כל הזכויות שמורות לטל בן שושן – Shushan.co.il

הגנה על לינוקס CentOS – אנטי ווירס, סריקת ווירוסים, רוגלות ותוכנות זדוניות

במאמר זה נתקין כמה כלים בהם נשתמש על מנת לסרוק ווירוסים, רוגלות, Backdoors, Exploits ושאר מזיקים.

clamav

ClamAV הוא אנטי ווירוס למערכת לינוקס, הוא מבצע סריקה על התיקייה \ הקבצים במערכת ובודק אותם אל מול סט החתימות שאנחנו נוריד

ברגע שקובץ תואם לחתימה והוא ווירוס , ניתן להסיר אותו ובכך לנקות את המערכת מקבצים המכילים ווירוסים

תחילה נתקין את Epel Repository

yum install epel-release -y

כעת נתקין את ClamAV

yum install clamav-server clamav-data clamav-update clamav-filesystem clamav clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemd -y

כעת נגדיר שClamAV יכול לסרוק את כלל המערכת ו SELinux לא יפריע

setsebool -P antivirus_can_scan_system 1

setsebool -P clamd_use_jit 1

כעת נבצע עדכון ונוריד את קובץ החתימות

freshclam

נוריד קובץ "נגוע" (החתימה של הקובץ הוא כזה של של קובץ נגוע)

wget http://www.eicar.org/download/eicar_com.zip

כעת על מנת לבדוק שהאנטי ווירוס מוצא את הקבצים הנגועים ומסיר אותם, נבצע סריקה על תיקיית ה home ,

clamscan --infected --remove --recursive /home /root

כעת נקבל הודעה שהקובץ eicar_com.zip הוסר ואם היו עוד ווירוסים בתיקייה זו הם הוסרו גם הם

אם אתם רוצים לבצע סריקה בתיקייה בה אתם נמצאים גם אם זה / אז בצעו את הסריקה כך:

clamscan --infected --remove --recursive .

rkhunter

הוא כלי לביצוע סריקה של Maleware , RootKits , BackDoor וכו'

תחילה נוריד את הכלי

wget https://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz

נחלץ אותו

tar -xvf rkhunter-*.tar.gz

נכנס לתיקייה

cd rkhunter*

נבצע את התתקנה

./installer.sh --layout default --install

נבצע עדכון ל rkhunter

/usr/local/bin/rkhunter --update

/usr/local/bin/rkhunter --propupd

נגדיר שתבוצע עדכון, סריקה באופן יומי, נגיע ל etc

cd /etc/

ניצור תיקייה בשם

mkdir cron.daily

cd cron.daily

ניצור קובץ בשם rkhunter.sh

touch rkhunter.sh

נערוך את הקובץ

vi /etc/cron.daily/rkhunter.sh

נכניס את הסקריפט Bash

(יש לשנות את האימייל על מנת לקבל התראות, שם השרת )

#!/bin/sh
 (
 /usr/local/bin/rkhunter --versioncheck
 /usr/local/bin/rkhunter --update
 /usr/local/bin/rkhunter --cronjob --report-warnings-only
 ) | /bin/mail -s 'rkhunter Daily Run (ServerNameHere)' your@email.com

כעת נגדיר הרשאות לקובץ

chmod 755 /etc/cron.daily/rkhunter.sh

נריץ סריקה

rkhunter --check

כאן ניתן לראות את הלוג:

cat /var/log/rkhunter.log

lynis

lynis, דומה ל rkhunter הוא סורק גם Rootkits אך גם סורק את כלל המערכת ונותן אילו מקומות אפשר להקשיח, אילו מקומות לא מוקשחים כלל וגורמים לסיכון במערכת ובודק את המערכת מפני חולשות עקב הרשאות לא מתאימות וכו'

נוריד את lynis

wget https://downloads.cisofy.com/lynis/lynis-2.6.4.tar.gz

נוציא מחילוץ

tar xvfz lynis-*.tar.gz

נכנס לתיקייה בה הוא מותקן

mv lynis /usr/local/

ניצור סימבוליק לינק

ln -s /usr/local/lynis/lynis /usr/local/bin/lynis

נבצע עדכון

lynis update info

נריץ audit

lynis audit system

ונבצע סריקה מהירה

lynis --quick