Bien que l'on dise beaucoup que les systèmes d'exploitation Linux ne sont pas vulnérables aux attaques de virus, de nos jours, avec les menaces croissantes et les différentes techniques utilisées, il ne fait aucun doute qu'aucun système n'est protégé à 100% et nous devons donc prendre les mesures de sécurité respectives pour empêcher les attaques et le vol d'informations sensibles. Compte tenu de cela, nous avons deux menaces critiques telles que les logiciels malveillants et les rootkits, les logiciels malveillants et les rootkits en particulier, ils peuvent fonctionner de manière intégrée et complète sous Linux comme ils le font dans d'autres systèmes d'exploitation « non sécurisés ».
Solvetic passera en revue certains des meilleurs outils pour analyser le système Linux à la recherche de logiciels malveillants ou de rootkits qui pourraient compromettre son fonctionnement normal.
Qu'est-ce qu'un rootkitUn rootkit est une sorte d'outil qui a le pouvoir d'agir indépendamment ou d'être associé à toute variante de code malveillant dont l'objectif principal est de cacher ses objectifs aux utilisateurs et aux administrateurs système.
La tâche fondamentale d'un rootkit est de masquer les informations associées aux processus, aux connexions réseau, aux fichiers, aux répertoires, aux privilèges, mais il peut ajouter des fonctionnalités telles que la porte dérobée ou la porte dérobée afin de fournir un accès permanent au système ou d'utiliser les enregistreurs de frappe dont le tâche est d'intercepter les frappes, ce qui met les activités des utilisateurs en danger imminent.
Il existe différents types de rootkits tels que :
Rootkit dans l'espace utilisateurCe type de rootkit s'exécute directement dans l'espace utilisateur au même niveau que les autres applications et fichiers binaires, sa tâche est de remplacer les exécutables système légitimes par d'autres qui ont été modifiés, afin que les informations qu'ils fournissent soient manipulées à des fins négatives. . Dentro de los principales binarios que son atacados por rootkit tenemos ls, df, stat, du, find, lsof, lsatrr, chatrr, sync, ip, route, neststat, lsof, nc, iptables, arp, crontab, at, crontab, at et de plus.
Rootkit dans l'espace noyauC'est l'un des plus dangereux car dans ce cas, vous pouvez accéder au système et obtenir des privilèges de superutilisateur afin d'installer un rootkit en mode noyau et, de cette manière, obtenir un contrôle total du système, ainsi, une fois intégré au système, leur détection sera beaucoup plus complexe puisqu'ils passent à un niveau de privilège supérieur avec des autorisations pour être modifiés et modifier non seulement les binaires mais aussi les fonctions et appels du système d'exploitation.
Kits de démarrageCeux-ci ont la possibilité d'ajouter des fonctionnalités de démarrage aux rootkits et, à partir de ce mod, d'affecter le micrologiciel du système et les secteurs de démarrage du disque.
Qu'est-ce qu'un malwareMalware (logiciel malveillant), est essentiellement un programme qui a pour fonction d'endommager un système ou de provoquer un dysfonctionnement à la fois dans le système et dans les applications qui y sont installées. keyloggers, Botnets, Ransomwares, Spyware, Adware, Rogues et bien d'autres.
Les logiciels malveillants ont différents chemins d'accès où ils peuvent être insérés dans le système, tels que :
- Réseaux sociaux
- Sites Web frauduleux
- Périphériques USB / CD / DVD infectés
- Pièces jointes dans les e-mails non sollicités (Spam)
Nous allons maintenant voir les meilleurs outils pour détecter ces menaces et procéder à leur correction.
Lynis
Lynis est un outil de sécurité conçu pour les systèmes exécutant Linux, macOS ou un système d'exploitation basé sur Unix.
Son rôle est d'effectuer une analyse approfondie de l'état du système afin de prendre en charge le renforcement du système et d'exécuter les tests de conformité nécessaires pour éliminer les menaces. Lynis est un logiciel open source sous licence GPL et est disponible depuis 2007.
Actions principalesSes principales actions portent sur :
- Audits de sécurité
- Tests de conformité comme PCI, HIPAA, SOx
- Tests d'intrusion pour voir la sécurité interne
- Détection de vulnérabilité
- Durcissement du système
Pour son installation, nous allons tout d'abord télécharger le fichier depuis le site officiel :
cd/opt/wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz
AGRANDIR
Nous extrayons le contenu :
tar xvzf lynis-2.6.6.tar.gz
AGRANDIR
Enfin, nous déplaçons l'application dans le bon répertoire :
mv lynis / usr / local / ln -s / usr / local / lynis / lynis / usr / local / bin / lynisL'analyse Lynis est basée sur l'opportunité, c'est-à-dire qu'elle n'utilisera que ce qui est disponible, comme les outils ou les bibliothèques disponibles, ainsi, en utilisant cette méthode d'analyse, l'outil peut fonctionner avec presque aucune dépendance.
Que couvre-t-ilLes aspects couverts par Lynis sont :
- Initialisation et contrôles de base
- Déterminer le système d'exploitation et les outils associés
- Rechercher les utilitaires système disponibles
- Vérifier la mise à jour Lynis
- Exécuter les plugins activés
- Exécuter des tests de sécurité basés sur les catégories
- Exécuter des tests personnalisés
- Signaler l'état de l'analyse de sécurité
Pour effectuer une analyse complète du système, nous exécutons :
système d'audit lynis
AGRANDIR
Là, tout le processus d'analyse commencera et nous verrons enfin tous les résultats par catégories :
AGRANDIR
Il est possible d'activer le fonctionnement de Lynis pour qu'il soit automatique dans une plage horaire définie, pour cela nous devons ajouter l'entrée cron suivante, qui sera exécutée, dans ce cas, à 11 heures du soir et enverra des rapports à l'adresse e-mail saisie :
0 23 * * * / usr / local / bin / lynis --quick 2> & 1 | mail -s "Rapport Lynis" [email protected]
Chasseur de Rk
RKH (RootKit Hunter), est un outil gratuit, open source et simple d'utilisation grâce auquel il sera possible de scanner les backdoors, les rootkits et les exploits locaux sur les systèmes compatibles POSIX, comme Linux. Sa tâche est de détecter les rootkits, puisque il a été créé comme un outil de surveillance et d'analyse de la sécurité qui inspecte le système en détail pour détecter les failles de sécurité cachées.
L'outil rkhunter peut être installé à l'aide de la commande suivante sur les systèmes basés sur Ubuntu et CentOS :
sudo apt installer rkhunter (Ubuntu) yum installer epel-release (CentOS) yum installer rkhunter (CentOS)
AGRANDIR
Nous entrons la lettre S pour confirmer le téléchargement et l'installation de l'utilitaire. Une fois installé, nous pouvons surveiller le système en exécutant les opérations suivantes :
sudo rkhunter -c
AGRANDIR
Là, le processus d'analyse du système à la recherche de situations dangereuses se poursuivra :
AGRANDIR
Là, il analysera toutes les options de rootkit existantes et exécutera des actions d'analyse supplémentaires sur le réseau et d'autres éléments.
Chkrootkit
Chkrootkit est un autre des outils qui ont été développés pour vérifier localement s'il y a des rootkits, cet utilitaire comprend :
chkrootkitC'est un script shell qui vérifie les binaires du système pour la modification du rootkit.
ifpromisc.cVérifiez si l'interface est en mode promiscuité
chklastlog.cVérifier les suppressions du dernier journal
chkwtmp.cVérifier les suppressions wtmp
check_wtmpx.cVérifier les suppressions wtmpx
chkproc.cRecherchez des signes de chevaux de Troie LKM
chkdirs.cRecherchez des signes de chevaux de Troie LKM
chaînes.cRemplacement de chaîne rapide et sale
chkutmp.cVérifier les suppressions utmp
Chkrootkit peut être installé en exécutant :
sudo apt installer chkrootkit
AGRANDIR
Dans le cas de CentOS, nous devons exécuter :
miam mettre à jour miam installer wget gcc-c ++ glibc-static wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz tar -xzf chkrootkit.tar.gz mkdir / usr / local / chkrootkit mv chkrootkit-0.52 / * / usr / local / chkrootkit cd / usr / local / chkrootkit a du sensPour exécuter cet outil, nous pouvons utiliser l'une des options suivantes :
sudo chkrootkit / usr / local / chkrootkit / chkrootkit
AGRANDIR
Palourde
Otra de las soluciones conocidas para el análisis de vulnerabilidades en Linux es ClamAV la cual se ha desarrollado como un motor antivirus de código abierto (GPL) que puede ser ejecutado para diversas acciones incluyendo la exploración de correo electrónico, el escaneo web y la seguridad del point final.
ClamAV nous propose une série d'utilitaires comprenant un démon multithread flexible et évolutif, un scanner en ligne de commande et un outil avancé pour les mises à jour automatiques de la base de données.
CaractéristiquesParmi ses caractéristiques les plus remarquables, nous trouvons :
- Analyseur de ligne de commande
- Interface Milter pour sendmail
- Mise à jour de base de données avancée avec prise en charge des mises à jour scriptées et des signatures numériques
- Prise en charge intégrée des formats d'archives tels que Zip, RAR, Dmg, Tar, Gzip, Bzip2, OLE2, Cabinet, CHM, BinHex, SIS et autres
- Base de données de virus constamment mise à jour
- Prise en charge intégrée de tous les formats de fichiers de courrier standard
- Prise en charge intégrée des exécutables ELF et des fichiers exécutables portables contenant UPX, FSG, Petite, NsPack, wwpack32, MEW, Upack et obscurcis avec SUE, Y0da Cryptor et autres
- Prise en charge intégrée des formats de documents MS Office et MacOffice, HTML, Flash, RTF et PDF.
Pour installer ClamAV nous allons exécuter la commande suivante :
sudo apt installer clamav
AGRANDIR
Nous entrons la lettre S pour confirmer le téléchargement et l'installation de ClamAV.
Dans le cas de CentOS, nous pouvons exécuter les opérations suivantes :
miam -y mettre à jour miam -y installer clamavPour l'exécution de ClamAV, nous allons exécuter ce qui suit :
sudo clamscan -r -i "Répertoire"
AGRANDIR
LMD - Détection de logiciels malveillants Linux
Linux Malware Detect (LMD) a été développé en tant que scanner de logiciels malveillants pour Linux sous la licence GNU GPLv2, dont la fonction principale est d'utiliser les données de menace des systèmes de détection d'intrusion pour extraire les logiciels malveillants qui sont activement utilisés dans les attaques et peuvent générer des signatures pour détecter ces menaces .
Les signatures utilisées par LMD sont des hachages de fichiers MD5 et des correspondances de motifs HEX, qui peuvent également être facilement exportés vers divers outils de détection tels que ClamAV.
fonctionnalitésParmi ses caractéristiques on trouve :
- Détection ClamAV intégrée à utiliser comme moteur de scanner pour de meilleurs résultats
- Détection de hachage de fichier MD5 pour une identification rapide des menaces
- Composant d'analyse statistique pour la détection des menaces
- Fonction de mise à jour de version intégrée avec -d
- Fonction de mise à jour de signature intégrée avec -u
- Script cron quotidien compatible avec les systèmes de style RH, Cpanel et Ensim
- Kernel inotify monitor qui peut prendre les données de chemin de STDIN ou FILE
- Analyse quotidienne basée sur cron de toutes les modifications apportées au cours des dernières 24 heures aux journaux des utilisateurs
- Option de restauration de quarantaine pour restaurer les fichiers vers le chemin d'origine, y compris le propriétaire
- Options pour ignorer les règles basées sur les routes, les extensions et les signatures
Pour installer LMD sous Linux, nous allons exécuter ce qui suit :
cd / tmp / curl -O http://www.rfxn.com/downloads/maldetect-current.tar.gz tar -zxvf maldetect-current.tar.gz cd maldetect-1.6.2 / bash install.sh
AGRANDIR
Maintenant, nous pouvons exécuter le répertoire souhaité, dans ce cas tmp comme ceci :
maldet -a / tmp
AGRANDIR
Avec n'importe lequel de ces outils, il sera possible de préserver l'intégrité de notre système en évitant la présence de logiciels malveillants ou de rootkits.