سرورهای متصل به اینترنت تعداد زیادی از حملات و اسکن را در طول روز تجربه می کنند و دایم درگیر حملات مختلف هستند. در حالی که یک استفاده از فایروال و به روز رسانی سیستم به طور منظم یک ابزار دفاعی خوب برای حفظ امنیت سیستم است، اما شما همچنین باید به طور منظم بررسی کنید که هیچ هکر و مهاجمی وارد سیستم سرور شما نشده است
ابزارهای معرفی شده در این آموزش برای این آزمایشات ساخته شده اند، آنها برای بدافزار، ویروس ها و روت کیت ها اسکن می کنند و در سرورهای لینوکسی بسیار کارامد هستند.
آنها باید به طور منظم اجرا شوند، برای مثال هر شب و به شما ایمیل ارسال می کنند. شما همچنین می توانید Chkrootkit، Rkhunter و ISPProtect را برای اسکن یک سیستم یا سرور در صورت داشتن فعالیت های مشکوک مانند لود بالا، پروسه های مشکوک و.. استفاده نمایید
همه این اسکنرها باید به عنوان کاربران root اجرا شوند. قبل از اجرا باید دسترسی را به root تغییر دهید:
sudo -s
در اوبونتو برای تبدیل شدن به کاربر root از دستور بالا میتوانید استفاده کنید
chkrootkit – اسکنر روتکیت لینوکس
chkrootkit یک اسکنر کلاسیک rootkit است که سرور را برای روت کیت های مشکوک بررسی می کند و و فایل ها را برای شناسایی rootkit های شناخته شده اسکن میکند.
حتما بسته ای را که با توزیع لینوکس شما همراه است را نصب کنید (در دبیان و اوبونتو در حال حاضر مد نظر ما میباشد)
apt-get install chkrootkit
همچنین میتوانید منابع را از www.chkrootkit.org دانلود کنید و نصب کنید:
wget --passive-ftp ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz tar xvfz chkrootkit.tar.gz cd chkrootkit-*/ make sense
بعد این کار می توانید دایرکتوری chkrootkit را به مکان دیگر منتقل دهید، برای مثال به / usr / local / chkrootkit:
cd .. mv chkrootkit-<version>/ /usr/local/chkrootkit
و یک symlink برای دسترسی آسان ایجاد کنید:
ln -s /usr/local/chkrootkit/chkrootkit /usr/local/bin/chkrootkit
برای بررسی سرور خود با chkrootkit، دستور زیر را اجرا کنید:
chkrootkit
نمونه گزارش اسکن مانند زیر خواهد بود:
Checking `bindshell'... INFECTED (PORTS: 465)
نگران نباشید زمانی که این پیام را در یک سرور ایمیل دریافت می کنید، این SMTPS (نسخه امن سیستم ایمیل سرور) شما را آلوده شناسایی کرده است که قطعا غلط میباشد.
شما حتی می توانید chkrootkit را با cron اجرا کنید که نتایج را برای شما ارسال کند. برای این کار باید ابتدا مسیری را که chkrootkit روی سرور شما نصب شده است پیدا کنید:
which chkrootkit
مثال:
root@server1:/tmp/chkrootkit-0.52# which chkrootkit /usr/sbin/chkrootkit
مشاهده میکنید که Chkrootkit در مسیر / usr / sbin / chkrootkit نصب شده است، ما به این مسیر در خط دستوری که درcron خواهیم نوشت نیاز خواهیم داشت
دستور زیر را اجرا کنید تا وارد تنظیمات cronjob سرور شوید:
crontab -e
برای ایجاد cron job مانند این عمل کنید:
0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit output of my server" you@yourdomain.tld)
این کار هر شب در ساعت 3 صبح انجام می شود. مسیر را به chkrootkit با مسیری که از دستور فوق دریافت کرده اید جایگزین کنید و آدرس ایمیل را با آدرس واقعی خود تعویض کنید.
Lynis – ابزار حسابرسی امنیت جهانی و اسکنر Rootkit
بصورت ساده Lynis (قبلا rkhunter) یک ابزار حسابرسی امنیتی برای سیستم های لینوکس و BSD است. این عمل حسابرسی دقیق بسیاری از جنبه های امنیتی و تنظیمات سیستم شما را انجام می دهد. آخرین منابع Lynis را از https://cisofy.com/download/lynis/ دانلود کنید:
cd /tmp wget https://cisofy.com/files/lynis-2.7.1.tar.gz tar xvfz lynis-2.7.1.tar.gz mv lynis /usr/local/ ln -s /usr/local/lynis/lynis /usr/local/bin/lynis
این دستور Lynis را در دایرکتوری / usr / local / lynis نصب می کند و یک لینک symlink برای دسترسی آسان ایجاد می کند. حالا دستور را اجرایی را وارد میکنیم
برای بررسی اینکه آیا از آخرین نسخه استفاده می کنید از دستور زیر استفاده کنید:
lynis update info
خوب خیالمون راجت شد که آخرین نسخه را نصب داریم حالا شما می توانید سیستم خود را برای روت کیت ها با اجرای برنامه اسکن کنید:
lynis audit system
Lynis چند آزمون و تست را انجام می دهد و سپس متوقف خواهد شد تا شما نتابج اسکن را بخوانید. برای ادامه فرایند اسکن، [ENTER] را فشار دهید.
در نهایت، به شما یک خلاصه اسکن را نشان می دهد.
برای اجرای Lynis در حالت بدون تعاملی(non-interactively)، آن را با گزینه option -quick استارت کنید:
lynis --quick
برای اجرای Lynis به صورت خودکار در شب، یک cronjob ایجاد کنید مانند این:
0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "lynis output of my server" you@yourdomain.com)
ISPProtect – تروجان اسکنروب سایت
ISPProtect یک اسکنر maleware برای وب سرورها است، این اسکنر فایل های وب سایت و سیستم های CMS مانند وردپرس، جوملا، دروپال و غیره را اسکن می کند.
اگر سرور مخصوص میزبانی وب سایت دارید ، وب سایت های میزبانی شده بیشترین آسیب پذیری سرور شما هستند و توصیه می شود به طور منظم آنها را چک کنید. ISPProtect شامل 5 موتور اسکن است:
اسکنر مخرب مبتنی بر امضا.
اسکنر مخرب هورستیک.
یک اسکنر برای نمایش دایرکتوری های نصب شده از سیستم های CMS منسوخ شده.
یک اسکنر که تمام پلاگین های وردپرس قدیم تمام سرور را نشان می دهد.
اسکنر محتوا پایگاه داده که پایگاه داده های MySQL را برای محتوای بالقوه مخرب کنترل می کند.
ISPProtect نرم افزار رایگان نیست، اما یک نسخه Trial Version دارد که بدون ثبت نام می تواند برای بررسی سرور شما برای نرم افزارهای مخرب یا پاکسازی سیستم آلوده استفاده شود
ISPProtect نیاز به پی اچ پی و ClamAV خواهد داشت که این موارد در اکثر سیستم های میزبانی وب سایت مورد استفاده قرار می گیرد
خوب با فرض اینکه php و انتی ویروس clam بر روی سرور شما نصب میباشد حالا دستورات زیر را برای نصب ISPProtect اجرا کنید:
mkdir -p /usr/local/ispprotect chown -R root:root /usr/local/ispprotect chmod -R 750 /usr/local/ispprotect cd /usr/local/ispprotect wget http://www.ispprotect.com/download/ispp_scan.tar.gz tar xzf ispp_scan.tar.gz rm -f ispp_scan.tar.gz ln -s /usr/local/ispprotect/ispp_scan /usr/local/bin/ispp_scan
برای استارت دستور زیر را وارد کنید:
ispp_scan
اسکنر به طور خودکار آپدیت ها را را چک میکند، سپس نوع لایسنس را از شما سوال میکند (در اینجا کلمه “trial” را وارد کنید) و سپس به مسیر وب سایت ها می رود، که معمولا این است: / var / www.
Please enter scan key: <-- trial Please enter path to scan: <-- /var/www
خوب اسکنر اکنون اسکن را آغاز خواهد کرد. پروسه اسکن شده نشان داده خواهد شد
اسامی فایل های آلوده بر روی صفحه در انتهای اسکن نشان داده می شود و نتایج در فایل در پوشه نصب ISPProtect برای استفاده بعدی ذخیره می شوند:
برای به روزرسانی ISPProtect، دستور زیر را اجرا کنید:
ispp_scan --update
برای اجرای ISPProtect به صورت یک cronjob شبانه، یک فایل cron با nano ایجاد کنید:
nano /etc/cron.d/ispprotect
و خط زیر را وارد کنید:
0 3 * * * root /usr/local/ispprotect/ispp_scan --update && /usr/local/ispprotect/ispp_scan --path=/var/www --email-results=root@localhost --non-interactive --scan-key=AAA-BBB-CCC-DDD
به جای “root @ localhost” آدرس ایمیل خود را وارد کنید، گزارش اسکن به این آدرس ارسال می شود. سپس “AAA-BBB-CCC-DDD” را با کلید لایسنس خود تعویض کنید.
لیست کامل گزینه های این اسکنر و راهنمای خط فرمان ISPProtect ispp_scan را می توان با دستور زیر مشاهده کرد:
ispp_scan --help
نویسنده: عیسی محمدزاده
کارشناس مدیریت سرور و هاستینگ و امنیت شبکه
اشتراک گذاری مطلب
لینک کوتاه برای مطلب