Linux
 Computer >> コンピューター >  >> システム >> Linux

Linuxサーバーでマルウェアとルートキットをスキャンする方法

Linuxサーバーでマルウェアとルートキットをスキャンする方法

ワーム、ウイルス、マルウェア、および恐ろしいルートキットは、すべてのサーバー管理者の存在にとって非常に厄介です。アーキテクチャによっては、感染したシステムでコードを探索したり、機密情報を収集したり、組織に多額の費用をかけたりするためのさまざまなオプションがあります。

ありがたいことに、このようなサイバー敵に直面しても敗北の旗を掲げる必要はありません。サーバー上でそれらを検出することは可能であり、Linuxサーバーでマルウェアやルートキットをスキャンするのに役立つツールがたくさんあります。何よりも、これらのツールの多くは無料で使用できます。

1。クラムAV

このコマンドラインアンチウイルスは、メールサーバーと緊密に統合するように設計されており、SuSE、Fedora、Ubuntuなどの著名なLinuxディストリビューションを含むあらゆる種類のシステムで利用できます。

Ubuntuへのインストールは、次のコマンドを実行するのと同じくらい簡単です。

sudo apt install clamav clamav-daemon

Linuxサーバーでマルウェアとルートキットをスキャンする方法

インストールすると、clamavを端末から使用して、細かい櫛でシステム全体を調べ、感染したファイルをサニタイズできます。これに加えて、ClamAVは強力なリアルタイムスキャンおよびリソース監視ユーティリティも提供します。

サーバーのファイルシステムの簡単なスキャンを実行するには、ルートディレクトリから次のコードを使用します。

clamscan -r -i

上記のコマンドは、再帰スキャン(ファイル内のファイルのチェック)を実行し、感染したドキュメントのみを端末に出力するようにClamAVに指示します。このコードを実行する前に、ClamAVがウイルスシグネチャのデータベースをマシンにインストールするのに十分な時間を与える必要があることに注意してください。このプロセスを監視するために、サービスをキャンセルして、次のコードを使用して手動で再起動できます。

sudo systemctl stop clamav-freshclam.service

続いて:

sudo freshclam

Linuxサーバーでマルウェアとルートキットをスキャンする方法

スキャン中に感染したファイルをシステムから自動的に削除するには、次のコードを使用します。 (このオプションには注意してください!):

clamscan -r -i --remove

2。 chkrootkit

このツールは、悪意のあるロード可能なカーネルモジュール、ワーム、および本格的なルートキットを検出するために、いくつかのテストを実行します。

Ubuntuの場合、このツールは公式リポジトリから入手できます。次のコードを使用してインストールします:

sudo apt install chkrootkit

Linuxサーバーでマルウェアとルートキットをスキャンする方法

Clam AVとは異なり、chkrootkitはパッシブツールであり、検出された脅威に対処する機能がありません。サーバーのファイルシステムで疑わしいものが見つかった場合は、手動で調査して削除する必要があるため、後で参照できるように出力のコピーを保管しておいてください。

このツールを実行するには、次のコマンドを使用します。

sudo chkrootkit

Linuxサーバーでマルウェアとルートキットをスキャンする方法

chkrootkitが提供するリストは、さらなる診断のための良い出発点です。

3.AIDE

このツールの名前は、「Advanced IntrusionDetectionEnvironment」の頭字語です。Tripwireと呼ばれる同様のツールを完全に無料で置き換えることができます。

AIDEを使用すると、システムのファイルのタブを閉じて、ファイルがいつどのように変更されたか、またはアクセスされたかを追跡できます。このツールは、aptを使用してUbuntuの公式リポジトリから簡単にインストールできます。

sudo apt install aide

Linuxサーバーでマルウェアとルートキットをスキャンする方法

インストールプロセスを完了するには、表示されたオプションを使用してPostfixを設定する必要があります。これらをナビゲートするには、タブを使用できます キーまたは矢印ボタンを押してから、必要なオプションでEnterキーを押します。 Postfixは、管理可能なスケジュールでメールアドレスに情報を送信するために使用されます。

Linuxサーバーでマルウェアとルートキットをスキャンする方法

Linuxサーバーでマルウェアとルートキットをスキャンする方法

AIDEの設定には、少しのファイル操作が必要です。次の場所でファイルを処理する必要があります:

/var/lib/aide
/etc/aide

まず、次のコマンドを実行してデータベースと構成ファイルを作成します。

sudo aideinit

Linuxサーバーでマルウェアとルートキットをスキャンする方法

このプロセスが完了すると、生成したデータベースと構成ファイルが「/ var / lib /aide/」に「aide.db.new」および「aide.conf.autogenerated」という名前で配置されます。正しく機能するには、これらの両方をそれぞれ「aide.db」および「aide.conf」としてコピーする必要があります。

次のコードを使用すると、新しい名前でデータベースファイルのコピーを簡単に作成できます。

sudo cp /var/lib/aide/aide.db.new /var/lib/aide/aide.db

Linuxサーバーでマルウェアとルートキットをスキャンする方法

構成ファイルの名前を変更してコピーする前に、次のコマンドで更新してください。

sudo update-aide.conf

Linuxサーバーでマルウェアとルートキットをスキャンする方法

構成ファイルを更新したら、次のコマンドを使用して適切なフォルダーにコピーします。

sudo cp /var/lib/aide/aide.conf.autogenerated /etc/aide/aide.conf

これで、AIDEがサーバー上で機能し、生成されたファイルシステムのハッシュ表現をアクティブに監視する必要があります。

AIDEは、フォルダを除外し、構成ファイルを変更することで定期的に実行するように構成できますが、システムの出力を表示するには、次のコマンドで十分です。

aide -c /etc/aide/aide.conf -C

ルートキットを使用すると攻撃者がファイルを変更できる可能性があるため、AIDEは、その構成が読み取り専用の場所からアクセスされる場合に最も効果的です。最適な結果を得るには、このような設定を実装することを検討してください。

この記事で取り上げるツールは、さまざまな手法を使用してLinuxサーバーでマルウェアやルートキットをスキャンするのに役立ちます。ルートキットは、取り組むのが最も難しいデジタル脅威ですが、適切な注意を払うことで回避できます。


  1. Visbot マルウェア – 見つけて修正する方法

    ハッカーは、Magento 1.9 のクレジット カード情報をハッキングする巧妙な手法を使用しています。これには、コア ファイルを変更して Visbot マルウェアと呼ばれるマルウェアを追加することが含まれます。それを見つけて修正する方法を知るために読んでください。 Visbot マルウェアの仕組み ハッキングされた Magento Web サイトで見つかった Visbot マルウェアは、サイトが読み込まれるたびに実行されます。サーバーに対する POST リクエストを傍受し、訪問者がサイトに送信した情報を収集し、それを暗号化して画像ファイルに保存します。 この画像には、パスワード、住所

  2. Google ドライブを使用し、クラウド ストレージで重複ファイルをスキャンする方法

    私たちのコンピューターには多数のファイルが集められているため、重複ファイルを検出して削除し、ストレージ スペースを浪費しないようにすることが重要です。クラウド ストレージの革新により、ユーザーは重要なファイルをクラウド ストレージに転送するようになりました。そして予想通り、Google ドライブのようなクラウド ストレージも重複でいっぱいになりました。アクセスできるアプリは数多くあります。Duplicate Files Fixer は、ハードディスクや Google ドライブ アカウントにあるビデオ、写真、ドキュメント、オーディオ ファイルなどの重複ファイルをスキャンして削除できる素晴らしいプ