recent
أخبار ساخنة

شرح فحص خادم Linux بحثًا عن الفيروسات والبرامج الضارة وRootkits ... بالخطوات

الصفحة الرئيسية
شرح فحص خادم Linux بحثًا عن الفيروسات والبرامج الضارة وRootkits ... بالخطوات


تشهد الخوادم المتصلة بالإنترنت عددًا من الهجمات وعمليات الفحص على مدار اليوم. 
بينما يعد جدار الحماية وتحديثات النظام المنتظمة بمثابة دفاع أول جيد للحفاظ على أمان النظام يجب عليك أيضًا التحقق بانتظام من عدم وصول أي مهاجم.
الأدوات الموضحة هنا تفحص البرامج الضارة والفيروسات و rootkits ويجب تشغيلها بانتظام على سبيل المثال كل ليلة وإرسال التقارير إليك عبر البريد الإلكتروني. 
يمكنك أيضًا استخدام Chkrootkit و Rkhunter و ISPProtect لفحص النظام إذا كان لديك أنشطة مشبوهة مثل التحميل العالي أو العمليات المشبوهة أو إذا بدأ الخادم فجأة في إرسال برامج ضارة.

يجب تشغيلها كمستخدمين root.
قم بتسجيل الدخول كـ root قبل التشغيل:

sudo -s

في Ubuntu


chkrootkit - Linux Rootkit Scanner


Chkrootkit هو ماسح كلاسيكي لـ rootkit.
يقوم بفحص الخادم الخاص بك بحثًا عن عمليات rootkit المشبوهة ويتحقق من قائمة ملفات rootkit المعروفة.

قم بتثبيت الحزمة التي تأتي مع التوزيع الخاص بك (على Debian و Ubuntu يمكنك تشغيله

apt-get install chkrootkit



 أو قم بتنزيل المصادر من www.chkrootkit.org وقم بالتثبيت يدويًا:

wget --passive-ftp ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar xvfz chkrootkit.tar.gz
cd chkrootkit-*/
make sense



يمكنك نقل مجلد chkrootkit إلى مكان آخر على سبيل المثال إلى  / usr / local / chkrootkit :

cd ..
mv chkrootkit-<version>/ /usr/local/chkrootkit

قم بانشاء ymlink لسهولة الوصول إليه:

ln -s /usr/local/chkrootkit/chkrootkit /usr/local/bin/chkrootkit

للتحقق من خادمك باستخدام chkrootkit قم بتشغيل الأمر:

chkrootkit

التقرير الإيجابي الكاذب الشائع هو:


Checking `bindshell'...                                     INFECTED (PORTS:  465)

لا تقلق عندما تتلقى هذه الرسالة على خادم بريد إلكتروني فهذا هو منفذ SMTPS (بروتوكول SMTP الآمن) لنظام البريد الخاص بك وإيجابية كاذبة معروفة.


يمكنك حتى تشغيل chkrootkit عن طريق cron job والحصول على النتائج عبر البريد الإلكتروني.
أولاً اكتشف المسار حيث تم تثبيت chkrootkit على خادمك باستخدام:

which chkrootkit

مثال:

root@server1:/tmp/chkrootkit-0.52# which chkrootkit
/usr/sbin/chkrootkit

تم تثبيت Chkrootkit في المسار / usr / sbin / chkrootkit ، نحتاج إلى هذا المسار في سطر cron أدناه:

قم بتشغيل:

crontab -e

لإنشاء cron job مثل هذا:

0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit output of my server" you@yourdomain.tld)


سيؤدي ذلك إلى تشغيل chkrootkit كل ليلة في الساعة 3:00.

استبدل المسار إلى chkrootkit بالمسار الذي تلقيته من الأمر أعلاه واستبدل عنوان البريد الإلكتروني بعنوانك الفعلي.

شاهد خطوات استخدام chkrootkit بالفيديو




Lynis أداة تدقيق الأمان العالمية وماسح Rootkit


Lynis (المعروفة سابقًا باسم rkhunter) هي أداة تدقيق أمني لأنظمة Linux و BSD.
يقوم بإجراء تدقيق مفصل للعديد من جوانب الأمان وتكوينات النظام الخاص بك.
 قم بتنزيل أحدث مصادر Lynis من https://cisofy.com/download/lynis/ :

cd /tmp
wget https://cisofy.com/files/lynis-2.7.1.tar.gz
tar xvfz lynis-2.7.1.tar.gz
mv lynis /usr/local/
ln -s /usr/local/lynis/lynis /usr/local/bin/lynis



سيؤدي هذا إلى تثبيت Lynis إلى الدليل / usr / local / lynis  وإنشاء ارتباط رمزي (symlink) لسهولة الوصول.

lynis update info

تحقق من انك تستخدم أحدث إصدار.




يمكنك الآن فحص نظامك بحثًا عن rootkits عن طريق تشغيل:

lynis audit system


سيقوم Lynis بإجراء بعض الفحوصات ثم يتوقف لمنحك بعض الوقت لقراءة النتائج. 
اضغط على [ENTER] لمتابعة الفحص.




في النهاية ، سيظهر لك ملخص الفحص.




لتشغيل Lynis بشكل غير تفاعلي (non-interactively) ابدأ بخيار --quick:

lynis --quick

لتشغيل Lynis تلقائيًا في الليل ، أنشئ cron job مثل هذه:

0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "lynis output of my server" you@yourdomain.com)

سيؤدي هذا إلى تشغيل Lynis كل ليلة الساعة 3.
استبدل عنوان البريد الإلكتروني بعنوانك الحقيقي.

ISPProtect

ماسح البرامج الضارة لموقع الويب

ISPProtect is a malware scanner for web servers, it scans for malware in website files and CMS systems like Wordpress, Joomla, Drupal etc. If you run a web hosting server, then the hosted websites are the most attacked part of your server and it is recommended to do sanity checks on them regularly. ISPProtect contains 5 scanning engines:
عبارة عن ماسح  للبرامج الضارة لخوادم الويب.
يقوم بالمسح بحثًا عن البرامج الضارة في ملفات مواقع الويب وأنظمة CMS مثل Wordpress و Joomla و Drupal.
إذا قمت بتشغيل خادم استضافة ويب فإن مواقع الويب المستضافة هي الجزء الأكثر هجومًا على الخادم الخاص بك وهي كذلك يوصى بإجراء فحوصات عليها بانتظام. 
يحتوي ISPProtect على 5 محركات فحص:

Signature-based malware scanner.
Heuristic malware scanner.
 scanner لإظهار مجلدات التثبيتلأنظمة CMS القديمة.
 scanner يعرض لك جميع مكونات WordPress القديمة للخادم بأكمله.
database content scanner لفحص MySQL databases malicious content.


ISPProtect ليس برنامجًا مجانيًا ولكن هناك نسخة تجريبية مجانية يمكن استخدامها دون تسجيل للتحقق من الخادم الخاص بك بحثًا عن البرامج الضارة أو تنظيف نظام مصاب.
مفتاح الترخيص المجاني لاستخدام الإصدار الكامل من البرنامج مرة واحدة على الخادم الخاص بك هو ببساطة " تجريبي ".

يتطلب ISPProtect تثبيت PHP و ClamAV على الخادم يجب أن يكون هذا هو الحال في معظم أنظمة الاستضافة.
يتم استخدام ClamAV بواسطة ISPProtect في مستوى الفحص الأول مع مجموعة توقيع البرامج الضارة الخاصة بـ ISPProtect.
إذا لم يكن لديك سطر أوامر PHP مثبتًا بعد ، فنفّذ:

apt-get install php7.0-cli clamav

أو في Debian 9:

apt-get install php7.2-cli clamav

أو في Ubuntu 18.04 LTS:

yum install php

أو في Fedora و CentOS.


قم بتشغيل الأوامر التالية لتثبيت ISPProtect.


mkdir -p /usr/local/ispprotect
chown -R root:root /usr/local/ispprotect
chmod -R 750 /usr/local/ispprotect
cd /usr/local/ispprotect
wget http://www.ispprotect.com/download/ispp_scan.tar.gz
tar xzf ispp_scan.tar.gz
rm -f ispp_scan.tar.gz
ln -s /usr/local/ispprotect/ispp_scan /usr/local/bin/ispp_scan

لبدء ISPProtect ، قم بتشغيل:

ispp_scan


يتحقق الماسح تلقائيًا من التحديثات ثم يطلب المفتاح (أدخل كلمة "trial" هنا) ثم يسأل عن مسار مواقع الويب وعادةً ما يكون هذا / var / www.



Please enter scan key: <-- trial
Please enter path to scan: <-- /var/www

سيبدأ الماسح الآن الفحص.
يتم عرض تقدم المسح.
تظهر أسماء الملفات المصابة على الشاشة في نهاية الفحص ويتم تخزين النتائج في ملف في مجلد تثبيت ISPProtect لاستخدامها لاحقًا:



لتحديث ISPProtect ، قم بتشغيل الأمر:

ispp_scan --update

لتشغيل ISPProtect تلقائيًا باعتباره cron job ليليًا أنشئ ملف cron باستخدام nano:

nano /etc/cron.d/ispprotect

وأدخل السطر التالي:

0 3  * * *   root /usr/local/ispprotect/ispp_scan --update && /usr/local/ispprotect/ispp_scan --path=/var/www --email-results=root@localhost --non-interactive --scan-key=AAA-BBB-CCC-DDD

استبدل " root @ localhost " بعنوان بريدك الإلكتروني.
يتم إرسال تقرير الفحص إلى هذا العنوان.
ثم استبدل "AAA-BBB-CCC-DDD" بمفتاح الترخيص الخاص بك.

يمكن الحصول على قائمة كاملة بخيارات سطر الأوامر لأمر ISPProtect ispp_scan باستخدام:

ispp_scan --help
google-playkhamsatmostaqltradent