تشهد الخوادم المتصلة بالإنترنت عددًا من الهجمات وعمليات الفحص على مدار اليوم.
بينما يعد جدار الحماية وتحديثات النظام المنتظمة بمثابة دفاع أول جيد للحفاظ على أمان النظام يجب عليك أيضًا التحقق بانتظام من عدم وصول أي مهاجم.
الأدوات الموضحة هنا تفحص البرامج الضارة والفيروسات و rootkits ويجب تشغيلها بانتظام على سبيل المثال كل ليلة وإرسال التقارير إليك عبر البريد الإلكتروني.
يمكنك أيضًا استخدام Chkrootkit و Rkhunter و ISPProtect لفحص النظام إذا كان لديك أنشطة مشبوهة مثل التحميل العالي أو العمليات المشبوهة أو إذا بدأ الخادم فجأة في إرسال برامج ضارة.
الأدوات الموضحة هنا تفحص البرامج الضارة والفيروسات و rootkits ويجب تشغيلها بانتظام على سبيل المثال كل ليلة وإرسال التقارير إليك عبر البريد الإلكتروني.
يمكنك أيضًا استخدام Chkrootkit و Rkhunter و ISPProtect لفحص النظام إذا كان لديك أنشطة مشبوهة مثل التحميل العالي أو العمليات المشبوهة أو إذا بدأ الخادم فجأة في إرسال برامج ضارة.
يجب تشغيلها كمستخدمين root.
قم بتسجيل الدخول كـ root قبل التشغيل:
sudo -s
في Ubuntu
chkrootkit - Linux Rootkit Scanner
Chkrootkit هو ماسح كلاسيكي لـ rootkit.
يقوم بفحص الخادم الخاص بك بحثًا عن عمليات rootkit المشبوهة ويتحقق من قائمة ملفات rootkit المعروفة.
قم بتثبيت الحزمة التي تأتي مع التوزيع الخاص بك (على Debian و Ubuntu يمكنك تشغيله
apt-get install chkrootkit
أو قم بتنزيل المصادر من www.chkrootkit.org وقم بالتثبيت يدويًا:
wget --passive-ftp ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar xvfz chkrootkit.tar.gz
cd chkrootkit-*/
make sense
يمكنك نقل مجلد chkrootkit إلى مكان آخر على سبيل المثال إلى / usr / local / chkrootkit :
cd ..
mv chkrootkit-<version>/ /usr/local/chkrootkit
قم بانشاء ymlink لسهولة الوصول إليه:
ln -s /usr/local/chkrootkit/chkrootkit /usr/local/bin/chkrootkit
للتحقق من خادمك باستخدام chkrootkit قم بتشغيل الأمر:
chkrootkit
التقرير الإيجابي الكاذب الشائع هو:
Checking `bindshell'... INFECTED (PORTS: 465)
لا تقلق عندما تتلقى هذه الرسالة على خادم بريد إلكتروني فهذا هو منفذ SMTPS (بروتوكول SMTP الآمن) لنظام البريد الخاص بك وإيجابية كاذبة معروفة.
يمكنك حتى تشغيل chkrootkit عن طريق cron job والحصول على النتائج عبر البريد الإلكتروني.
أولاً اكتشف المسار حيث تم تثبيت chkrootkit على خادمك باستخدام:
which chkrootkit
مثال:
root@server1:/tmp/chkrootkit-0.52# which chkrootkit
/usr/sbin/chkrootkit
تم تثبيت Chkrootkit في المسار / usr / sbin / chkrootkit ، نحتاج إلى هذا المسار في سطر cron أدناه:
قم بتشغيل:
crontab -e
لإنشاء cron job مثل هذا:
0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit output of my server" you@yourdomain.tld)
سيؤدي ذلك إلى تشغيل chkrootkit كل ليلة في الساعة 3:00.
استبدل المسار إلى chkrootkit بالمسار الذي تلقيته من الأمر أعلاه واستبدل عنوان البريد الإلكتروني بعنوانك الفعلي.
شاهد خطوات استخدام chkrootkit بالفيديو
Lynis أداة تدقيق الأمان العالمية وماسح Rootkit
Lynis (المعروفة سابقًا باسم rkhunter) هي أداة تدقيق أمني لأنظمة Linux و BSD.
يقوم بإجراء تدقيق مفصل للعديد من جوانب الأمان وتكوينات النظام الخاص بك.
قم بتنزيل أحدث مصادر Lynis من https://cisofy.com/download/lynis/ :
قم بتنزيل أحدث مصادر Lynis من https://cisofy.com/download/lynis/ :
cd /tmp
wget https://cisofy.com/files/lynis-2.7.1.tar.gz
tar xvfz lynis-2.7.1.tar.gz
mv lynis /usr/local/
ln -s /usr/local/lynis/lynis /usr/local/bin/lynis
سيؤدي هذا إلى تثبيت Lynis إلى الدليل / usr / local / lynis وإنشاء ارتباط رمزي (symlink) لسهولة الوصول.
lynis update info
تحقق من انك تستخدم أحدث إصدار.
يمكنك الآن فحص نظامك بحثًا عن rootkits عن طريق تشغيل:
lynis audit system
سيقوم Lynis بإجراء بعض الفحوصات ثم يتوقف لمنحك بعض الوقت لقراءة النتائج.
اضغط على [ENTER] لمتابعة الفحص.
في النهاية ، سيظهر لك ملخص الفحص.
لتشغيل Lynis بشكل غير تفاعلي (non-interactively) ابدأ بخيار --quick:
lynis --quick
لتشغيل Lynis تلقائيًا في الليل ، أنشئ cron job مثل هذه:
0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "lynis output of my server" you@yourdomain.com)
سيؤدي هذا إلى تشغيل Lynis كل ليلة الساعة 3.
استبدل عنوان البريد الإلكتروني بعنوانك الحقيقي.
ISPProtect
ماسح البرامج الضارة لموقع الويب
ISPProtect is a malware scanner for web servers, it scans for malware in website files and CMS systems like Wordpress, Joomla, Drupal etc. If you run a web hosting server, then the hosted websites are the most attacked part of your server and it is recommended to do sanity checks on them regularly. ISPProtect contains 5 scanning engines:
عبارة عن ماسح للبرامج الضارة لخوادم الويب.
يقوم بالمسح بحثًا عن البرامج الضارة في ملفات مواقع الويب وأنظمة CMS مثل Wordpress و Joomla و Drupal.
إذا قمت بتشغيل خادم استضافة ويب فإن مواقع الويب المستضافة هي الجزء الأكثر هجومًا على الخادم الخاص بك وهي كذلك يوصى بإجراء فحوصات عليها بانتظام.
يحتوي ISPProtect على 5 محركات فحص:
يقوم بالمسح بحثًا عن البرامج الضارة في ملفات مواقع الويب وأنظمة CMS مثل Wordpress و Joomla و Drupal.
إذا قمت بتشغيل خادم استضافة ويب فإن مواقع الويب المستضافة هي الجزء الأكثر هجومًا على الخادم الخاص بك وهي كذلك يوصى بإجراء فحوصات عليها بانتظام.
يحتوي ISPProtect على 5 محركات فحص:
Signature-based malware scanner.
Heuristic malware scanner.
scanner لإظهار مجلدات التثبيتلأنظمة CMS القديمة.
scanner يعرض لك جميع مكونات WordPress القديمة للخادم بأكمله.
database content scanner لفحص MySQL databases malicious content.
ISPProtect ليس برنامجًا مجانيًا ولكن هناك نسخة تجريبية مجانية يمكن استخدامها دون تسجيل للتحقق من الخادم الخاص بك بحثًا عن البرامج الضارة أو تنظيف نظام مصاب.
مفتاح الترخيص المجاني لاستخدام الإصدار الكامل من البرنامج مرة واحدة على الخادم الخاص بك هو ببساطة " تجريبي ".
يتطلب ISPProtect تثبيت PHP و ClamAV على الخادم يجب أن يكون هذا هو الحال في معظم أنظمة الاستضافة.
يتم استخدام ClamAV بواسطة ISPProtect في مستوى الفحص الأول مع مجموعة توقيع البرامج الضارة الخاصة بـ ISPProtect.
إذا لم يكن لديك سطر أوامر PHP مثبتًا بعد ، فنفّذ:
إذا لم يكن لديك سطر أوامر PHP مثبتًا بعد ، فنفّذ:
apt-get install php7.0-cli clamav
أو في Debian 9:
apt-get install php7.2-cli clamav
أو في Ubuntu 18.04 LTS:
yum install php
أو في Fedora و CentOS.
قم بتشغيل الأوامر التالية لتثبيت ISPProtect.
mkdir -p /usr/local/ispprotect
chown -R root:root /usr/local/ispprotect
chmod -R 750 /usr/local/ispprotect
cd /usr/local/ispprotect
wget http://www.ispprotect.com/download/ispp_scan.tar.gz
tar xzf ispp_scan.tar.gz
rm -f ispp_scan.tar.gz
ln -s /usr/local/ispprotect/ispp_scan /usr/local/bin/ispp_scan
لبدء ISPProtect ، قم بتشغيل:
ispp_scan
يتحقق الماسح تلقائيًا من التحديثات ثم يطلب المفتاح (أدخل كلمة "trial" هنا) ثم يسأل عن مسار مواقع الويب وعادةً ما يكون هذا / var / www.
Please enter scan key: <-- trial
Please enter path to scan: <-- /var/www
سيبدأ الماسح الآن الفحص.
يتم عرض تقدم المسح.
تظهر أسماء الملفات المصابة على الشاشة في نهاية الفحص ويتم تخزين النتائج في ملف في مجلد تثبيت ISPProtect لاستخدامها لاحقًا:
تظهر أسماء الملفات المصابة على الشاشة في نهاية الفحص ويتم تخزين النتائج في ملف في مجلد تثبيت ISPProtect لاستخدامها لاحقًا:
لتحديث ISPProtect ، قم بتشغيل الأمر:
ispp_scan --update
لتشغيل ISPProtect تلقائيًا باعتباره cron job ليليًا أنشئ ملف cron باستخدام nano:
nano /etc/cron.d/ispprotect
وأدخل السطر التالي:
0 3 * * * root /usr/local/ispprotect/ispp_scan --update && /usr/local/ispprotect/ispp_scan --path=/var/www --email-results=root@localhost --non-interactive --scan-key=AAA-BBB-CCC-DDD
استبدل " root @ localhost " بعنوان بريدك الإلكتروني.
يتم إرسال تقرير الفحص إلى هذا العنوان.
ثم استبدل "AAA-BBB-CCC-DDD" بمفتاح الترخيص الخاص بك.
ثم استبدل "AAA-BBB-CCC-DDD" بمفتاح الترخيص الخاص بك.
يمكن الحصول على قائمة كاملة بخيارات سطر الأوامر لأمر ISPProtect ispp_scan باستخدام:
ispp_scan --help