开发者社区> 行者武松> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

助你查找恶意软件、病毒和rootkit的三款扫描工具

简介:
+关注继续查看

连接到互联网的服务器整天都看到不断的攻击和扫描。虽然防火墙和定期的系统更新是确保系统安全的第一道防线,但你还是应该定期检查,确保没有攻击者闯入进来。本教程中介绍的几款工具就是为这种完整性检查而开发的,它们可以扫描查找恶意软件、病毒和rootkit。它们应该可以定期运行(比如说每晚运行),通过电子邮件将报告发给你。如果你看到可疑活动,比如负载大、可疑进程或者服务器突然开始发送恶意软件时,还可以使用Chkrootkit、Rkhunter和ISPProtect来扫描系统。

助你查找恶意软件、病毒和rootkit的三款扫描工具

所有这些扫描工具都必须以root用户的身份来运行。以root用户的身份登录后继续下一步,或者在Ubuntu上运行“sudo su”,成为root用户。

Chkrootkit――Linux rootkit扫描工具

Chkrootkit是一款典型的rootkit扫描工具。它会检查你的服务器,查找可疑的rootkit进程,并检查已知的rootkit文件列表。

或者安装发行版随带的程序包(在Debian和Ubuntu上,你要运行),

apt-get install chkrootkit

或者从www.chkrootkit.org下载源代码,手动安装:

wget --passive-ftp ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz tarxvfz chkrootkit.tar.gz

cd chkrootkit-*/

make sense

之后,你可以将chkrootkit目录移到别的某个地方,比如/usr/local/chkrootkit:

cd ..

mv chkrootkit-/ /usr/local/chkrootkit

并创建一个符号链接(symlink),以便易于访问:

ln -s /usr/local/chkrootkit/chkrootkit /usr/local/bin/chkrootkit

想用chkrootkit来检查你的服务器,运行这个命令:

chkrootkit

一个常见的误报报告是:

Checking `bindshell'...

INFECTED (PORTS: 465)

如果你在电子邮件服务器上收到这个消息,用不着担心,这是你邮件系统的SMTPS(安全SMTP)端口和一个众所周知的误报。

你甚至可以通过计划任务(cron job)来运行chkrootkit,让结果通过电子邮件发给你。首先,使用下面这个命令,找到chkrootkit安装在服务器上的路径:

which chkrootkit

示例:

root@server1:/tmp/chkrootkit-0.50# which chkrootkit

/usr/sbin/chkrootkit

Chkrootkit安装在/usr/sbin/chkrootkit路径上,我们需要在下面的cron这一行有这个路径:

运行:

crontab -e

想创建就像这样的计划任务:

0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit output of

my server" you@yourdomain.com)

这会在每晚3点运行chkrootkit。将chkrootkit路径换成你从上述命令获得的那条路径,并将电子邮件地址换成你的实际地址。

Lynis――通用的安全审查工具和rootkit扫描工具

Lynis(之前名为rkhunter)是一款安全审查工具,面向基于Linux和BSD的系统。它可以详细地审查你系统的许多安全方面和配置。从https://cisofy.com/download/lynis/下载最新的Lynis源代码:

cd /tmp

wget https://cisofy.com/files/lynis-2.1.1.tar.gz tarxvfz lynis-2.1.1.tar.gz

mv lynis /usr/local/

ln -s /usr/local/lynis/lynis /usr/local/bin/lynis

这会将lynis安装到目录/usr/local/lynis,并创建一个符号链接,以便易于访问。现在运行:

lynis update info

检查你是否用的是最新版本。

现在,你可以运行这个命令,扫描系统查找rootkit:

lynis audit system

Lynis会执行几次检测,然后停下来让你有时间来阅读结果。按回车键即可继续扫描。

Lynis系统审查。

最后,它会显示扫描摘要。

Lynis的结果。

想以非交互方式运行Lynis,使用--quick选项来启动它:

lynis --quick

想在晚间自动运行Lynis,创建就像这样的计划任务:

0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "lynis output

of my server" you@yourdomain.com)

这会在每晚3点运行lynis。将电子邮件地址换成你的实际地址。

ISPProtect――网站恶意软件扫描工具

ISPProtect是一款面向网站服务器的恶意软件扫描工具,它可以扫描网站文件和内容管理系统(CMS)系统(比如Wordpress、Joomla和Drupal等)中的恶意软件。如果你运行一个网站托管服务器,那么托管的网站是你服务器中受到攻击次数最多的部分,所以建议定期对它们执行完整性检查。ISPProtect包含3种扫描引擎:基于特征的恶意软件扫描工具、启发式恶意软件扫描工具,以及显示过时CMS系统的安装目录的扫描工具。ISPProtect不是免费软件,不过有一个免费试用版可以使用,不需要注册即可试用,或者清除被感染的系统。

ISPProtect需要PHP安装到服务器上,PHP应该安装在大多数托管系统上。万一你没有安装命令行PHP,可以在Debian或Ubuntu上执行:

apt-get install php5-cli

或者在Fedora和CentOS上执行:

yum install php

运行下列命令来安装ISPProtect。

mkdir -p /usr/local/ispprotect

chown -R root:root /usr/local/ispprotect

chmod -R 750 /usr/local/ispprotect

cd /usr/local/ispprotect

wget http://www.ispprotect.com/download/ispp_scan.tar.gz tarxzf ispp_scan.tar.gz

rm -f ispp_scan.tar.gz

ln -s /usr/local/ispprotect/ispp_scan /usr/local/bin/ispp_scan

想启动ISPProtect,运行:

ispp_scan

该扫描工具会自动检查更新版,然后要求输入密钥(在此输入单词“trial”),然后要求输入网站路径,通常是thats /var/www。

ISPProtect恶意软件扫描。

Please enter scan key: <-- trial

Please enter path to scan: <-- /var/www

扫描工具现在会开始扫描,显示了扫描进度。扫描结束后,被感染文件的名称显示在屏幕上,结果存储在ISPProtect安装目录的文件中,供以后使用:

After the scan is completed, you will find the results also in the following files:

Malware => /usr/local/ispprotect/found_malware_20161401174626.txt

Wordpress => /usr/local/ispprotect/software_wordpress_20161401174626.txt

Joomla => /usr/local/ispprotect/software_joomla_20161401174626.txt

Drupal => /usr/local/ispprotect/software_drupal_20161401174626.txt

Mediawiki => /usr/local/ispprotect/software_mediawiki_20161401174626.txt

Contao => /usr/local/ispprotect/software_contao_20161401174626.txt

Magentocommerce =>

/usr/local/ispprotect/software_magentocommerce_20161401174626.txt

Woltlab Burning Board =>

/usr/local/ispprotect/software_woltlab_burning_board_20161401174626.txt

Cms Made Simple => /usr/local/ispprotect/software_cms_made_simple_20161401174626.txt

Phpmyadmin => /usr/local/ispprotect/software_phpmyadmin_20161401174626.txt

Typo3 => /usr/local/ispprotect/software_typo3_20161401174626.txt

Roundcube => /usr/local/ispprotect/software_roundcube_20161401174626.txt

Starting scan level 1 ...

想每晚作为计划任务自动运行ISPProtect,使用nano创建一个计划任务文件:

nano /etc/cron.d/ispprotect

然后插入下面这一行:

0 3 * * * root /usr/local/ispprotect/ispp_scan --update &&

/usr/local/ispprotect/ispp_scan --path=/var/www --email-results=roo

t@localhost --non-interactive --scan-key=AAA-BBB-CCC-DDD

将“root@localhost”换成你的电子邮件地址,扫描报告发送到这个地址。然后,将“AAA-BBB-CCC-DDD”换成你的许可证密钥。你可以在此(http://ispprotect.com)获得许可证密钥。



本文转自d1net(转载)

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
Android ROM开发(二)——ROM架构以及Updater-Script脚本分析,常见的Status错误解决办法
<div class="markdown_views"> <h1 id="android-rom开发二rom架构以及updater-script脚本分析常见的status错误解决办法">Android ROM开发(二)——ROM架构以及Updater-Script脚本分析,常见的Status错误解决办法</h1> <hr> <blockquote> <p>怪自己二了,写好
2972 0
java并发编程笔记--CopyOnWriteArrayList
1 描述 1) CopyOnWriteArrayList是List的一种线程安全的实现;2) 其实现原理采用”CopyOnWrite”的思路(不可变元素),即所有写操作,包括:add,remove,set等都会触发底层数组的拷贝,从而在写操作过程中,不会影响读操作;避免了使用synchronize.
3009 0
Java并发编程笔记之CopyOnWriteArrayList源码分析
并发包中并发List只有CopyOnWriteArrayList这一个,CopyOnWriteArrayList是一个线程安全的ArrayList,对其进行修改操作和元素迭代操作都是在底层创建一个拷贝数组(快照)上进行的,也就是写时拷贝策略。
19210 0
[雪峰磁针石博客]软件测试专家工具包1web测试
web测试 本章主要涉及功能测试、自动化测试(参考: 软件自动化测试初学者忠告)、接口测试(参考:10分钟学会API测试)、跨浏览器测试、可访问性测试和可用性测试的测试工具列表。 安全测试工具和性能测试工具在其他章节。
2526 0
SAP UI5 attachment control relative url binding
Created by Wang, Jerry, last modified on Mar 03, 2016
0 0
网友提问:关于CX_VSI_SYSTEM_ERROR异常,Fiori病毒扫描参数文件
网友提问:关于CX_VSI_SYSTEM_ERROR异常,Fiori病毒扫描参数文件
0 0
如何关闭SAP Fiori的病毒扫描设
如何关闭SAP Fiori的病毒扫描设
0 0
鲜衣怒马散尽千金,Vue3.0+Tornado6前后端分离集成Web3.0之Metamask钱包区块链虚拟货币三方支付功能
不得不承认,大多数人并不拥有或者曾经拥有加密货币。是的,Web3.0、加密货币、区块链,对于大多数的互联网用户来说,其实是一些过于轻佻的词汇。如果你是为了追求暴利投机而研究区块链和加密货币,那你多半会失望,因为盐在哪里都是咸的;而如果你是为了摆脱知识桎梏而学习区块链,那你几乎一定能满足,因为懵懂决不是编程界的常态。
0 0
+关注
行者武松
杀人者,打虎武松也。
文章
问答
文章排行榜
最热
最新
相关电子书
更多
如何产生威胁情报-高级恶意攻击案例分析
立即下载
如何完成一份像样的互联网金融APP安全检测报告
立即下载
代码未写,漏洞已出——谈谈设计不当导致的安全问题
立即下载