11 Eines per escanejar servidor Linux per trobar defectes de seguretat i programari maliciós

Tot i que els sistemes basats en Linux sovint es consideren impenetrables, hi ha riscos que cal prendre seriosament.


Els rootkits, virus, ransomware i molts altres programes nocius sovint poden atacar i causar problemes als servidors Linux.

No importa el sistema operatiu, prendre mesures de seguretat és imprescindible per als servidors. Les grans marques i organitzacions han pres les mesures de seguretat a les seves mans i han desenvolupat eines que no només detecten defectes i programari maliciós, sinó que també les corregeixen i adopten accions preventives..

Afortunadament, hi ha eines disponibles a un preu baix o gratuït que poden ajudar-vos en aquest procés. Poden detectar defectes en diferents seccions d’un servidor basat en Linux.

Lynis

Lynis és una coneguda eina de seguretat i una opció preferida per a experts en Linux. També funciona en sistemes basats en Unix i macOS. És una aplicació de programari de codi obert que s’utilitza des del 2007 sota una llicència GPL.

Lynis és capaç de detectar forats de seguretat i defectes de configuració. Però va més enllà d’això: en lloc només d’exposar les vulnerabilitats, suggereix accions correctores. Per això, per obtenir informes de verificació detallats, cal executar-lo al sistema amfitrió.

La instal·lació no és necessària per utilitzar Lynis. Podeu extreure’l d’un paquet descarregat o d’un tarball i executar-lo. També podeu obtenir-lo des d’un clon de Git per tenir accés a la documentació completa i al codi font.

Lynis va ser creada per l’autor original de Rkhunter, Michael Boelen. Té dos tipus de serveis basats en particulars i empreses. En qualsevol dels dos casos, té un rendiment excel·lent.

Chkrootkit

Com és possible que ja hagueu endevinat, el chkrootkit és una eina per comprovar l’existència de rootkits. Els rootoots són un tipus de programari maliciós que pot donar accés al servidor a un usuari no autoritzat. Si teniu un servidor basat en Linux, els rootkits poden ser un problema.

chkrootkit és un dels programes més utilitzats basats en Unix que poden detectar rootkits. Utilitza “cadenes” i “grep” (ordres d’eines Linux) per detectar problemes.

Es pot utilitzar des d’un directori alternatiu o des d’un disc de rescat, per si voleu que verifiqui un sistema ja compromès. Els diferents components de Chkrootkit tenen cura de buscar entrades suprimides als fitxers “wtmp” i “lastlog”, trobar registres sniffer o fitxers de configuració de rootkit i comprovar si hi ha entrades ocultes en “/ proc” o trucades al programa “readdir”..

Per utilitzar chkrootkit, haureu d’obtenir la versió més recent d’un servidor, extreure els fitxers d’origen, compilar-los i ja esteu preparats per anar.

Rkhunter

El desenvolupador Micheal Boelen va ser la persona que estava al darrere de la fabricació Rkhunter (Rootkit Hunter) el 2003. És una eina adequada per als sistemes POSIX i pot ajudar en la detecció de rootkits i altres vulnerabilitats. Rkhunter recorre a fons fitxers (ocults o visibles), directoris predeterminats, mòduls del nucli i permisos no configurats.

Després d’una revisió rutinària, els compara amb els registres segurs i adequats de bases de dades i busca programes sospitosos. Com que el programa està escrit en Bash, no només es pot executar en màquines Linux, sinó també en pràcticament qualsevol versió d’Unix.

ClamAV

Escrit a C++, ClamAV és un antivirus de codi obert que pot ajudar a la detecció de virus, troians i molts altres tipus de programari maliciós. És una eina totalment gratuïta, i és per això que molta gent la utilitza per analitzar les seves dades personals, inclosos els correus electrònics, per a qualsevol tipus de fitxers maliciosos. També serveix significativament com a escàner del servidor.

L’eina es va desenvolupar inicialment, especialment per a Unix. Tot i així, disposa de versions de tercers que es poden utilitzar en Linux, BSD, AIX, macOS, OSF, OpenVMS i Solaris. Clam AV fa una actualització automàtica i regular de la seva base de dades per tal de poder detectar fins i tot les amenaces més recents. Permet escanejar en línia de comandaments i té un dimoni escalable de diversos fils per millorar la seva velocitat d’escaneig.

Pot recórrer diferents tipus d’arxius per detectar vulnerabilitats. Admet tot tipus de fitxers comprimits, inclosos RAR, Zip, Gzip, Tar, Cabinet, OLE2, CHM, format SIS, BinHex i gairebé qualsevol tipus de sistema de correu electrònic..

LMD

Detectar programari maliciós de Linux –O LMD, per breu– és un altre antivirus de renom per als sistemes Linux, dissenyat específicament al voltant de les amenaces que solen trobar-se en entorns allotjats. Com moltes altres eines que poden detectar programari maliciós i enllaços, LMD utilitza una base de dades de signatures per trobar qualsevol codi de funcionament maliciós i acabar-lo ràpidament..

LMD no es limita a la seva base de dades de signatures pròpia. Pot aprofitar les bases de dades de ClamAV i Team Cymru per trobar encara més virus. Per omplir la seva base de dades, LMD capta les dades d’amenaça dels sistemes de detecció d’intrusions de vora de xarxa. Fent això, és capaç de generar noves signatures per a programari maliciós que s’utilitza activament en atacs.

LMD es pot fer servir a través de la línia d’ordres “maldet”. L’eina està especialment dissenyada per a plataformes Linux i pot cercar fàcilment a través de servidors Linux.

Radare2

Radare2 (R2) és un marc per analitzar binaris i fer enginyeria inversa amb excel·lents capacitats de detecció. Pot detectar binaris amb malformacions, proporcionant a l’usuari les eines per gestionar-les, neutralitzant possibles amenaces. Utilitza sdb, que és una base de dades NoSQL. Els investigadors i programadors de seguretat de programari prefereixen aquesta eina per la seva excel·lent capacitat de presentació de dades.

Una de les característiques destacades de Radare2 és que l’usuari no es veu obligat a utilitzar la línia d’ordres per realitzar tasques com l’anàlisi estàtica / dinàmica i l’explotació de programari. Es recomana per a qualsevol tipus de recerca sobre dades binàries.

OpenVAS

Sistema de valoració de vulnerabilitat obert, o OpenVAS, és un sistema allotjat per analitzar vulnerabilitats i gestionar-les. Està dissenyat per a empreses de totes les mides, ajudant-los a detectar problemes de seguretat ocults a les seves infraestructures. Inicialment, el producte era conegut com a GNessUs, fins que el seu propietari actual, Greenbone Networks, va canviar el seu nom per OpenVAS.

Des de la versió 4.0, OpenVAS permet actualitzar contínuament –normalment en períodes inferiors a 24 hores- de la seva base de proves de vulnerabilitat de xarxa (NVT). Al juny del 2016, tenia més de 47.000 NVT.

Els experts en seguretat utilitzen OpenVAS per la seva capacitat d’escanejar ràpidament. També ofereix una excel·lent configuració. Els programes d’OpenVAS es poden utilitzar des d’una màquina virtual autònoma per fer recerca segura sobre programari maliciós. El seu codi font està disponible sota una llicència GNU GPL. Moltes altres eines de detecció de vulnerabilitat depenen d’OpenVAS, per la qual cosa es pren com a programa essencial a les plataformes basades en Linux.

REMnux

REMnux utilitza mètodes d’enginyeria inversa per analitzar programari maliciós. Pot detectar molts problemes basats en el navegador, ocults a fragments de codi obfuscats amb JavaScript i applets de Flash. També és capaç d’escanejar fitxers PDF i realitzar memòries forenses de memòria. L’eina ajuda a la detecció de programes maliciosos a les carpetes i fitxers que no es poden escanejar fàcilment amb altres programes de detecció de virus..

És eficaç a causa de les seves capacitats de descodificació i enginyeria inversa. Pot determinar les propietats de programes sospitosos i, per ser lleuger, és molt detectable per programes maliciosos intel·ligents. Es pot utilitzar tant en Linux com en Windows, i es pot millorar la seva funcionalitat amb altres ajudes d’escaneig.

tigre

El 1992, Texas A&M Universitat va començar a treballar tigre per augmentar la seguretat dels ordinadors del campus. Ara, és un programa popular per a plataformes similars a Unix. Una cosa única de l’eina és que no només és una eina d’auditoria de seguretat, sinó també un sistema de detecció d’intrusions.

L’eina és lliure d’utilitzar sota una llicència GPL. Depèn de les eines POSIX, i junts poden crear un marc perfecte que pot augmentar la seguretat del servidor de manera important. El tigre està escrit completament en un llenguatge de closca, que és un dels motius de la seva efectivitat. És adequat per comprovar l’estat i la configuració del sistema i el seu ús polivalent fa que sigui molt popular entre les persones que utilitzen eines POSIX.

Maltrail

Maltrail és un sistema de detecció de trànsit capaç de mantenir el trànsit del vostre servidor net i ajudar-lo a evitar qualsevol tipus d’amenaça maliciosa. Realitza aquesta tasca comparant les fonts de trànsit amb els llocs de llista negra publicats en línia.

A més de comprovar els llocs de llista negra, també utilitza mecanismes heurístics avançats per detectar diferents tipus d’amenaces. Tot i que és una característica opcional, resulta útil quan creieu que el vostre servidor ja ha estat atacat.

Té un sensor capaç de detectar el trànsit que arriba un servidor i enviar la informació al servidor Maltrail. El sistema de detecció verifica si el trànsit és prou bo per intercanviar dades entre un servidor i la font.

YARA

Realitzat per a Linux, Windows i macOS, YARA (Un altre acrònim ridícul) és una de les eines més essencials utilitzades per a la investigació i la detecció de programes maliciosos. Utilitza patrons textuals o binaris per simplificar i accelerar el procés de detecció, produint una tasca ràpida i senzilla.

YARA té algunes funcions addicionals, però necessiteu la biblioteca OpenSSL per utilitzar-les. Tot i que si no teniu aquesta biblioteca, podeu utilitzar YARA per a la investigació bàsica sobre programari maliciós mitjançant un motor basat en regles. També es pot utilitzar al Cuckoo Sandbox, un sandbox basat en Python ideal per a la investigació segura de programes maliciosos.

Com triar la millor eina?

Totes les eines que hem esmentat anteriorment funcionen molt bé i, quan una eina és popular en entorns Linux, podeu estar segur que milers d’usuaris amb experiència l’utilitzen. Una cosa que els administradors del sistema han de recordar és que cada aplicació sol dependre d’altres programes. Per exemple, aquest és el cas de ClamAV i d’OpenVAS.

Heu d’entendre què necessita el vostre sistema i en quines zones pot presentar vulnerabilitats. En primer lloc, utilitzeu una eina lleugera per investigar quina secció necessita atenció. A continuació, utilitzeu l’eina adequada per resoldre el problema.

Tags:

  • Linux

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map