Drei Tools zum Scannen eines Linux-Servers auf Viren, Malware und Rootkits

Server, die mit dem Internet verbunden sind, sind den ganzen Tag über einem ständigen Strom von Angriffen und Scans ausgesetzt. Während eine Firewall und regelmäßige Systemupdates eine gute erste Verteidigung darstellen, um das System sicher zu halten, sollten Sie auch regelmäßig überprüfen, ob kein Angreifer infiltriert hat. Die in diesem Tutorial beschriebenen Tools sind für diese Tests gedacht und scannen nach Malware, Viren und Rootkits. Sie sollten regelmäßig ausgeführt werden, zum Beispiel jede Nacht, und Ihnen Berichte per E-Mail senden. Sie können auch Chkrootkit, Rkhunter und ISPProtect verwenden, um ein System zu scannen, wenn Sie verdächtige Aktivitäten bemerken, wie z.B. hohe Last, verdächtige Prozesse oder wenn der Server plötzlich anfängt, Malware zu versenden.

Alle diese Scanner müssen als Root-Benutzer ausgeführt werden. Melden Sie sich als Root an, bevor Sie sie ausführen. Unter Ubuntu verwenden Sie:

sudo -s

um Root-Benutzer zu werden.

chkrootkit - Linux Rootkit Scanner

Chkrootkit ist ein klassischer Rootkit-Scanner. Er überprüft Ihren Server auf verdächtige Rootkit-Prozesse und prüft eine Liste bekannter Rootkit-Dateien.

Entweder installieren Sie das Paket, das mit Ihrer Distribution geliefert wird (unter Debian und Ubuntu würden Sie ausführen

apt-get install chkrootkit

), oder Sie laden die Quellen von www.chkrootkit.org herunter und installieren sie manuell:

wget --passive-ftp ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz  
tar xvfz chkrootkit.tar.gz  
cd chkrootkit-*/  
make sense

Anschließend können Sie das chkrootkit-Verzeichnis an einen anderen Ort verschieben, z.B. nach /usr/local/chkrootkit:

cd ..  
mv chkrootkit-/ /usr/local/chkrootkit

und einen Symlink für den einfachen Zugriff erstellen:

ln -s /usr/local/chkrootkit/chkrootkit /usr/local/bin/chkrootkit

Um Ihren Server mit chkrootkit zu überprüfen, führen Sie den Befehl aus:

chkrootkit

Ein häufiger Fehlalarmbericht ist:

Checking `bindshell'...                                     INFECTED (PORTS:  465)

Machen Sie sich keine Sorgen, wenn Sie diese Nachricht auf einem E-Mail-Server erhalten, dies ist der SMTPS (Secure SMTP) Port Ihres Mail-Systems und ein bekannter Fehlalarm.

Sie können chkrootkit sogar über einen Cron-Job ausführen und die Ergebnisse per E-Mail erhalten. Zuerst finden Sie den Pfad, wo chkrootkit auf Ihrem Server installiert ist, mit:

which chkrootkit

Beispiel:

root@server1:/tmp/chkrootkit-0.52# which chkrootkit  
/usr/sbin/chkrootkit

Chkrootkit ist im Pfad /usr/sbin/chkrootkit installiert, wir benötigen diesen Pfad in der folgenden Cron-Zeile:

Führen Sie aus:

crontab -e

Um einen Cron-Job wie diesen zu erstellen:

0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit-Ausgabe meines Servers" [email protected])

Das würde chkrootkit jede Nacht um 3:00 Uhr ausführen. Ersetzen Sie den Pfad zu chkrootkit mit dem Pfad, den Sie aus dem obigen Befehl erhalten haben, und tauschen Sie die E-Mail-Adresse mit Ihrer tatsächlichen Adresse aus.

Lynis - Universelles Sicherheitsprüfungs-Tool und Rootkit-Scanner

Lynis (ehemals rkhunter) ist ein Sicherheitsprüfungs-Tool für Linux- und BSD-basierte Systeme. Es führt eine detaillierte Prüfung vieler Sicherheitsaspekte und Konfigurationen Ihres Systems durch. Laden Sie die neuesten Lynis-Quellen von https://cisofy.com/downloads/lynis/ herunter:

cd /tmp  
wget https://downloads.cisofy.com/lynis/lynis-3.0.7.tar.gz  
tar xvfz lynis-3.0.7.tar.gz  
mv lynis /usr/local/  
ln -s /usr/local/lynis/lynis /usr/local/bin/lynis

Dies installiert Lynis im Verzeichnis /usr/local/lynis und erstellt einen Symlink für den einfachen Zugriff. Führen Sie nun aus

lynis update info

um zu überprüfen, ob Sie die neueste Version verwenden.

Jetzt können Sie Ihr System auf Rootkits scannen, indem Sie ausführen:

lynis audit system

Lynis führt einige Prüfungen durch und stoppt dann, um Ihnen etwas Zeit zu geben, die Ergebnisse zu lesen. Drücken Sie [ENTER], um mit dem Scan fortzufahren.

Am Ende zeigt es Ihnen eine Zusammenfassung des Scans.

Um Lynis nicht-interaktiv auszuführen, starten Sie es mit der –quick-Option:

lynis --quick

Um Lynis automatisch nachts auszuführen, erstellen Sie einen Cron-Job wie diesen:

0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "lynis-Ausgabe meines Servers" [email protected])

Dies führt Lynis jede Nacht um 3:00 Uhr aus. Ersetzen Sie die E-Mail-Adresse durch Ihre echte Adresse.

ISPProtect - Website-Malware-Scanner

ISPProtect ist ein Malware-Scanner für Webserver, der nach Malware in Website-Dateien und CMS-Systemen wie WordPress, Joomla, Drupal usw. sucht. Wenn Sie einen Webhosting-Server betreiben, sind die gehosteten Websites der am meisten angegriffene Teil Ihres Servers, und es wird empfohlen, regelmäßig Überprüfungen durchzuführen. ISPProtect enthält 5 Scanning-Engines:

• Signaturbasierter Malware-Scanner.
• Heuristischer Malware-Scanner.
• Ein Scanner, der die Installationsverzeichnisse veralteter CMS-Systeme anzeigt.
• Ein Scanner, der Ihnen alle veralteten WordPress-Plugins des gesamten Servers anzeigt.
• Ein Datenbankinhalt-Scanner, der MySQL-Datenbanken auf potenziell schädliche Inhalte überprüft.

ISPProtect ist keine kostenlose Software, aber es gibt eine kostenlose Testversion, die ohne Registrierung verwendet werden kann, um Ihren Server auf Malware zu überprüfen oder ein infiziertes System zu bereinigen. Der kostenlose Lizenzschlüssel zur Verwendung der Vollversion der Software einmal auf Ihrem Server ist einfach ‘ trial ‘.

ISPProtect erfordert, dass PHP und ClamAV auf dem Server installiert sind, was auf den meisten Hosting-Systemen der Fall sein sollte. ClamAV wird von ISPProtect in der ersten Scan-Ebene mit dem eigenen Malware-Signatur-Set von ISPProtect verwendet. Falls Sie noch kein PHP über die Kommandozeile installiert haben, führen Sie aus:

sudo apt install php7.4-cli php7.4-curl clamav

unter Debian 11 oder Ubuntu 20.04 oder

yum install PHP php-curl

unter AlmaLinux, Fedora, CentOS oder Rocky Linux.

Führen Sie die folgenden Befehle aus, um ISPProtect zu installieren.

mkdir -p /usr/local/ispprotect
chown -R root:root /usr/local/ispprotect
chmod -R 750 /usr/local/ispprotect
cd /usr/local/ispprotect
wget http://www.ispprotect.com/download/ispp_scan.tar.gz
tar xzf ispp_scan.tar.gz
rm -f ispp_scan.tar.gz
ln -s /usr/local/ispprotect/ispp_scan /usr/local/bin/ispp_scan

Um ISPProtect zu starten, führen Sie aus:

ispp_scan

Der Scanner überprüft automatisch auf Updates, fragt dann nach dem Schlüssel (geben Sie hier das Wort “trial” ein) und fragt dann nach dem Pfad der Websites, normalerweise ist das /var/www.

Bitte geben Sie den Scan-Schlüssel ein: <-- trial  
Bitte geben Sie den Pfad zum Scannen ein: <-- /var/www

Der Scanner beginnt nun mit dem Scan. Der Fortschritt des Scans wird angezeigt. Die Namen der infizierten Dateien werden am Ende des Scans auf dem Bildschirm angezeigt, und die Ergebnisse werden in einer Datei im Installationsverzeichnis von ISPProtect für die spätere Verwendung gespeichert:

Um ISPProtect zu aktualisieren, führen Sie den Befehl aus:

ispp_scan --update

Um ISPProtect automatisch als nächtlichen Cron-Job auszuführen, erstellen Sie eine Cron-Datei mit nano:

nano /etc/cron.d/ispprotect

und fügen Sie die folgende Zeile ein:

0 3  * * *   root  /usr/local/ispprotect/ispp_scan --update && /usr/local/ispprotect/ispp_scan --path=/var/www --email-results=root@localhost --non-interactive --scan-key=AAA-BBB-CCC-DDD

Ersetzen Sie “root@localhost” durch Ihre E-Mail-Adresse, der Scan-Bericht wird an diese Adresse gesendet. Ersetzen Sie dann “AAA-BBB-CCC-DDD” durch Ihren Lizenzschlüssel. Sie können hier einen Lizenzschlüssel erhalten.

Eine vollständige Liste der Befehlszeilenoptionen des ISPProtect ispp_scan-Befehls kann mit:

ispp_scan --help

abgerufen werden.