Linux işletim sistemlerinin virüs saldırılarına karşı savunmasız olmadığı çokça söylense de, günümüzde artan tehditler ve kullanılan farklı teknikler ile şüphesiz hiçbir sistem %100 korumalı değildir ve bu nedenle saldırıları önlemek için ilgili güvenlik önlemlerini almalıyız. ve hassas bilgilerin çalınması. Bu göz önüne alındığında, kötü amaçlı yazılım ve rootkit, özellikle kötü amaçlı yazılım ve rootkit gibi kritik olan iki tehdidimiz var, diğer “güvensiz” işletim sistemlerinde olduğu gibi Linux'ta da entegre ve eksiksiz bir şekilde çalışabilirler.
Solvetic, Linux sistemini normal çalışmasını tehlikeye atabilecek kötü amaçlı yazılım veya rootkit'lere karşı taramak için en iyi araçlardan bazılarını gözden geçirecektir.
rootkit nedirRootkit, bağımsız hareket etme veya ana amacı amaçlarını kullanıcılardan ve sistem yöneticilerinden gizlemek olan herhangi bir kötü amaçlı kod türüyle birlikte olma gücüne sahip bir tür araçtır.
Bir rootkit'in temel görevi, işlemler, ağ bağlantıları, dosyalar, dizinler, ayrıcalıklar ile ilgili bilgileri gizlemektir, ancak sisteme kalıcı erişim sağlamak veya keylogger'lardan yararlanmak için arka kapı veya arka kapı gibi işlevler ekleyebilir. görev, kullanıcı etkinliklerini yakın riske sokan tuş vuruşlarını engellemektir.
Aşağıdakiler gibi farklı rootkit türleri vardır:
Kullanıcı alanında rootkitBu tür rootkit, diğer uygulamalar ve ikili dosyalar ile aynı seviyede doğrudan kullanıcı alanında çalışır, görevi yasal sistem yürütülebilir dosyalarını değiştirilmiş diğerleriyle değiştirmek, böylece sağladıkları bilgilerin olumsuz amaçlarla manipüle edilmesidir. Rootkit tarafından saldırıya uğrayan ana ikili dosyalar arasında ls, df, stat, du, find, lsof, lsatrr, chatrr, sync, ip, route, neststat, lsof, nc, iptables, arp, crontab, at, crontab, at var. ve dahası.
Çekirdek alanında rootkitBu en tehlikeli olanlardan biridir, çünkü bu durumda sisteme erişebilir ve çekirdek modunda bir rootkit kurmak için süper kullanıcı ayrıcalıkları elde edebilir ve bu şekilde sistemin tam kontrolünü elde edebilirsiniz, böylece sisteme entegre olduktan sonra, sadece ikili dosyaları değil, aynı zamanda işletim sisteminin işlevlerini ve çağrılarını da değiştirecek ve değiştirecek izinlerle daha yüksek bir ayrıcalık düzeyine geçtiklerinden, algılamaları çok daha karmaşık olacaktır.
Bootkit'lerBunlar, rootkit'lere önyükleme işlevleri ekleme yeteneğine sahiptir ve bu moddan sistem bellenimi ve disk önyükleme sektörlerini etkiler.
Kötü amaçlı yazılım nedirKötü Amaçlı Yazılım (Kötü amaçlı yazılım), temelde hem sistemde hem de orada kurulu uygulamalarda bir sisteme zarar verme veya arızaya neden olma işlevine sahip bir programdır, bu grup içinde Virüsler, Truva Atları (Truva Atları), Solucanlar (Solucan) , keylogger'lar, Botnet'ler, Fidye Yazılımları, Casus Yazılımlar, Reklam Yazılımları, Rogue'lar ve çok daha fazlası.
Kötü amaçlı yazılımın sisteme eklenebileceği farklı erişim yolları vardır, örneğin:
- Sosyal medya
- Sahte web siteleri
- Virüslü USB aygıtları / CD'ler / DVD'ler
- İstenmeyen e-postalardaki ekler (Spam)
Şimdi bu tehditleri tespit etmek ve düzeltmelerine devam etmek için en iyi araçları göreceğiz.
Lynis
Lynis, Linux, macOS veya Unix tabanlı bir işletim sistemi çalıştıran sistemler için tasarlanmış bir güvenlik aracıdır.
Rolü, sistem sağlamlaştırmayı desteklemek ve tehditleri ortadan kaldırmak için gerekli uyumluluk testlerini çalıştırmak için kapsamlı bir sistem sağlığı taraması yapmaktır. Lynis, GPL lisanslı açık kaynaklı yazılımdır ve 2007'den beri mevcuttur.
Ana eylemlerAna eylemleri aşağıdakilere odaklanmıştır:
- Güvenlik denetimleri
- PCI, HIPAA, SOx gibi uyumluluk testleri
- İç güvenliği görmek için sızma testi
- Güvenlik açığı algılama
- Sistem sertleştirme
Kurulumu için öncelikle dosyayı resmi siteden indireceğiz:
cd / opt / wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz
BÜYÜT
İçeriği çıkarıyoruz:
tar xvzf lynis-2.6.6.tar.gz
BÜYÜT
Son olarak uygulamayı doğru dizine taşıyoruz:
mv lynis / usr / yerel / ln -s / usr / yerel / lynis / lynis / usr / yerel / bin / lynisLynis taraması fırsata dayalıdır, yani yalnızca mevcut araçlar veya kitaplıklar gibi mevcut olanı kullanır, bu nedenle, bu tarama yöntemini kullanarak araç neredeyse hiç bağımlılık olmadan çalışabilir.
neleri kapsıyorLynis'in kapsadığı yönler şunlardır:
- Başlatma ve temel kontroller
- İşletim sistemini ve beraberindeki araçları belirleyin
- Mevcut sistem yardımcı programlarını arayın
- Lynis güncellemesini doğrulayın
- Etkin eklentileri çalıştırın
- Kategori tabanlı güvenlik testleri çalıştırın
- Özel testler çalıştırın
- Güvenlik taraması durumunu bildir
Yürüttüğümüz sistemin tam bir analizini yapmak için:
lynis denetim sistemi
BÜYÜT
Orada tüm analiz süreci başlayacak ve sonunda tüm sonuçları kategorilerde göreceğiz:
BÜYÜT
Lynis'in çalışmasının belirli bir zaman aralığında otomatik olmasını sağlamak mümkündür, bunun için aşağıdaki cron girişini eklemeliyiz, bu durumda gece 11'de yürütülecek ve girilen e-posta adresine raporlar gönderilecek. :
0 23 * * * / usr / yerel / bin / lynis --quick 2> & 1 | mail -s "Lynis Raporu" [email protected]
Rkhunter
RKH (RootKit Hunter), Linux gibi POSIX uyumlu sistemlerde arka kapıları, rootkit'leri ve yerel açıkları taramanın mümkün olacağı sayesinde ücretsiz, açık kaynaklı ve kullanımı basit bir araçtır.Görevi rootkit'leri tespit etmektir. gizli güvenlik açıklarını tespit etmek için sistemi ayrıntılı olarak inceleyen bir güvenlik izleme ve analiz aracı olarak oluşturulmuştur.
rkhunter aracı, Ubuntu ve CentOS tabanlı sistemlerde aşağıdaki komut kullanılarak kurulabilir:
sudo apt install rkhunter (Ubuntu) yum install epel-release (CentOS) yum install rkhunter (CentOS)
BÜYÜT
Yardımcı programın indirilmesini ve kurulumunu onaylamak için S harfini giriyoruz. Kurulduktan sonra, aşağıdakileri yürüterek sistemi izleyebiliriz:
sudo rkhunter -c
BÜYÜT
Orada tehlikeli durumları aramak için sistemi analiz etme süreci devam edecek:
BÜYÜT
Orada, mevcut tüm rootkit seçeneklerini analiz edecek ve ağ ve diğer öğeler üzerinde ek analiz eylemleri gerçekleştirecektir.
Chkrootkit
Chkrootkit, rootkit olup olmadığını yerel olarak doğrulamak için geliştirilmiş araçlardan bir diğeridir, bu yardımcı program şunları içerir:
chkrootkitRootkit değişikliği için sistem ikili dosyalarını kontrol eden bir kabuk betiğidir.
ifpromisc.cArayüzün karışık modda olup olmadığını kontrol edin
chklastlog.cSon günlük silme işlemlerini kontrol edin
chkwtmp.cwtmp silme işlemlerini kontrol edin
check_wtmpx.cwtmpx silme işlemlerini kontrol edin
chkproc.cLKM Truva Atlarının belirtilerini arayın
chkdirs.cLKM Truva Atlarının belirtilerini arayın
dizeler.cHızlı ve kirli zincir değişimi
chkutmp.cutmp silme işlemlerini kontrol edin
Chkrootkit aşağıdakiler çalıştırılarak kurulabilir:
sudo apt chkrootkit'i kurun
BÜYÜT
CentOS durumunda şunları yapmalıyız:
yum güncellemesi yum wget kurulumu gcc-c ++ glibc-static wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz tar -xzf chkrootkit.tar.gz mkdir / usr / local / chkrootkit mv chkrootkit-0.52 / * / usr / local / chkrootkit cd / usr / local / chkrootkit mantıklıBu aracı çalıştırmak için aşağıdaki seçeneklerden herhangi birini kullanabiliriz:
sudo chkrootkit / usr / yerel / chkrootkit / chkrootkit
BÜYÜT
ClamAV
Linux'ta güvenlik açığı analizi için iyi bilinen çözümlerden bir diğeri, e-posta tarama, web tarama ve web güvenliği gibi çeşitli eylemler için yürütülebilen açık kaynaklı bir antivirüs motoru (GPL) olarak geliştirilen ClamAV'dır.
ClamAV bize esnek ve ölçeklenebilir çok iş parçacıklı bir arka plan programı, bir komut satırı tarayıcı ve otomatik veritabanı güncellemeleri için gelişmiş bir araç içeren bir dizi yardımcı program sunar.
ÖzellikleriEn göze çarpan özellikleri arasında şunları buluyoruz:
- Komut satırı tarayıcı
- Sendmail için Milter arayüzü
- Komut dosyasıyla oluşturulmuş güncellemeler ve dijital imzalar için destek içeren gelişmiş veritabanı güncelleyici
- Zip, RAR, Dmg, Tar, Gzip, Bzip2, OLE2, Cabinet, CHM, BinHex, SIS ve diğerleri gibi arşiv formatları için entegre destek
- Sürekli güncellenen virüs veritabanı
- Tüm standart posta dosya biçimleri için entegre destek
- UPX, FSG, Petite, NsPack, wwpack32, MEW, Upack ile paketlenmiş ve SUE, Y0da Cryptor ve diğerleriyle karıştırılmış ELF yürütülebilir dosyaları ve Taşınabilir Yürütülebilir dosyalar için entegre destek
- MS Office ve MacOffice, HTML, Flash, RTF ve PDF belge biçimleri için yerleşik destek.
ClamAV'ı kurmak için aşağıdaki komutu uygulayacağız:
sudo apt yükleme clamav
BÜYÜT
ClamAV'ın indirilmesini ve kurulumunu onaylamak için S harfini giriyoruz.
CentOS durumunda, aşağıdakileri uygulayabiliriz:
yum -y güncellemesi yum -y clamav'ı yükleClamAV'ın yürütülmesi için aşağıdakileri yürüteceğiz:
sudo clamscan -r -i "Dizin"
BÜYÜT
LMD - Linux Kötü Amaçlı Yazılım Algılama
Linux Kötü Amaçlı Yazılım Algılama (LMD), ana işlevi saldırılarda aktif olarak kullanılan kötü amaçlı yazılımları ayıklamak için izinsiz giriş tespit sistemlerinden gelen tehdit verilerini kullanmak olan ve bu tehditleri tespit etmek için imzalar oluşturabilen GNU GPLv2 lisansı altında Linux için bir kötü amaçlı yazılım tarayıcısı olarak geliştirilmiştir. .
LMD'nin kullandığı imzalar, ClamAV gibi çeşitli algılama araçlarına kolayca aktarılabilen MD5 dosya karmaları ve HEX desen eşleşmeleridir.
özellikleriÖzellikleri arasında şunları buluyoruz:
- En iyi sonuçlar için tarayıcı motoru olarak kullanılacak yerleşik ClamAV algılama
- Hızlı tehdit tanımlaması için MD5 dosya karma algılama
- Tehdit tespiti için istatistiksel analiz bileşeni
- -d ile yerleşik sürüm güncelleme işlevi
- -u ile entegre imza güncelleme işlevi
- RH, Cpanel ve Ensim tarzı sistemlerle uyumlu günlük cron betiği
- STDIN veya DOSYA'dan yol verilerini alabilen çekirdek inotify monitörü
- Son 24 saatteki tüm değişikliklerin kullanıcı günlüklerinde günlük cron tabanlı taraması
- Sahip de dahil olmak üzere dosyaları orijinal yola geri yüklemek için karantinaya geri yükleme seçeneği
- Rotalara, uzantılara ve imzalara dayalı kuralları yok sayma seçenekleri
LMD'yi Linux'a kurmak için aşağıdakileri uygulayacağız:
cd / tmp / curl -O http://www.rfxn.com/downloads/maldetect-current.tar.gz tar -zxvf maldetect-current.tar.gz cd maldetect-1.6.2 / bash install.sh
BÜYÜT
Şimdi istediğimiz dizini çalıştırabiliriz, bu durumda tmp şöyle:
maldet -a / tmp
BÜYÜT
Bu araçlardan herhangi biriyle, kötü amaçlı yazılım veya rootkit'lerin varlığından kaçınarak sistemimizin bütünlüğünü korumak mümkün olacaktır.
