Các máy chủ được kết nối với Internet phải chịu một luồng tấn công và quét liên tục trong suốt cả ngày. Trong khi tường lửa và các bản cập nhật hệ thống thường xuyên là biện pháp phòng thủ đầu tiên tốt để giữ cho hệ thống an toàn, bạn cũng nên thường xuyên kiểm tra xem có kẻ tấn công nào xâm nhập không. Các công cụ được mô tả trong hướng dẫn này được tạo ra cho các thử nghiệm này, quét phần mềm độc hại, vi-rút và rootkit. Chúng nên được chạy thường xuyên, ví dụ như vào mỗi đêm và gửi cho bạn báo cáo qua email. Bạn cũng có thể sử dụng Chkrootkit, Rkhunter và ISPProtect để quét hệ thống khi bạn nhận thấy hoạt động đáng ngờ, chẳng hạn như tải cao, quy trình đáng ngờ hoặc khi máy chủ đột nhiên bắt đầu gửi phần mềm độc hại.
Tất cả các trình quét này phải được chạy dưới dạng người dùng root. Đăng nhập dưới dạng root trước khi chạy chúng. Trên Ubuntu, hãy sử dụng:
để trở thành người dùng root.
Cài đặt gói đi kèm với bản phân phối của bạn (trên Debian và Ubuntu, bạn sẽ chạy
), hoặc tải xuống các nguồn từ www.chkrootkit.org và cài đặt thủ công:
Sau đó, bạn có thể di chuyển thư mục chkrootkit đến nơi khác, ví dụ: đến /usr/local/chkrootkit:
và tạo một liên kết tượng trưng để dễ dàng truy cập:
Để kiểm tra máy chủ của bạn bằng chkrootkit, hãy chạy lệnh:
Một báo cáo dương tính giả phổ biến là:
Đừng lo lắng khi bạn nhận được thông báo này trên máy chủ email, đây là cổng SMTPS (SMTP bảo mật) của hệ thống thư của bạn và là một dương tính giả nổi tiếng.
Bạn thậm chí có thể chạy chkrootkit bằng một công việc cron và nhận kết quả qua email cho bạn. Trước tiên, hãy tìm đường dẫn nơi chkrootkit được cài đặt trên máy chủ của bạn bằng:
Ví dụ:
Chkrootkit được cài đặt trong đường dẫn /usr/sbin/chkrootkit, chúng ta cần đường dẫn này trong dòng cron bên dưới:
Chạy:
Để tạo một công việc cron như thế này:
Điều đó sẽ chạy chkrootkit mỗi đêm lúc 3:00. Thay thế đường dẫn đến chkrootkit bằng đường dẫn bạn nhận được từ lệnh trên và đổi địa chỉ email thành địa chỉ thực của bạn.
Điều này sẽ cài đặt Lynis vào thư mục /usr/local/lynisvà tạo một liên kết tượng trưng để dễ dàng truy cập. Bây giờ hãy chạy
để kiểm tra xem bạn có đang sử dụng phiên bản mới nhất không.
Bây giờ bạn có thể quét hệ thống của mình để tìm rootkit bằng cách chạy:
Lynis sẽ thực hiện một vài lần kiểm tra rồi dừng lại để bạn có thời gian đọc kết quả. Nhấn [ENTER] để tiếp tục quét.
Cuối cùng, bạn sẽ thấy bản tóm tắt về quá trình quét.
Để chạy Lynis không tương tác, hãy khởi động bằng tùy chọn --quick:
Để chạy Lynis tự động vào ban đêm, hãy tạo một tác vụ cron như sau:
Điều này sẽ chạy Lynis mỗi đêm lúc 3:00h. Thay thế địa chỉ email bằng địa chỉ thực của bạn.
ISPProtect yêu cầu phải cài đặt PHP và ClamAV trên máy chủ, đây là trường hợp trên hầu hết các hệ thống lưu trữ. ISPProtect sử dụng ClamAV ở cấp độ quét đầu tiên với bộ chữ ký phần mềm độc hại của riêng ISPProtect. Trong trường hợp bạn chưa cài đặt PHP dòng lệnh, hãy thực hiện:
trên Debian 11 hoặc Ubuntu 20.04 hoặc
trên AlmaLinux, Fedora, CentOS hoặc Rocky Linux.
Chạy các lệnh sau để cài đặt ISPProtect.
Để khởi động ISPProtect, hãy chạy:
Máy quét tự động kiểm tra các bản cập nhật, sau đó yêu cầu khóa (nhập từ "trial" tại đây) và sau đó yêu cầu đường dẫn của các trang web, thông thường là /var/www.
Tất cả các trình quét này phải được chạy dưới dạng người dùng root. Đăng nhập dưới dạng root trước khi chạy chúng. Trên Ubuntu, hãy sử dụng:
Mã:
sudo -schkrootkit - Trình quét Rootkit Linux
Chkrootkit là trình quét rootkit cổ điển. Nó kiểm tra máy chủ của bạn để tìm các tiến trình rootkit đáng ngờ và kiểm tra danh sách các tệp rootkit đã biết.Cài đặt gói đi kèm với bản phân phối của bạn (trên Debian và Ubuntu, bạn sẽ chạy
Mã:
apt-get install chkrootkit), hoặc tải xuống các nguồn từ www.chkrootkit.org và cài đặt thủ công:
Mã:
wget --passive-ftp ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar xvfz chkrootkit.tar.gz
cd chkrootkit-*/
make senseSau đó, bạn có thể di chuyển thư mục chkrootkit đến nơi khác, ví dụ: đến /usr/local/chkrootkit:
Mã:
cd ..
mv chkrootkit-/ /usr/local/chkrootkit
Mã:
ln -s /usr/local/chkrootkit/chkrootkit/usr/local/bin/chkrootkit
Mã:
chkrootkit
Mã:
Đang kiểm tra `bindshell'... BỊ NHIỄM (CỔNG: 465)Bạn thậm chí có thể chạy chkrootkit bằng một công việc cron và nhận kết quả qua email cho bạn. Trước tiên, hãy tìm đường dẫn nơi chkrootkit được cài đặt trên máy chủ của bạn bằng:
Mã:
which chkrootkit
Mã:
root@server1:/tmp/chkrootkit-0.52# which chkrootkit
/usr/sbin/chkrootkitChạy:
Mã:
crontab -e
Mã:
0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit output of my server" [emailprotected])Lynis - Công cụ kiểm toán bảo mật toàn diện và trình quét Rootkit
Lynis (trước đây là rkhunter) là một công cụ kiểm toán bảo mật cho các hệ thống dựa trên Linux và BSD. Công cụ này thực hiện kiểm toán chi tiết nhiều khía cạnh bảo mật và cấu hình của hệ thống của bạn. Tải xuống các nguồn Lynis mới nhất từ https://cisofy.com/downloads/lynis/:
Mã:
cd /tmp
wget https://downloads.cisofy.com/lynis/lynis-3.0.7.tar.gz
tar xvfz lynis-3.0.7.tar.gz
mv lynis /usr/local/
ln -s /usr/local/lynis/lynis /usr/local/bin/lynisĐiều này sẽ cài đặt Lynis vào thư mục /usr/local/lynisvà tạo một liên kết tượng trưng để dễ dàng truy cập. Bây giờ hãy chạy
Mã:
lynisupdate infoBây giờ bạn có thể quét hệ thống của mình để tìm rootkit bằng cách chạy:
Mã:
lynis audit systemCuối cùng, bạn sẽ thấy bản tóm tắt về quá trình quét.
Để chạy Lynis không tương tác, hãy khởi động bằng tùy chọn --quick:
Mã:
lynis --quick
Mã:
0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "lynis output of my server" [emailprotected])ISPProtect - Trình quét phần mềm độc hại cho trang web
ISPProtect là trình quét phần mềm độc hại dành cho máy chủ web, quét phần mềm độc hại trong các tệp trang web và hệ thống CMS như WordPress, Joomla, Drupal, v.v. Nếu bạn chạy máy chủ lưu trữ web, thì các trang web được lưu trữ là phần bị tấn công nhiều nhất trên máy chủ của bạn và bạn nên kiểm tra tính hợp lệ của chúng thường xuyên. ISPProtect chứa 5 công cụ quét:- Máy quét phần mềm độc hại dựa trên chữ ký.
- Máy quét phần mềm độc hại theo phương pháp tìm kiếm.
- Máy quét hiển thị các thư mục cài đặt của các hệ thống CMS lỗi thời.
- Máy quét hiển thị tất cả các plugin WordPress lỗi thời của toàn bộ máy chủ.
- Máy quét nội dung cơ sở dữ liệu kiểm tra cơ sở dữ liệu MySQL để tìm nội dung có khả năng độc hại.
ISPProtect yêu cầu phải cài đặt PHP và ClamAV trên máy chủ, đây là trường hợp trên hầu hết các hệ thống lưu trữ. ISPProtect sử dụng ClamAV ở cấp độ quét đầu tiên với bộ chữ ký phần mềm độc hại của riêng ISPProtect. Trong trường hợp bạn chưa cài đặt PHP dòng lệnh, hãy thực hiện:
Mã:
sudo apt install php7.4-cli php7.4-curl clamav
Mã:
yum install PHP php-curlChạy các lệnh sau để cài đặt ISPProtect.
Mã:
mkdir -p /usr/local/ispprotectchown -R root:root /usr/local/ispprotectchmod -R 750 /usr/local/ispprotectcd /usr/local/ispprotectwget http://www.ispprotect.com/download/ispp_scan.tar.gztar xzf ispp_scan.tar.gzrm -f ispp_scan.tar.gzln -s /usr/local/ispprotect/ispp_scan /usr/local/bin/ispp_scan
Mã:
ispp_scan
Mã:
Vui lòng nhập khóa quét:
