11 Tools zum Scannen von Linux Server auf Sicherheitslücken und Malware

Auch wenn Linux-basierte Systeme oft als undurchdringlich angesehen werden, gibt es dennoch Risiken, die ernst genommen werden müssen.


Rootkits, Viren, Ransomware und viele andere schädliche Programme können Linux-Server häufig angreifen und Probleme verursachen.

Unabhängig vom Betriebssystem sind Sicherheitsmaßnahmen ein Muss für Server. Große Marken und Organisationen haben die Sicherheitsmaßnahmen selbst in die Hand genommen und Tools entwickelt, die Fehler und Malware nicht nur erkennen, sondern auch korrigieren und vorbeugende Maßnahmen ergreifen.

Glücklicherweise gibt es Tools zu einem niedrigen Preis oder kostenlos, die bei diesem Prozess helfen können. Sie können Fehler in verschiedenen Abschnitten eines Linux-basierten Servers erkennen.

Lynis

Lynis ist ein bekanntes Sicherheitstool und eine bevorzugte Option für Linux-Experten. Es funktioniert auch auf Systemen, die auf Unix und macOS basieren. Es ist eine Open-Source-Software-App, die seit 2007 unter einer GPL-Lizenz verwendet wird.

Lynis ist in der Lage, Sicherheitslücken und Konfigurationsfehler zu erkennen. Aber es geht darüber hinaus: Anstatt nur die Schwachstellen aufzudecken, werden Korrekturmaßnahmen vorgeschlagen. Um detaillierte Überwachungsberichte zu erhalten, müssen Sie sie daher auf dem Hostsystem ausführen.

Für die Verwendung von Lynis ist keine Installation erforderlich. Sie können es aus einem heruntergeladenen Paket oder einem Tarball extrahieren und ausführen. Sie können es auch von einem Git-Klon erhalten, um Zugriff auf die vollständige Dokumentation und den Quellcode zu erhalten.

Lynis wurde vom ursprünglichen Autor von Rkhunter, Michael Boelen, erstellt. Es gibt zwei Arten von Dienstleistungen, die auf Einzelpersonen und Unternehmen basieren. In beiden Fällen hat es eine hervorragende Leistung.

Chkrootkit

Wie Sie vielleicht schon erraten haben, ist die chkrootkit ist ein Tool zum Überprüfen der Existenz von Rootkits. Rootkits sind eine Art schädlicher Software, die einem nicht autorisierten Benutzer Serverzugriff gewähren kann. Wenn Sie einen Linux-basierten Server ausführen, können Rootkits ein Problem sein.

chkrootkit ist eines der am häufigsten verwendeten Unix-basierten Programme, das Rootkits erkennen kann. Es verwendet “Strings” und “Grep” (Linux-Tool-Befehle), um Probleme zu erkennen.

Es kann entweder aus einem alternativen Verzeichnis oder von einer Rettungsdisk verwendet werden, falls Sie möchten, dass ein bereits gefährdetes System überprüft wird. Die verschiedenen Komponenten von Chkrootkit suchen nach gelöschten Einträgen in den Dateien “wtmp” und “lastlog”, suchen nach Sniffer-Datensätzen oder Rootkit-Konfigurationsdateien und suchen nach versteckten Einträgen in “/ proc” oder rufen das Programm “readdir” auf.

Um chkrootkit verwenden zu können, müssen Sie die neueste Version von einem Server herunterladen, die Quelldateien extrahieren, kompilieren und loslegen.

Rkhunter

Entwickler Micheal Boelen war die Person, die hinter dem Erstellen stand Rkhunter (Rootkit Hunter) im Jahr 2003. Es ist ein geeignetes Tool für POSIX-Systeme und kann bei der Erkennung von Rootkits und anderen Schwachstellen helfen. Rkhunter geht gründlich Dateien (entweder versteckt oder sichtbar), Standardverzeichnisse, Kernelmodule und falsch konfigurierte Berechtigungen durch.

Nach einer Routineüberprüfung werden sie mit den sicheren und ordnungsgemäßen Aufzeichnungen von Datenbanken verglichen und nach verdächtigen Programmen gesucht. Da das Programm in Bash geschrieben ist, kann es nicht nur auf Linux-Computern ausgeführt werden, sondern auch auf praktisch jeder Unix-Version.

ClamAV

Geschrieben in C.++, ClamAV ist ein Open-Source-Virenschutzprogramm, das bei der Erkennung von Viren, Trojanern und vielen anderen Arten von Malware helfen kann. Es ist ein völlig kostenloses Tool. Deshalb verwenden viele Benutzer es, um ihre persönlichen Daten, einschließlich E-Mails, auf schädliche Dateien jeglicher Art zu scannen. Es dient auch maßgeblich als serverseitiger Scanner.

Das Tool wurde ursprünglich speziell für Unix entwickelt. Es gibt jedoch Versionen von Drittanbietern, die unter Linux, BSD, AIX, macOS, OSF, OpenVMS und Solaris verwendet werden können. Clam AV führt eine automatische und regelmäßige Aktualisierung seiner Datenbank durch, um selbst die neuesten Bedrohungen erkennen zu können. Es ermöglicht das Scannen über die Befehlszeile und verfügt über einen skalierbaren Multithread-Dämon, um die Scan-Geschwindigkeit zu verbessern.

Es kann verschiedene Arten von Dateien durchlaufen, um Schwachstellen zu erkennen. Es unterstützt alle Arten von komprimierten Dateien, einschließlich RAR, Zip, Gzip, Tar, Cabinet, OLE2, CHM, SIS-Format, BinHex und fast alle Arten von E-Mail-Systemen.

LMD

Linux Malware Detect – oder kurz LMD – ist ein weiteres bekanntes Antivirenprogramm für Linux-Systeme, das speziell für die Bedrohungen entwickelt wurde, die normalerweise in gehosteten Umgebungen auftreten. Wie viele andere Tools, die Malware und Rootkits erkennen können, verwendet LMD eine Signaturdatenbank, um schädlichen laufenden Code zu finden und ihn schnell zu beenden.

LMD beschränkt sich nicht auf seine eigene Signaturdatenbank. Es kann die Datenbanken von ClamAV und Team Cymru nutzen, um noch mehr Viren zu finden. Um die Datenbank zu füllen, erfasst LMD Bedrohungsdaten von Intrusion Detection-Systemen für Netzwerkkanten. Auf diese Weise können neue Signaturen für Malware generiert werden, die bei Angriffen aktiv eingesetzt wird.

LMD kann über die Befehlszeile „maldet“ verwendet werden. Das Tool wurde speziell für Linux-Plattformen entwickelt und kann problemlos Linux-Server durchsuchen.

Radare2

Radare2 (R2) ist ein Framework für die Analyse von Binärdateien und das Reverse Engineering mit hervorragenden Erkennungsfähigkeiten. Es kann fehlerhafte Binärdateien erkennen und dem Benutzer die Tools zur Verwaltung dieser Binärdateien zur Verfügung stellen, um potenzielle Bedrohungen zu neutralisieren. Es verwendet sdb, eine NoSQL-Datenbank. Software-Sicherheitsforscher und Software-Entwickler bevorzugen dieses Tool aufgrund seiner hervorragenden Datenpräsentationsfähigkeit.

Eine der herausragenden Eigenschaften von Radare2 ist, dass der Benutzer nicht gezwungen ist, die Befehlszeile zu verwenden, um Aufgaben wie statische / dynamische Analyse und Software-Ausnutzung auszuführen. Es wird für jede Art von Forschung zu Binärdaten empfohlen.

OpenVAS

Öffnen Sie das Vulnerability Assessment System oder OpenVAS, ist ein gehostetes System zum Scannen und Verwalten von Schwachstellen. Es wurde für Unternehmen jeder Größe entwickelt und hilft ihnen, Sicherheitsprobleme zu erkennen, die in ihren Infrastrukturen verborgen sind. Ursprünglich war das Produkt als GNessUs bekannt, bis sein derzeitiger Eigentümer, Greenbone Networks, seinen Namen in OpenVAS änderte.

Seit Version 4.0 ermöglicht OpenVAS eine kontinuierliche Aktualisierung der NVT-Basis (Network Vulnerability Testing) in der Regel in weniger als 24 Stunden. Im Juni 2016 hatte es mehr als 47.000 NVTs.

Sicherheitsexperten verwenden OpenVAS aufgrund seiner Fähigkeit, schnell zu scannen. Es verfügt auch über eine hervorragende Konfigurierbarkeit. OpenVAS-Programme können von einer in sich geschlossenen virtuellen Maschine aus verwendet werden, um sichere Malware-Recherchen durchzuführen. Der Quellcode ist unter einer GNU GPL-Lizenz verfügbar. Viele andere Tools zur Erkennung von Sicherheitslücken hängen von OpenVAS ab. Aus diesem Grund wird es auf Linux-basierten Plattformen als unverzichtbares Programm angesehen.

REMnux

REMnux verwendet Reverse-Engineering-Methoden zur Analyse von Malware. Es kann viele browserbasierte Probleme erkennen, die in JavaScript-verschleierten Codefragmenten und Flash-Applets verborgen sind. Es ist auch in der Lage, PDF-Dateien zu scannen und Speicherforensik durchzuführen. Das Tool hilft bei der Erkennung von Schadprogrammen in Ordnern und Dateien, die mit anderen Virenerkennungsprogrammen nicht einfach gescannt werden können.

Es ist aufgrund seiner Dekodierungs- und Reverse-Engineering-Funktionen effektiv. Es kann die Eigenschaften verdächtiger Programme bestimmen und ist aufgrund seines geringen Gewichts von intelligenten Schadprogrammen kaum zu erkennen. Es kann sowohl unter Linux als auch unter Windows verwendet werden und seine Funktionalität kann mithilfe anderer Scan-Tools verbessert werden.

Tiger

Im Jahr 1992 wurde Texas A.&Die M University begann zu arbeiten Tiger um die Sicherheit ihrer Campus-Computer zu erhöhen. Jetzt ist es ein beliebtes Programm für Unix-ähnliche Plattformen. Das Besondere an dem Tool ist, dass es nicht nur ein Sicherheitsüberprüfungstool, sondern auch ein Intrusion Detection-System ist.

Das Tool kann kostenlos unter einer GPL-Lizenz verwendet werden. Es hängt von POSIX-Tools ab und zusammen können sie ein perfektes Framework erstellen, das die Sicherheit Ihres Servers erheblich erhöhen kann. Tiger ist vollständig in Shell-Sprache geschrieben – das ist einer der Gründe für seine Wirksamkeit. Es eignet sich zur Überprüfung des Systemstatus und der Konfiguration und ist aufgrund seiner Mehrzweckverwendung bei Personen, die POSIX-Tools verwenden, sehr beliebt.

Maltrail

Maltrail ist ein Verkehrserkennungssystem, mit dem der Datenverkehr Ihres Servers sauber gehalten und böswillige Bedrohungen vermieden werden können. Diese Aufgabe wird ausgeführt, indem die Verkehrsquellen mit online veröffentlichten Websites auf der schwarzen Liste verglichen werden.

Neben der Suche nach Websites auf der schwarzen Liste werden erweiterte heuristische Mechanismen zum Erkennen verschiedener Arten von Bedrohungen verwendet. Obwohl es sich um eine optionale Funktion handelt, ist sie nützlich, wenn Sie glauben, dass Ihr Server bereits angegriffen wurde.

Es verfügt über einen Sensor, der den Datenverkehr eines Servers erkennt und die Informationen an den Maltrail-Server sendet. Das Erkennungssystem überprüft, ob der Datenverkehr gut genug ist, um Daten zwischen einem Server und der Quelle auszutauschen.

YARA

Gemacht für Linux, Windows und MacOS, YARA (Noch ein lächerliches Akronym) ist eines der wichtigsten Werkzeuge für die Erforschung und Erkennung von Schadprogrammen. Es verwendet Text- oder Binärmuster, um den Erkennungsprozess zu vereinfachen und zu beschleunigen, was zu einer schnellen und einfachen Aufgabe führt.

YARA hat einige zusätzliche Funktionen, aber Sie benötigen die OpenSSL-Bibliothek, um sie zu verwenden. Auch wenn Sie nicht über diese Bibliothek verfügen, können Sie YARA über eine regelbasierte Engine für die grundlegende Malware-Recherche verwenden. Es kann auch in der Cuckoo Sandbox verwendet werden, einer Python-basierten Sandbox, die sich ideal für die sichere Suche nach schädlicher Software eignet.

So wählen Sie das beste Werkzeug?

Alle oben genannten Tools funktionieren sehr gut, und wenn ein Tool in Linux-Umgebungen beliebt ist, können Sie ziemlich sicher sein, dass Tausende erfahrener Benutzer es verwenden. Systemadministratoren sollten sich daran erinnern, dass jede Anwendung normalerweise von anderen Programmen abhängig ist. Dies ist beispielsweise bei ClamAV und OpenVAS der Fall.

Sie müssen verstehen, was Ihr System benötigt und in welchen Bereichen es Schwachstellen aufweisen kann. Verwenden Sie zunächst ein leichtes Werkzeug, um herauszufinden, welcher Abschnitt Aufmerksamkeit erfordert. Verwenden Sie dann das richtige Werkzeug, um das Problem zu lösen.

STICHWORTE:

  • Linux

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map