11 เครื่องมือในการสแกนเซิร์ฟเวอร์ Linux สำหรับข้อบกพร่องด้านความปลอดภัยและมัลแวร์

แม้ว่าระบบที่ใช้ Linux มักจะถูกมองว่าไม่สามารถเข้าถึงได้ แต่ก็ยังมีความเสี่ยงที่ต้องดำเนินการอย่างจริงจัง

รูทคิท ไวรัส แรนซัมแวร์ และโปรแกรมที่เป็นอันตรายอื่นๆ มักจะโจมตีและสร้างปัญหาให้กับเซิร์ฟเวอร์ Linux

ไม่ว่าจะเป็นระบบปฏิบัติการใด การใช้มาตรการรักษาความปลอดภัยเป็นสิ่งจำเป็นสำหรับเซิร์ฟเวอร์ แบรนด์และองค์กรขนาดใหญ่ได้ใช้มาตรการรักษาความปลอดภัยในมือ และพัฒนาเครื่องมือที่ไม่เพียงแต่ตรวจจับข้อบกพร่องและมัลแวร์ แต่ยังแก้ไขและดำเนินการป้องกัน

โชคดีที่มีเครื่องมือสำหรับราคาต่ำหรือฟรีที่สามารถช่วยในกระบวนการนี้ได้ พวกเขาสามารถตรวจจับข้อบกพร่องในส่วนต่างๆ ของเซิร์ฟเวอร์ที่ใช้ Linux

ลีนิส

ลีนิส เป็นเครื่องมือรักษาความปลอดภัยที่มีชื่อเสียงและเป็นตัวเลือกที่ต้องการสำหรับผู้เชี่ยวชาญใน Linux นอกจากนี้ยังทำงานบนระบบที่ใช้ Unix และ macOS เป็นแอปซอฟต์แวร์โอเพ่นซอร์สที่ใช้มาตั้งแต่ปี 2550 ภายใต้ลิขสิทธิ์ GPL

Lynis สามารถตรวจจับช่องโหว่ด้านความปลอดภัยและข้อบกพร่องในการกำหนดค่าได้ แต่มันมีมากกว่านั้น: แทนที่จะเปิดเผยจุดอ่อน มันแนะนำการดำเนินการแก้ไข ด้วยเหตุนี้ ในการรับรายงานการตรวจสอบโดยละเอียด จึงจำเป็นต้องเรียกใช้บนระบบโฮสต์

การติดตั้งไม่จำเป็นสำหรับการใช้ Lynis คุณสามารถแยกมันออกจากแพ็คเกจที่ดาวน์โหลดหรือ tarball และเรียกใช้ได้ คุณยังสามารถรับมันจาก Git clone เพื่อให้สามารถเข้าถึงเอกสารฉบับเต็มและซอร์สโค้ดได้

Lynis ถูกสร้างขึ้นโดย Michael Boelen ผู้เขียนต้นฉบับของ Rkhunter มีบริการสองประเภทตามบุคคลและองค์กร ไม่ว่าในกรณีใดก็มีประสิทธิภาพที่โดดเด่น

Chkrootkit

อย่างที่คุณอาจเดาได้แล้วว่า chkrootkit เป็นเครื่องมือตรวจสอบการมีอยู่ของรูทคิท รูทคิทเป็นซอฟต์แวร์อันตรายประเภทหนึ่งที่สามารถให้การเข้าถึงเซิร์ฟเวอร์แก่ผู้ใช้ที่ไม่ได้รับอนุญาต หากคุณกำลังใช้งานเซิร์ฟเวอร์ที่ใช้ Linux รูทคิตอาจเป็นปัญหาได้

chkrootkit เป็นหนึ่งในโปรแกรมที่ใช้ Unix มากที่สุดซึ่งสามารถตรวจจับรูทคิตได้ ใช้ ‘strings’ และ ‘grep’ (คำสั่งเครื่องมือ Linux) เพื่อตรวจหาปัญหา

สามารถใช้จากไดเร็กทอรีสำรองหรือจากดิสก์กู้คืน ในกรณีที่คุณต้องการให้ตรวจสอบระบบที่ถูกบุกรุกแล้ว ส่วนประกอบต่างๆ ของ Chkrootkit จะดูแลการค้นหารายการที่ถูกลบในไฟล์ “wtmp” และ “lastlog” ค้นหาระเบียน sniffer หรือไฟล์การกำหนดค่า rootkit และตรวจสอบรายการที่ซ่อนอยู่ใน “/proc” หรือการเรียกโปรแกรม “readdir”

ในการใช้ chkrootkit คุณควรรับเวอร์ชันล่าสุดจากเซิร์ฟเวอร์ แตกไฟล์ต้นฉบับ คอมไพล์ไฟล์ และคุณพร้อมที่จะใช้งาน

  วิธีอัปเกรดเป็น Blender 3 บน Linux

Rkhunter

นักพัฒนา Micheal Boelen เป็นผู้อยู่เบื้องหลังการผลิต Rkhunter (Rootkit Hunter) ในปี พ.ศ. 2546 เป็นเครื่องมือที่เหมาะสมสำหรับระบบ POSIX และสามารถช่วยในการตรวจจับรูทคิทและช่องโหว่อื่นๆ Rkhunter จะตรวจสอบไฟล์อย่างละเอียด (ไม่ว่าจะซ่อนหรือมองเห็นได้) ไดเร็กทอรีเริ่มต้น โมดูลเคอร์เนล และการอนุญาตที่กำหนดค่าผิดพลาด

หลังจากการตรวจสอบตามปกติแล้ว จะเปรียบเทียบกับบันทึกฐานข้อมูลที่ปลอดภัยและเหมาะสม และค้นหาโปรแกรมที่น่าสงสัย เนื่องจากโปรแกรมเขียนด้วย Bash มันจึงไม่เพียงแต่ทำงานบนเครื่อง Linux เท่านั้น แต่ยังทำงานบน Unix เวอร์ชันใดก็ได้อีกด้วย

ClamAV

เขียนด้วยภาษา C++, ClamAV เป็นโปรแกรมป้องกันไวรัสโอเพนซอร์ซที่ช่วยในการตรวจหาไวรัส โทรจัน และมัลแวร์ประเภทอื่นๆ อีกมากมาย มันเป็นเครื่องมือฟรีทั้งหมด นั่นเป็นสาเหตุที่ผู้คนจำนวนมากใช้มันเพื่อสแกนข้อมูลส่วนตัว รวมถึงอีเมล เพื่อหาไฟล์ที่เป็นอันตรายทุกประเภท นอกจากนี้ยังทำหน้าที่เป็นเครื่องสแกนฝั่งเซิร์ฟเวอร์อย่างมาก

เครื่องมือนี้ได้รับการพัฒนาในขั้นต้น โดยเฉพาะอย่างยิ่งสำหรับ Unix อย่างไรก็ตาม มีเวอร์ชันของบุคคลที่สามที่สามารถใช้ได้บน Linux, BSD, AIX, macOS, OSF, OpenVMS และ Solaris Clam AV ทำการอัพเดทฐานข้อมูลโดยอัตโนมัติและสม่ำเสมอ เพื่อให้สามารถตรวจจับได้แม้กระทั่งภัยคุกคามล่าสุด อนุญาตให้สแกนบรรทัดคำสั่งและมีปีศาจที่ปรับขนาดได้แบบมัลติเธรดเพื่อปรับปรุงความเร็วในการสแกน

มันสามารถผ่านไฟล์ประเภทต่างๆ เพื่อตรวจหาช่องโหว่ รองรับไฟล์บีบอัดทุกประเภท รวมถึง RAR, Zip, Gzip, Tar, Cabinet, OLE2, CHM, รูปแบบ SIS, BinHex และระบบอีเมลเกือบทุกประเภท

LMD

Linux Malware Detect หรือเรียกย่อๆ ว่า LMD เป็นอีกหนึ่งโปรแกรมป้องกันไวรัสที่มีชื่อเสียงสำหรับระบบ Linux ที่ออกแบบมาโดยเฉพาะสำหรับภัยคุกคามที่มักพบในสภาพแวดล้อมที่โฮสต์ เช่นเดียวกับเครื่องมืออื่นๆ ที่สามารถตรวจจับมัลแวร์และรูทคิต LMD ใช้ฐานข้อมูลลายเซ็นเพื่อค้นหาโค้ดที่รันอยู่ที่เป็นอันตรายและยุติการทำงานอย่างรวดเร็ว

LMD ไม่ได้จำกัดตัวเองไว้ที่ฐานข้อมูลลายเซ็นของตัวเอง สามารถใช้ประโยชน์จากฐานข้อมูลของ ClamAV และ Team Cymru เพื่อค้นหาไวรัสได้มากขึ้น ในการเติมฐานข้อมูล LMD จะรวบรวมข้อมูลภัยคุกคามจากระบบตรวจจับการบุกรุกของเครือข่าย การทำเช่นนี้จะสามารถสร้างลายเซ็นใหม่สำหรับมัลแวร์ที่กำลังถูกใช้อย่างแข็งขันในการโจมตี

สามารถใช้ LMD ผ่านบรรทัดคำสั่ง “maldet” เครื่องมือนี้สร้างขึ้นเป็นพิเศษสำหรับแพลตฟอร์ม Linux และสามารถค้นหาผ่านเซิร์ฟเวอร์ Linux ได้อย่างง่ายดาย

Radare2

Radare2 (R2) เป็นเฟรมเวิร์กสำหรับการวิเคราะห์ไบนารีและทำวิศวกรรมย้อนกลับด้วยความสามารถในการตรวจจับที่ยอดเยี่ยม สามารถตรวจจับไบนารีที่มีรูปแบบไม่ถูกต้อง ทำให้ผู้ใช้มีเครื่องมือในการจัดการ ขจัดภัยคุกคามที่อาจเกิดขึ้น มันใช้ sdb ซึ่งเป็นฐานข้อมูล NoSQL นักวิจัยด้านความปลอดภัยซอฟต์แวร์และนักพัฒนาซอฟต์แวร์ชอบเครื่องมือนี้เนื่องจากมีความสามารถในการนำเสนอข้อมูลที่ยอดเยี่ยม

  วิธีเรียกใช้แอพ Windows บน Linux ด้วย Wine

หนึ่งในคุณสมบัติที่โดดเด่นของ Radare2 คือผู้ใช้จะไม่ถูกบังคับให้ใช้บรรทัดคำสั่งเพื่อทำงานให้สำเร็จ เช่น การวิเคราะห์แบบสถิต/ไดนามิก และการใช้ประโยชน์จากซอฟต์แวร์ ขอแนะนำสำหรับการวิจัยเกี่ยวกับข้อมูลไบนารีทุกประเภท

OpenVAS

เปิดระบบการประเมินช่องโหว่หรือ OpenVASเป็นระบบโฮสต์สำหรับสแกนช่องโหว่และจัดการช่องโหว่เหล่านี้ ได้รับการออกแบบมาสำหรับธุรกิจทุกขนาด ช่วยตรวจจับปัญหาด้านความปลอดภัยที่ซ่อนอยู่ภายในโครงสร้างพื้นฐานของตน ในขั้นต้น ผลิตภัณฑ์นี้เป็นที่รู้จักในชื่อ GNessUs จนกระทั่งเจ้าของปัจจุบันคือ Greenbone Networks ได้เปลี่ยนชื่อเป็น OpenVAS

ตั้งแต่เวอร์ชัน 4.0 เป็นต้นไป OpenVAS อนุญาตให้อัปเดตฐาน Network Vulnerability Testing (NVT) ได้อย่างต่อเนื่อง โดยปกติในช่วงเวลาน้อยกว่า 24 ชั่วโมง ณ เดือนมิถุนายน 2559 มี NVT มากกว่า 47,000 รายการ

ผู้เชี่ยวชาญด้านความปลอดภัยใช้ OpenVAS เนื่องจากความสามารถในการสแกนที่รวดเร็ว นอกจากนี้ยังมีการกำหนดค่าที่ยอดเยี่ยม สามารถใช้โปรแกรม OpenVAS จากเครื่องเสมือนที่มีอยู่ในตัวเพื่อทำการวิจัยมัลแวร์อย่างปลอดภัย ซอร์สโค้ดมีให้ภายใต้ใบอนุญาต GNU GPL เครื่องมือตรวจจับช่องโหว่อื่น ๆ อีกมากมายขึ้นอยู่กับ OpenVAS นั่นคือสาเหตุที่ทำให้เป็นโปรแกรมที่จำเป็นในแพลตฟอร์มที่ใช้ Linux

REMnux

REMnux ใช้วิธีวิศวกรรมย้อนกลับในการวิเคราะห์มัลแวร์ สามารถตรวจจับปัญหาบนเบราว์เซอร์ได้มากมาย ซึ่งซ่อนอยู่ในตัวอย่างโค้ดที่สร้างความสับสนใน JavaScript และแอปเพล็ต Flash นอกจากนี้ยังสามารถสแกนไฟล์ PDF และดำเนินการตรวจสอบหน่วยความจำ เครื่องมือนี้ช่วยในการตรวจจับโปรแกรมที่เป็นอันตรายภายในโฟลเดอร์และไฟล์ที่ไม่สามารถสแกนได้อย่างง่ายดายด้วยโปรแกรมตรวจจับไวรัสอื่นๆ

มีประสิทธิภาพเนื่องจากความสามารถในการถอดรหัสและวิศวกรรมย้อนกลับ มันสามารถระบุคุณสมบัติของโปรแกรมที่น่าสงสัย และสำหรับโปรแกรมที่มีน้ำหนักเบานั้น โปรแกรมที่เป็นอันตรายอย่างชาญฉลาดจะตรวจไม่พบอย่างมาก สามารถใช้ได้ทั้งบน Linux และ Windows และสามารถปรับปรุงฟังก์ชันการทำงานได้ด้วยความช่วยเหลือของเครื่องมือสแกนอื่นๆ

เสือ

ในปี 1992 Texas A&M University เริ่มทำงานเกี่ยวกับ เสือ เพื่อเพิ่มความปลอดภัยของคอมพิวเตอร์ในวิทยาเขต ตอนนี้เป็นโปรแกรมยอดนิยมสำหรับแพลตฟอร์มที่เหมือน Unix สิ่งพิเศษเกี่ยวกับเครื่องมือนี้ก็คือ มันไม่ได้เป็นเพียงเครื่องมือตรวจสอบความปลอดภัย แต่ยังเป็นระบบตรวจจับการบุกรุกด้วย

เครื่องมือนี้ใช้งานได้ฟรีภายใต้ใบอนุญาต GPL ขึ้นอยู่กับเครื่องมือ POSIX และพวกเขาสามารถสร้างเฟรมเวิร์กที่สมบูรณ์แบบที่สามารถเพิ่มความปลอดภัยให้กับเซิร์ฟเวอร์ของคุณได้อย่างมาก Tiger ถูกเขียนด้วยภาษาเชลล์ทั้งหมด – นั่นเป็นเหตุผลหนึ่งที่ทำให้มีประสิทธิภาพ เหมาะสำหรับตรวจสอบสถานะและการกำหนดค่าระบบ และการใช้งานอเนกประสงค์ทำให้เป็นที่นิยมมากในหมู่ผู้ที่ใช้เครื่องมือ POSIX

Maltrail

Maltrail เป็นระบบตรวจจับการรับส่งข้อมูลที่สามารถรักษาการรับส่งข้อมูลของเซิร์ฟเวอร์ของคุณให้สะอาดและช่วยหลีกเลี่ยงภัยคุกคามที่เป็นอันตรายทุกประเภท มันทำงานนั้นโดยเปรียบเทียบแหล่งที่มาของการเข้าชมกับไซต์ที่ขึ้นบัญชีดำที่เผยแพร่ทางออนไลน์

  Systemd จะเปลี่ยนวิธีการทำงานของโฮมไดเร็กทอรี Linux ของคุณ

นอกจากการตรวจสอบไซต์ที่ขึ้นบัญชีดำแล้ว ยังใช้กลไกการวิเคราะห์พฤติกรรมขั้นสูงในการตรวจจับภัยคุกคามประเภทต่างๆ แม้ว่าจะเป็นคุณสมบัติเสริม แต่ก็มีประโยชน์เมื่อคุณคิดว่าเซิร์ฟเวอร์ของคุณถูกโจมตีแล้ว

มีเซ็นเซอร์ที่สามารถตรวจจับการรับส่งข้อมูลที่เซิร์ฟเวอร์ได้รับและส่งข้อมูลไปยังเซิร์ฟเวอร์ Maltrail ระบบตรวจจับจะตรวจสอบว่าทราฟฟิกดีพอที่จะแลกเปลี่ยนข้อมูลระหว่างเซิร์ฟเวอร์กับต้นทางหรือไม่

ยารา

สร้างขึ้นสำหรับ Linux, Windows และ macOS ยารา (Yet Another Ridiculous Acronym) เป็นหนึ่งในเครื่องมือที่สำคัญที่สุดที่ใช้ในการค้นคว้าและตรวจหาโปรแกรมที่เป็นอันตราย ใช้รูปแบบข้อความหรือไบนารีเพื่อลดความซับซ้อนและเร่งกระบวนการตรวจจับ ส่งผลให้งานง่ายและรวดเร็ว

YARA มีคุณสมบัติพิเศษบางอย่าง แต่คุณต้องมีไลบรารี OpenSSL เพื่อใช้งาน แม้ว่าคุณจะไม่มีไลบรารีนั้น คุณสามารถใช้ YARA สำหรับการวิจัยมัลแวร์ขั้นพื้นฐานผ่านเอ็นจิ้นตามกฎได้ นอกจากนี้ยังสามารถใช้ใน Cuckoo Sandbox ซึ่งเป็นแซนด์บ็อกซ์แบบ Python ที่เหมาะสำหรับการวิจัยซอฟต์แวร์ที่เป็นอันตรายอย่างปลอดภัย

วิธีการเลือกเครื่องมือที่ดีที่สุด?

เครื่องมือทั้งหมดที่เราได้กล่าวมาข้างต้นทำงานได้ดีมาก และเมื่อเครื่องมือดังกล่าวเป็นที่นิยมในสภาพแวดล้อม Linux คุณจึงมั่นใจได้ว่ามีผู้ใช้ที่มีประสบการณ์หลายพันคนใช้งานอยู่ สิ่งหนึ่งที่ผู้ดูแลระบบควรจำไว้ก็คือว่าแต่ละแอปพลิเคชันมักจะต้องพึ่งพาโปรแกรมอื่นๆ ตัวอย่างเช่น ในกรณีของ ClamAV และ OpenVAS

คุณต้องเข้าใจว่าระบบของคุณต้องการอะไรและส่วนใดที่ระบบมีช่องโหว่ได้ ประการแรก ใช้เครื่องมือที่มีน้ำหนักเบาเพื่อค้นหาว่าส่วนใดต้องการการดูแล จากนั้นใช้เครื่องมือที่เหมาะสมในการแก้ปัญหา

เรื่องล่าสุด

x