnerabilidades. O Rkhunter examina minuciosamente os arquivos (ocultos ou visíveis), diretórios padrão, módulos do kernel e permissões mal configuradas.

Após uma verificação de rotina, ele os compara com os registros seguros e adequados dos bancos de dados e procura programas suspeitos. Como o programa é escrito em Bash, ele não pode ser executado apenas em máquinas Linux, mas também em praticamente qualquer versão do Unix..

ClamAV

Escrito em C++, ClamAV é um antivírus de código aberto que pode ajudar na detecção de vírus, trojans e muitos outros tipos de malware. É uma ferramenta totalmente gratuita, é por isso que muitas pessoas a usam para verificar suas informações pessoais, incluindo e-mails, em busca de qualquer tipo de arquivo malicioso. Também serve como um scanner do lado do servidor.

A ferramenta foi desenvolvida inicialmente, especialmente para Unix. Ainda assim, possui versões de terceiros que podem ser usadas no Linux, BSD, AIX, macOS, OSF, OpenVMS e Solaris. O Clam AV faz uma atualização automática e regular de seu banco de dados, para poder detectar até as ameaças mais recentes. Ele permite a varredura na linha de comando e possui um demônio escalável multiencadeado para melhorar sua velocidade de varredura.

Ele pode passar por diferentes tipos de arquivos para detectar vulnerabilidades. Ele suporta todos os tipos de arquivos compactados, incluindo RAR, Zip, Gzip, Tar, Cabinet, formato OLE2, CHM, SIS, BinHex e quase qualquer tipo de sistema de email.

LMD

Detecção de Malware Linux –Ou LMD, para abreviar– é outro antivírus de renome para sistemas Linux, projetado especificamente para as ameaças geralmente encontradas em ambientes hospedados. Como muitas outras ferramentas que podem detectar malware e rootkits, o LMD usa um banco de dados de assinatura para encontrar qualquer código de execução malicioso e finalizá-lo rapidamente.

O LMD não se limita ao seu próprio banco de dados de assinaturas. Ele pode aproveitar os bancos de dados do ClamAV e do Team Cymru para encontrar ainda mais vírus. Para preencher seu banco de dados, o LMD captura dados de ameaças de sistemas de detecção de intrusões na borda da rede. Ao fazer isso, ele é capaz de gerar novas assinaturas para malware que está sendo usado ativamente em ataques.

O LMD pode ser usado através da linha de comando “maldet”. A ferramenta é feita especialmente para plataformas Linux e pode pesquisar facilmente através de servidores Linux.

Radare2

Radare2 (R2) é uma estrutura para analisar binários e fazer engenharia reversa com excelentes habilidades de detecção. Ele pode detectar binários malformados, fornecendo ao usuário as ferramentas para gerenciá-los, neutralizando possíveis ameaças. Ele utiliza sdb, que é um banco de dados NoSQL. Pesquisadores de segurança de software e desenvolvedores de software preferem essa ferramenta por sua excelente capacidade de apresentação de dados.

Um dos recursos mais destacados do Radare2 é que o usuário não é forçado a usar a linha de comando para realizar tarefas como análise estática / dinâmica e exploração de software. É recomendado para qualquer tipo de pesquisa em dados binários.

OpenVAS

Sistema aberto de avaliação de vulnerabilidades, ou OpenVAS, é um sistema hospedado para verificar vulnerabilidades e gerenciá-las. Ele foi desenvolvido para empresas de todos os tamanhos, ajudando-os a detectar problemas de segurança ocultos em suas infra-estruturas. Inicialmente, o produto era conhecido como GNessUs, até que seu atual proprietário, Greenbone Networks, mudou seu nome para OpenVAS.

Desde a versão 4.0, o OpenVAS permite atualizações contínuas – geralmente em períodos inferiores a 24 horas – de sua base de teste de vulnerabilidade de rede (NVT). Em junho de 2016, possuía mais de 47.000 NVTs.

Os especialistas em segurança usam o OpenVAS devido à sua capacidade de digitalizar rapidamente. Também possui excelente configurabilidade. Os programas OpenVAS podem ser usados ​​em uma máquina virtual independente para realizar pesquisas de malware seguras. Seu código fonte está disponível sob uma licença GNU GPL. Muitas outras ferramentas de detecção de vulnerabilidades dependem do OpenVAS – é por isso que é considerado um programa essencial em plataformas baseadas em Linux.

REMnux

REMnux usa métodos de engenharia reversa para analisar malware. Ele pode detectar muitos problemas baseados no navegador, ocultos em snippets de código ofuscados por JavaScript e em applets Flash. Também é capaz de digitalizar arquivos PDF e executar análises forenses de memória. A ferramenta ajuda na detecção de programas maliciosos em pastas e arquivos que não podem ser verificados facilmente com outros programas de detecção de vírus.

É eficaz devido a seus recursos de decodificação e engenharia reversa. Ele pode determinar as propriedades de programas suspeitos e, por ser leve, é muito indetectável por programas maliciosos inteligentes. Ele pode ser usado no Linux e no Windows, e sua funcionalidade pode ser aprimorada com a ajuda de outras ferramentas de verificação.

Tigre

Em 1992, o Texas A&M University começou a trabalhar em Tigre para aumentar a segurança dos computadores do campus. Agora, é um programa popular para plataformas tipo Unix. Uma coisa única sobre a ferramenta é que ela não é apenas uma ferramenta de auditoria de segurança, mas também um sistema de detecção de intrusões.

A ferramenta é gratuita para uso sob uma licença GPL. Depende das ferramentas POSIX, e juntas elas podem criar uma estrutura perfeita que pode aumentar significativamente a segurança do seu servidor. O Tiger é inteiramente escrito em linguagem shell – essa é uma das razões para sua eficácia. É adequado para verificar o status e a configuração do sistema, e seu uso multiuso o torna muito popular entre as pessoas que usam as ferramentas POSIX.

Maltrail

Maltrail é um sistema de detecção de tráfego capaz de manter o tráfego do servidor limpo e ajudar a evitar qualquer tipo de ameaças maliciosas. Ele executa essa tarefa comparando as origens de tráfego com sites na lista negra publicados online.

Além de procurar sites na lista negra, também usa mecanismos heurísticos avançados para detectar diferentes tipos de ameaças. Mesmo sendo um recurso opcional, é útil quando você acha que seu servidor já foi atacado..

Possui um sensor capaz de detectar o tráfego que um servidor recebe e enviar as informações ao servidor Maltrail. O sistema de detecção verifica se o tráfego é bom o suficiente para trocar dados entre um servidor e a fonte.

YARA

Feito para Linux, Windows e macOS, YARA (Ainda outra sigla ridícula) é uma das ferramentas mais essenciais usadas na pesquisa e detecção de programas maliciosos. Ele usa padrões de texto ou binários para simplificar e acelerar o processo de detecção, resultando em uma tarefa rápida e fácil.

O YARA possui alguns recursos extras, mas você precisa da biblioteca OpenSSL para usá-los. Mesmo se você não tiver essa biblioteca, poderá usar o YARA para pesquisa básica de malware por meio de um mecanismo baseado em regras. Também pode ser usado no Cuckoo Sandbox, um sandbox baseado em Python, ideal para fazer pesquisas seguras de software malicioso.

Como escolher a melhor ferramenta?

Todas as ferramentas que mencionamos acima funcionam muito bem e, quando uma ferramenta é popular em ambientes Linux, você pode ter certeza de que milhares de usuários experientes a estão usando. Uma coisa que os administradores de sistema devem lembrar é que cada aplicativo geralmente depende de outros programas. Por exemplo, esse é o caso do ClamAV e do OpenVAS.

Você precisa entender o que seu sistema precisa e em quais áreas ele pode estar apresentando vulnerabilidades. Primeiro, use uma ferramenta leve para pesquisar qual seção precisa de atenção. Em seguida, use a ferramenta adequada para resolver o problema.

TAG:

  • Linux

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map