Három eszközök linux szerver Rootkit és vírusok blog cyber01
Szerverek gyakran kitéve támadások és megkeresi réseket napi rendszerességgel. Amellett, hogy fut a tűzfal és a rendszeres frissítéseket ellenőrizni kell a rendszer egy esetleges invázió.
Ön is használja chkrootkit, Rkhunter ISPProtect és ellenőrizni a szerver esetén a gyanús tevékenységet, mint a nagy terhelés, a gyanús folyamatokat.
Az alábbiakban bemutatásra kerül három eszköz szkennelés Linux szerver rootkitek és vírusok:
Mindhárom eszköz root hozzáférést igényel.
Chkrootkit klasszikus szkenner rootkitek. A program ellenőrzi a szerver a gyanús folyamatokat, és ellenőrzi, hogy van egy szerver ismert rootkit.
Chkrootkit illeszthetők a csomagkezelő a distributiva.Dlya Debian / Ubuntu így történt.
apt-get install chkrootkit
Azt is letölthető chkrootkit forráskód a fejlesztő (www.chkrootkit.org), és manuálisan telepíteni.
wget -passive-ftp ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar xvfz chkrootkit.tar.gz
cd chkrootkit - * /
értelme
Ezután vigye chkrootkit könyvtár valahol máshol (például a / usr / local / chkrootkit):
cd.
mv chkrootkit-<Версия chkrootkit>/ A / usr / local / chkrootkit
és hozzon létre egy szimbolikus linket a könnyű hozzáférést:
ln -s / usr / local / chkrootkit / chkrootkit / usr / local / bin / chkrootkit
Akkor ellenőrizze a kiszolgálót chkrootkit a következő parancs futtatásával:
Néha a jelentésben téves riasztások, például:
Ellenőrzés `bindshell ... FERTŐZÖTTNEK (portok: 465)
Ne aggódj ezeket az üzeneteket, ez a port foglalt SMTPS (Secure SMTP) - az e-mail szerver, így okot lehet hamis.
root @ server1: /tmp/chkrootkit-0.50# amely chkrootkit
/ Usr / sbin / chkrootkit
Chkrootkit / usr / sbin / chkrootkit. kell ezt az utat, hogy hozzon létre egy cron job:
követni:
És hozzá a következő sort:
0 3 * * * / usr / sbin / chkrootkit 2> 1 | mail -s "chkrootkit kimenete én szerver" [email protected])
Ez beállítja Lynis a / usr / local / lynis / és hozzon létre egy szimbolikus linket a könnyű hozzáférést. Szkennelés előtt, meg kell frissíteni az adatbázist:
lynis frissítés info
Akkor majd beolvasni a rendszer rootkitek a következő parancsot:
lynis ellenőrzési rendszer
Lynis végez számos ellenőrzést végzett, és megáll, hogy el tudja olvasni az eredményt. A beolvasás folytatásához meg kell nyomni az Enter
A vizsgálat befejeztével kap egy összefoglaló jelentést a beolvasás, valamint egy sor ajánlást:
Lynis futtatásához nem interaktív módban, adjuk hozzá a lehetőséget, gyorsan:
Lynis automatikusan futtatni, hozzon létre egy cron job, amely hasonlít a következő:
0 3 * * * / usr / local / bin / lynis -Gyors 2> 1 | mail -s "lynis kimenete én szerver" [email protected])
ISPProtect ez víruskeresőt webszerverek. beolvassa a fájlokat a webhely és a CMS (WordPress, Joomla, Drupal, stb.) Sites - a legsebezhetőbb része a szerver, így rendszeres ellenőrzése vírusok van szükség rájuk.
ISPProtect 3 szkennelési modulok: Modul malware aláírásokat (például víruskereső), heurisztikus modul és ellenőrizze elavult CMS. ISPProtect van proepritarnoe szoftver. de van egy próba verzió lehetővé teszi, hogy ellenőrizze és tisztítsa meg a fertőzött rendszert.
ISPProtect a PHP dolgozni. hogy elérhető a legtöbb szerver. Ha nem tudja használni a parancssori PHP, válassza ki a megfelelő csomagot:
apt-get install php5-cli
Debian és Ubuntu vagy:
yum install php
Fedora és CentOS.
Ezt követően, a következő parancsokat kell telepíteni ISPProtect:
Most már futtathatja ISPProtect:
A szkenner automatikusan frissítéseket, és kérjen egy kulcs (a szó „próba” helyett billentyűk), és felkéri a módja annak, hogy a helyszínen (általában a / var / www).
Kérjük, írja be szkennelés gombot: <— trial
Kérjük, adja meg útvonalát scan: <— /var/www
Ezt követően, szkennelés elindul oldalakon. Az alábbiakban látható a letapogató haladást. Ennek eredményeként, akkor látható a fertőzött fájlokat, valamint egy listát a fájlok, amelyek az ellenőrzés eredményeit.
Kezdeni ISPProtect automatikusan engedélyhez gombot. valamint létre egy cron job:
0 3 * * * root / usr / local / ispprotect / ispp_scan -update / Usr / local / ispprotect / ispp_scan -path = / var / www, E-mail-results = root @ localhost non-interaktív -scan-key = AAA-BBB-CCC-DDD