生活哲学

如何在 Linux 服务器上扫描恶意软件和 rootkit

蠕虫、病毒、恶意软件和 rootkit 是每个服务器管理员都关心的问题。当系统被感染时,它会收集敏感信息并造成经济损失。

  1. 区分病毒、木马、蠕虫和 rootkit

幸运的是,有许多工具可以帮助扫描 Linux 服务器上的恶意软件和 rootkit。本文将提供一些最佳选择来帮助应对这些网络敌人。

  1. 适用于 Linux 的 7 大最佳免费杀毒软件
  2. 在 Ubuntu 上安装杀毒软件
  3. 适用于 Ubuntu 的 7 个最佳防病毒程序

1。蛤AV

这款命令行防病毒软件旨在与邮件服务器紧密集成,适用于所有系统,包括著名的 Linux 发行版,如 SuSE、Fedora 和 Ubuntu。

使用以下命令在 Ubuntu 上安装这个软件很容易:

 sudo apt install clamav clamav-daemon 

如何在 Linux 服务器上扫描恶意软件和 rootkits 的图片 1

安装后,可以从终端到整个系统使用Clam AV,清除所有被感染的文件。此外,Clam AV 还提供强大的实时扫描和源跟踪实用程序。

要对服务器文件系统运行一个简单的测试,从根目录使用以下命令:

 clamscan-r-i 

上述命令会要求 Clam AV 执行递归扫描(检查文件中的文件)并将受感染的文档打印到终端。但是,在运行此命令之前,您需要让 Clam AV 有足够的时间在机器上安装其病毒库。您可以使用以下命令取消服务并手动重新启动它:

 sudo systemctl stop clamav-freshclam.service 

后跟命令:

 sudo freshclam 

如何在 Linux 服务器上扫描恶意软件和 rootkits 的图片 2

要在扫描过程中自动从系统中删除病毒文件,请使用以下命令:

 clamscan-r-i--remove 

2。 Chkrootkit

此工具运行多项测试以检测已下载恶意软件、蠕虫和 rootkit 的内核模块。

对于Ubuntu,该工具在官方软件商店中,使用以下命令安装:

 sudo apt install chkrootkit 

如何在 Linux 服务器上扫描恶意软件和 rootkits 的图片 3

与 Clam AV 不同,chkrootkit 是一种被动工具,缺乏对检测到的威胁采取行动的功能。您需要研究并手动删除此工具在服务器文件系统上发现的可疑文件。因此,您需要复制输出以供以后参考。

要运行此工具,请使用以下命令:

 sudo chkrootkit 

如何在Linux服务器上扫描恶意软件和rootkits的图片4

3。助手

此工具的名称代表短语 Advanced Intrusion Detection Environment,它是 Tripwire 模拟工具的完全免费替代品。

AIDE 允许密切监视系统文件以监视时间以及它们如何被修改或以其他方式访问。这个工具很容易通过 apt 命令从 Ubunu 的官方软件商店安装。

 sudo apt install aide 

如何在 Linux 服务器上扫描恶意软件和 rootkit 的图片 5

完成安装n 进程,需要通过选项配置Postfix。要浏览这些项目,您可以使用 Tab 键或箭头键,然后按 Enter 进行选择。 Postfix用于根据您设置的时间将信息发送到电子邮件地址。

AIDE配置需要在以下地址进行文件处理:

 /var/lib/aide/etc/aide 

首先,运行以下命令创建数据库和配置文件:

 sudo aideinit 

如何在Linux服务器上扫描恶意软件和rootkits的图8

一旦完成,这个过程就会在/var/lib/aide/中创建名为aide.db.new和aide.conf.auto的数据库和配置文件。两者都需要分别复制到aide.db和aide.conf中才能正常工作。

使用以下命令轻松创建具有新名称的数据库文件的副本:

 sudo cp/var/lib/aide/aide.db.new/var/lib/aide/aide.db 

如何在Linux服务器上扫描恶意软件和rootkits的图9

在重命名和复制配置文件之前,使用以下命令更新:

 sudo update-aide.conf 

如何在Linux服务器上扫描恶意软件和rootkits的图片10

更新配置文件后,使用以下命令将其复制到正确的目录:

 sudo cp/var/lib/aide/aide.conf.autogenerated/etc/aide/aide.conf 

现在,AIDE 将在服务器上工作并主动监控它创建的文件系统的 HASHED。

您可以通过修改配置文件将AIDE配置为不扫描特定文件夹、定期运行和许多其他事情。但是,使用以下命令,您可以在系统输出中看到足够的信息:

 aide-c/etc/aide/aide.conf-C 

AIDE 在从只读地址访问其配置时最有效,因为 rootkit 可以允许攻击者编辑文件。

本文中提到的工具将帮助您使用各种技术扫描 Linux 服务器中的恶意软件和 rootkit。 Rootkit 是最难解决的数字威胁,但可以通过适当的软件加以预防。

相关资讯

评论

回复