Es gibt ständig eine hohe Anzahl von Angriffen und Port-Scans auf Linux-Servern, während eine richtig konfigurierte Firewall und regelmäßige Updates des Sicherheitssystems eine zusätzliche Schicht hinzufügen, um das System sicher zu halten, aber Sie sollten auch häufig beobachten, ob jemand eindringt. Dadurch wird auch sichergestellt, dass Ihr Server frei von Programmen bleibt, die darauf abzielen, den normalen Betrieb zu stören.
Die in diesem Artikel vorgestellten Tools wurden für diese Sicherheitsscans entwickelt und sind in der Lage, Viren, Malware, Rootkits und bösartige Verhaltensweisen zu identifizieren. Sie können diese Tools verwenden, um regelmäßige System-Scans z.B. jede Nacht durchzuführen und Berichte an Ihre E-Mail-Adresse zu senden.
Lynis – Security Auditing and Rootkit Scanner
Lynis ist ein freies, quelloffenes, leistungsfähiges und beliebtes Sicherheits-Auditing- und Scan-Tool für Unix/Linux-ähnliche Betriebssysteme. Es ist ein Tool zum Scannen von Malware und zum Aufspüren von Schwachstellen, das Systeme nach Sicherheitsinformationen und -problemen, Dateiintegrität und Konfigurationsfehlern durchsucht; es führt Firewall-Audits durch, überprüft installierte Software, Datei-/Verzeichnisberechtigungen und vieles mehr.
Wichtig ist, dass es nicht automatisch eine Systemabhärtung durchführt, sondern lediglich Vorschläge anbietet, mit denen Sie Ihren Server abhärten können.
Wir werden die neueste Version von Lynis (d.h. 2.6.6) aus den Quellen installieren, indem wir folgende Befehle verwenden.
# cd /opt/# wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz# tar xvzf lynis-2.6.6.tar.gz# mv lynis /usr/local/# ln -s /usr/local/lynis/lynis /usr/local/bin/lynis
Jetzt können Sie Ihr System mit dem folgenden Befehl scannen.
# lynis audit system
Um Lynis automatisch jede Nacht laufen zu lassen, fügen Sie den folgenden Cron-Eintrag hinzu, der um 3 Uhr nachts läuft und Berichte an Ihre E-Mail-Adresse sendet.
0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server"
Chkrootkit – Ein Linux-Rootkit-Scanner
Chkrootkit ist ebenfalls ein kostenloser, quelloffener Rootkit-Detektor, der lokal nach Anzeichen eines Rootkits auf Unix-ähnlichen Systemen sucht. Es hilft dabei, versteckte Sicherheitslücken aufzuspüren. Das chkrootkit-Paket besteht aus einem Shell-Skript, das System-Binärdateien auf Rootkit-Veränderungen überprüft, und einer Reihe von Programmen, die verschiedene Sicherheitsprobleme überprüfen.
Das chkrootkit-Tool kann auf Debian-basierten Systemen mit dem folgenden Befehl installiert werden.
$ sudo apt install chkrootkit
Auf CentOS-basierten Systemen müssen Sie es mit den folgenden Befehlen aus den Quellen installieren.
# yum update# yum install wget gcc-c++ glibc-static# wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz# tar –xzf chkrootkit.tar.gz# mkdir /usr/local/chkrootkit# mv chkrootkit-0.52/* /usr/local/chkrootkit# cd /usr/local/chkrootkit# make sense
Um Ihren Server mit Chkrootkit zu überprüfen, führen Sie den folgenden Befehl aus.
$ sudo chkrootkit OR# /usr/local/chkrootkit/chkrootkit
Nach der Ausführung wird Ihr System auf bekannte Malwares und Rootkits überprüft und nach Abschluss des Prozesses können Sie die Zusammenfassung des Berichts sehen.
Um Chkrootkit automatisch jede Nacht laufen zu lassen, fügen Sie den folgenden Cron-Eintrag hinzu, der um 3 Uhr nachts läuft und Berichte an Ihre E-Mail-Adresse sendet.
0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server"
Rkhunter – Ein Linux Rootkit-Scanner
RKH (RootKit Hunter) ist ein freies, quelloffenes, leistungsfähiges, einfach zu bedienendes und bekanntes Tool zum Scannen von Backdoors, Rootkits und lokalen Exploits auf POSIX-konformen Systemen wie Linux. Wie der Name schon sagt, ist es ein Rootkit-Jäger, ein Sicherheitsüberwachungs- und Analysewerkzeug, das ein System gründlich untersucht, um versteckte Sicherheitslücken aufzuspüren.
Das Tool rkhunter kann mit folgendem Befehl auf Ubuntu- und CentOS-basierten Systemen installiert werden.
$ sudo apt install rkhunter# yum install epel-release# yum install rkhunter
Um Ihren Server mit rkhunter zu überprüfen, führen Sie den folgenden Befehl aus.
# rkhunter -c
Um rkhunter automatisch jede Nacht laufen zu lassen, fügen Sie den folgenden Cron-Eintrag hinzu, der um 3 Uhr nachts ausgeführt wird und Berichte an Ihre E-Mail-Adresse sendet.
0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server"
ClamAV – Antivirus Software Toolkit
ClamAV ist eine quelloffene, vielseitige, beliebte und plattformübergreifende Antiviren-Engine, die Viren, Malware, Trojaner und andere bösartige Programme auf einem Computer erkennt. Es ist eines der besten kostenlosen Antivirenprogramme für Linux und der Open-Source-Standard für Mail-Gateway-Scansoftware, die fast alle Mail-Dateiformate unterstützt.
Es unterstützt Virendatenbank-Updates auf allen Systemen und On-Access-Scans nur auf Linux. Darüber hinaus kann es innerhalb von Archiven und komprimierten Dateien scannen und unterstützt Formate wie Zip, Tar, 7Zip, Rar u.a. und weitere Funktionen.
Das ClamAV kann mit folgendem Befehl auf Debian-basierten Systemen installiert werden.
$ sudo apt-get install clamav
Das ClamAV kann mit folgendem Befehl auf CentOS-basierten Systemen installiert werden.
# yum -y update# yum -y install clamav
Nach der Installation können Sie die Signaturen aktualisieren und ein Verzeichnis mit den folgenden Befehlen scannen.
# freshclam# clamscan -r -i DIRECTORY
Wobei DIRECTORY der zu scannende Ort ist. Die Optionen -r
bedeuten rekursives Scannen und -i
bedeutet, dass nur infizierte Dateien angezeigt werden.
LMD – Linux Malware Detect
LMD (Linux Malware Detect) ist ein leistungsstarker und voll ausgestatteter Open-Source-Malware-Scanner für Linux, der speziell für gemeinsam gehostete Umgebungen entwickelt wurde, aber auch zur Erkennung von Bedrohungen auf jedem Linux-System verwendet werden kann. Er kann in die ClamAV-Scanner-Engine integriert werden, um eine bessere Leistung zu erzielen.
Er bietet ein vollständiges Berichtssystem zur Anzeige aktueller und früherer Scan-Ergebnisse, unterstützt E-Mail-Benachrichtigungen nach jeder Scan-Ausführung und viele andere nützliche Funktionen.
Für die Installation und Verwendung von LMD lesen Sie bitte unseren Artikel How to Install and Use Linux Malware Detect (LMD) with ClamAV as Antivirus Engine.