Lynis――通用的安全审查工具和rootkit扫描工具
Lynis(之前名为rkhunter)是一款安全审查工具,面向基于Linux和BSD的系统。它可以详细地审查你系统的许多安全方面和配置。从https://cisofy.com/download/lynis/下载最新的Lynis源代码:
cd /tmp
wget https://cisofy.com/files/lynis-2.1.1.tar.gz tarxvfz lynis-2.1.1.tar.gz
mv lynis /usr/local/
ln -s /usr/local/lynis/lynis /usr/local/bin/lynis
这会将lynis安装到目录/usr/local/lynis,并创建一个符号链接,以便易于访问。现在运行:
lynis update info
检查你是否用的是最新版本。
现在,你可以运行这个命令,扫描系统查找rootkit:
lynis audit system
Lynis会执行几次检测,然后停下来让你有时间来阅读结果。按回车键即可继续扫描。
Lynis系统审查。
最后,它会显示扫描摘要。
Lynis的结果。
想以非交互方式运行Lynis,使用--quick选项来启动它:
lynis --quick
想在晚间自动运行Lynis,创建就像这样的计划任务:
0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "lynis output
of my server" you@yourdomain.com)
这会在每晚3点运行lynis。将电子邮件地址换成你的实际地址。
ISPProtect――网站恶意软件扫描工具
ISPProtect是一款面向网站服务器的恶意软件扫描工具,它可以扫描网站文件和内容管理系统(CMS)系统(比如Wordpress、Joomla和Drupal等)中的恶意软件。如果你运行一个网站托管服务器,那么托管的网站是你服务器中受到攻击次数最多的部分,所以建议定期对它们执行完整性检查。ISPProtect包含3种扫描引擎:基于特征的恶意软件扫描工具、启发式恶意软件扫描工具,以及显示过时CMS系统的安装目录的扫描工具。ISPProtect不是免费软件,不过有一个免费试用版可以使用,不需要注册即可试用,或者清除被感染的系统。
ISPProtect需要PHP安装到服务器上,PHP应该安装在大多数托管系统上。万一你没有安装命令行PHP,可以在Debian或Ubuntu上执行:
apt-get install php5-cli
或者在Fedora和CentOS上执行:
yum install php
运行下列命令来安装ISPProtect。
mkdir -p /usr/local/ispprotect
chown -R root:root /usr/local/ispprotect
chmod -R 750 /usr/local/ispprotect
cd /usr/local/ispprotect
wget http://www.ispprotect.com/download/ispp_scan.tar.gz tarxzf ispp_scan.tar.gz
rm -f ispp_scan.tar.gz
ln -s /usr/local/ispprotect/ispp_scan /usr/local/bin/ispp_scan
想启动ISPProtect,运行:
ispp_scan
该扫描工具会自动检查更新版,然后要求输入密钥(在此输入单词“trial”),然后要求输入网站路径,通常是thats /var/www。
ISPProtect恶意软件扫描。
Please enter scan key: <-- trial
Please enter path to scan: <-- /var/www
扫描工具现在会开始扫描,显示了扫描进度。扫描结束后,被感染文件的名称显示在屏幕上,结果存储在ISPProtect安装目录的文件中,供以后使用:
After the scan is completed, you will find the results also in the following files:
Malware => /usr/local/ispprotect/found_malware_20161401174626.txt
Wordpress => /usr/local/ispprotect/software_wordpress_20161401174626.txt
Joomla => /usr/local/ispprotect/software_joomla_20161401174626.txt
Drupal => /usr/local/ispprotect/software_drupal_20161401174626.txt
Mediawiki => /usr/local/ispprotect/software_mediawiki_20161401174626.txt
Contao => /usr/local/ispprotect/software_contao_20161401174626.txt
Magentocommerce =>
/usr/local/ispprotect/software_magentocommerce_20161401174626.txt
Woltlab Burning Board =>
/usr/local/ispprotect/software_woltlab_burning_board_20161401174626.txt
Cms Made Simple => /usr/local/ispprotect/software_cms_made_simple_20161401174626.txt
Phpmyadmin => /usr/local/ispprotect/software_phpmyadmin_20161401174626.txt
Typo3 => /usr/local/ispprotect/software_typo3_20161401174626.txt
Roundcube => /usr/local/ispprotect/software_roundcube_20161401174626.txt
Starting scan level 1 ...
想每晚作为计划任务自动运行ISPProtect,使用nano创建一个计划任务文件:
nano /etc/cron.d/ispprotect
然后插入下面这一行:
0 3 * * * root /usr/local/ispprotect/ispp_scan --update &&
/usr/local/ispprotect/ispp_scan --path=/var/www --email-results=roo
t@localhost --non-interactive --scan-key=AAA-BBB-CCC-DDD
将“root@localhost”换成你的电子邮件地址,扫描报告发送到这个地址。然后,将“AAA-BBB-CCC-DDD”换成你的许可证密钥。你可以在此(http://ispprotect.com)获得许可证密钥。
原文标题:Three tools to scan a Linux server for Malware and Rootkits
(责任编辑:安博涛)
