Иако се много говори да оперативни системи Линук нису подложни нападима вируса, у данашње вријеме са све већим пријетњама које се јављају и различитим техникама које се користе без сумње да ниједан систем није 100% заштићен и стога морамо подузети одговарајуће сигурносне мјере како бисмо спријечили нападе и крађу осетљивих информација. С обзиром на то, имамо две критичне претње, као што су злонамерни софтвер и руткит, посебно злонамерни софтвер и руткитови, који могу да раде на интегрисан и потпун начин у Линуксу као и у другим „несигурним“ оперативним системима.
Солветиц ће прегледати неке од најбољих алата за скенирање Линук система на злонамерни софтвер или роотките који би могли угрозити његов нормалан рад.
Шта је рооткитРооткит је врста алата који има моћ да делује независно или да буде заједно са било којом варијантом злонамерног кода чији је главни циљ да сакрије своје сврхе од корисника и администратора система.
Основни задатак рооткита је да сакрије информације повезане са процесима, мрежним везама, датотекама, директоријумима, привилегијама, али може да дода функције попут бацкдоор -а или бацкдоор -а како би обезбедио сталан приступ систему или користио кеилоггер -е чији задатак је пресрести притиске тастера што доводи активности корисника у непосредну опасност.
Постоје различите врсте рооткита, као што су:
Рооткит у корисничком просторуОва врста рооткита ради директно у корисничком простору на истом нивоу као и остале апликације и бинарне датотеке, његов задатак је да замени легитимне извршне датотеке система другим измењеним, тако да се подацима које они пружају манипулише у негативне сврхе. Међу главним бинарним датотекама које напада рооткит имамо лс, дф, стат, ду, финд, лсоф, лсатрр, цхатрр, синц, ип, роуте, нестстат, лсоф, нц, иптаблес, арп, цронтаб, ат, цронтаб, ат и још.
Рооткит у простору језграТо је један од најопаснијих јер у овом случају можете приступити систему и добити привилегије суперкорисника како бисте инсталирали рооткит у режиму језгра и на тај начин постигли потпуну контролу над системом, па се, након што се интегришете у систем, њихово откривање ће бити много сложеније јер прелазе на виши ниво привилегија са дозволама за измену и мењају не само бинарне датотеке већ и функције и позиве оперативног система.
БооткитсОни имају могућност додавања функција покретања у рутките и из овог начина утичу на системски фирмвер и секторе за покретање диска.
Шта је злонамерни софтверЗлонамерни софтвер (Злонамерни софтвер), у основи је програм који има функцију да оштети систем или изазове квар како у систему тако и у тамо инсталираним апликацијама, унутар ове групе налазимо вирусе, тројанце (тројанци), црве (црв), кеилоггерс, ботнети, Рансомварес, шпијунски софтвер, адвер, неваљалци и још много тога.
Злонамерни софтвер има различите путеве приступа где се може убацити у систем, као што су:
- Друштвени медији
- Лажне веб странице
- Заражени УСБ уређаји / ЦД / ДВД дискови
- Прилози у нежељеним е -порукама (нежељена пошта)
Сада ћемо видети најбоље алате за откривање ових претњи и наставити са њиховом корекцијом.
Линис
Линис је безбедносни алат дизајниран за системе са оперативним системом Линук, мацОС или Уник.
Његова улога је да изврши опсежно скенирање здравља система како би подржао учвршћивање система и покренуо неопходне тестове усклађености како би искључио претње. Линис је софтвер отвореног кода са лиценцом ГПЛ -а и доступан је од 2007.
Главне акцијеЊегове главне акције су усредсређене на:
- Ревизије безбедности
- Тестирање усаглашености као што су ПЦИ, ХИПАА, СОк
- Тестирање продора ради увида у унутрашњу безбедност
- Откривање рањивости
- Отврдњавање система
За његову инсталацију, прво ћемо преузети датотеку са службене странице:
цд/опт/вгет хттпс://довнлоадс.цисофи.цом/линис/линис-2.6.6.тар.гз
ЕНЛАРГЕ
Садржај издвајамо:
тар квзф линис-2.6.6.тар.гз
ЕНЛАРГЕ
На крају премештамо апликацију у исправан директоријум:
мв линис / уср / лоцал / лн -с / уср / лоцал / линис / линис / уср / лоцал / бин / линисЛинис скенирање је засновано на могућностима, односно користиће само оно што је доступно, као што су доступни алати или библиотеке, па се помоћу ове методе скенирања алат може покренути готово без зависности.
Шта покриваАспекти које Линис покрива су:
- Иницијализација и основне контроле
- Одредите оперативни систем и пратеће алате
- Потражите доступне системске помоћне програме
- Проверите ажурирање програма Линис
- Покрените омогућене додатке
- Покрените безбедносне тестове засноване на категоријама
- Покрените прилагођене тестове
- Пријавите статус безбедносног скенирања
Да бисмо покренули потпуну анализу система, извршавамо:
линис систем ревизије
ЕНЛАРГЕ
Тамо ће започети цео процес анализе и коначно ћемо видети све резултате у категоријама:
ЕНЛАРГЕ
Могуће је омогућити рад Линиса да буде аутоматски у дефинисаном временском распону, за то морамо додати следећи црон унос, који ће се у овом случају извршити у 11 сати ноћу и слаће извештаје на унету адресу е -поште :
0 23 * * * / уср / лоцал / бин / линис --куицк 2> & 1 | маил -с "Линис Репорт" маил@домаин.цом
Ркхунтер
РКХ (РоотКит Хунтер), бесплатан је алат отвореног кода и једноставан за коришћење захваљујући којем ће бити могуће скенирати задња врата, роотките и локалне програме на системима компатибилним са ПОСИКС-ом, као што је Линук. Његов задатак је да открије роотките, пошто креиран је као алат за надзор и анализу безбедности који детаљно прегледа систем како би открио скривене безбедносне рупе.
Алат ркхунтер може се инсталирати помоћу следеће команде на системима заснованим на Убунту и ЦентОС:
судо апт инсталл ркхунтер (Убунту) иум инсталл епел-релеасе (ЦентОС) иум инсталл ркхунтер (ЦентОС)
ЕНЛАРГЕ
Уносимо слово С да бисмо потврдили преузимање и инсталирање услужног програма. Једном инсталирани, можемо пратити систем извршавањем следећег:
судо ркхунтер -ц
ЕНЛАРГЕ
Тамо ће се наставити процес анализе система у потрази за опасним ситуацијама:
ЕНЛАРГЕ
Тамо ће анализирати све постојеће рооткит опције и покренути додатне радње анализе на мрежи и другим ставкама.
Цхкрооткит
Цхкрооткит је још један од алата који су развијени за локалну проверу да ли постоје рооткитови, овај услужни програм укључује:
цхкрооткитТо је љуска скрипта која проверава системске бинарне датотеке ради промене рооткита.
ифпромисц.цПроверите да ли је интерфејс у промискуитетном режиму
цхкластлог.цПроверите брисања последњег дневника
цхквтмп.цПроверите брисања втмп -а
цхецк_втмпк.цПроверите брисања втмпк -а
цхкпроц.цПотражите знакове ЛКМ тројанаца
цхкдирс.цПотражите знакове ЛКМ тројанаца
стрингс.цБрза и прљава замена ланца
цхкутмп.цПроверите утмп брисања
Цхкрооткит се може инсталирати покретањем:
судо апт инсталл цхкрооткит
ЕНЛАРГЕ
У случају ЦентОС -а морамо извршити:
иум упдате иум инсталл вгет гцц -ц ++ глибц -статиц вгет -ц фтп://фтп.пангеиа.цом.бр/пуб/сег/пац/цхкрооткит.тар.гз тар -кзф цхкрооткит.тар.гз мкдир/уср / лоцал / цхкрооткит мв цхкрооткит-0.52 / * / уср / лоцал / цхкрооткит цд / уср / лоцал / цхкрооткит има смислаЗа покретање овог алата можемо користити било коју од следећих опција:
судо цхкрооткит / уср / лоцал / цхкрооткит / цхкрооткит
ЕНЛАРГЕ
ЦламАВ
Још једно од добро познатих решења за анализу рањивости у Линуксу је ЦламАВ који је развијен као антивирусни механизам отвореног кода (ГПЛ) који се може извршити за различите радње, укључујући скенирање е-поште, скенирање веба и веб безбедност.
ЦламАВ нам нуди низ услужних програма, укључујући флексибилан и скалабилан вишеслојни демон, скенер командне линије и напредни алат за аутоматско ажурирање базе података.
КарактеристикеМеђу његовим најистакнутијим карактеристикама налазимо:
- Скенер командне линије
- Милтер интерфејс за сендмаил
- Напредно ажурирање базе података са подршком за ажурирање по скрипти и дигиталне потписе
- Интегрисана подршка за формате архива као што су Зип, РАР, Дмг, Тар, Гзип, Бзип2, ОЛЕ2, Цабинет, ЦХМ, БинХек, СИС и други
- Стално ажурирана база података о вирусима
- Интегрисана подршка за све стандардне формате датотека поште
- Интегрисана подршка за извршне датотеке ЕЛФ и преносиве извршне датотеке упаковане са УПКС, ФСГ, Петите, НсПацк, ввпацк32, МЕВ, Упацк и замагљене помоћу СУЕ, И0да Цриптор и других
- Уграђена подршка за формате докумената МС Оффице и МацОффице, ХТМЛ, Фласх, РТФ и ПДФ.
Да бисмо инсталирали ЦламАВ, извршићемо следећу команду:
судо апт инсталл цламав
ЕНЛАРГЕ
Уносимо слово С да бисмо потврдили преузимање и инсталирање ЦламАВ -а.
У случају ЦентОС -а, можемо извршити следеће:
иум -и упдате иум -и инсталл цламавЗа извршавање ЦламАВ -а извршићемо следеће:
судо цламсцан -р -и "Директоријум"
ЕНЛАРГЕ
ЛМД - Откривање злонамерног софтвера за Линук
Линук детекција злонамерног софтвера (ЛМД) развијен је као скенер злонамерног софтвера за Линук под лиценцом ГНУ ГПЛв2, чија је главна функција да користи податке о претњама из система за откривање упада за издвајање злонамерног софтвера који се активно користи у нападима и може да генерише потписе за откривање ових претњи .
Потписи које ЛМД користи су хешеви датотека МД5 и подударање ХЕКС узорака, који се такође могу лако извести у различите алате за откривање, попут ЦламАВ -а.
КарактеристикеМеђу његовим карактеристикама налазимо:
- Уграђена ЦламАВ детекција која ће се користити као мотор скенера за најбоље резултате
- МД5 детекција хеша за брзу идентификацију претње
- Компонента статистичке анализе за откривање претњи
- Уграђена функција ажурирања верзије са -д
- Интегрисана функција ажурирања потписа помоћу -у
- Дневна црон скрипта компатибилна са системима стила РХ, Цпанел и Енсим
- Кернел инотифи монитор који може узети податке путање из СТДИН -а или ФИЛЕ -а
- Свакодневно скенирање свих промена у последња 24 сата у евиденцијама корисника на бази црон-а
- Опција враћања у карантин за враћање датотека на оригиналну путању, укључујући власника
- Опције игнорисања правила заснованих на рутама, екстензијама и потписима
Да бисмо инсталирали ЛМД у Линук, извршићемо следеће:
цд/тмп/цурл -О хттп://ввв.рфкн.цом/довнлоадс/малдетецт-цуррент.тар.гз тар -зквф малдетецт-цуррент.тар.гз цд малдетецт-1.6.2/басх инсталл.сх
ЕНЛАРГЕ
Сада можемо извршити жељени директоријум, у овом случају тмп овако:
малдет -а / тмп
ЕНЛАРГЕ
Са било којим од ових алата биће могуће очувати интегритет нашег система избегавајући присуство злонамерног софтвера или руткита.
