Trois outils pour scanner un serveur Linux à la recherche de virus, de logiciels malveillants et de rootkits

Les serveurs connectés à Internet sont exposés à un flux constant d’attaques et de scans tout au long de la journée. Bien qu’un pare-feu et des mises à jour régulières du système soient une bonne première défense pour garder le système en sécurité, vous devriez également vérifier régulièrement qu’aucun attaquant ne s’est infiltré. Les outils décrits dans ce tutoriel sont conçus pour ces tests, scannant à la recherche de logiciels malveillants, de virus et de rootkits. Ils doivent être exécutés régulièrement, par exemple chaque nuit, et vous envoyer des rapports par e-mail. Vous pouvez également utiliser Chkrootkit, Rkhunter et ISPProtect pour scanner un système lorsque vous remarquez une activité suspecte, comme une charge élevée, des processus suspects ou lorsque le serveur commence soudainement à envoyer des logiciels malveillants.

Tous ces scanners doivent être exécutés en tant qu’utilisateurs root. Connectez-vous en tant que root avant de les exécuter. Sur Ubuntu, utilisez :

sudo -s

pour devenir l’utilisateur root.

chkrootkit - Scanner de rootkit Linux

Chkrootkit est un scanner de rootkit classique. Il vérifie votre serveur à la recherche de processus de rootkit suspects et vérifie une liste de fichiers de rootkit connus.

Soit installez le paquet qui vient avec votre distribution (sur Debian et Ubuntu, vous exécuteriez

apt-get install chkrootkit

), soit téléchargez les sources depuis www.chkrootkit.org et installez manuellement :

wget --passive-ftp ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz  
tar xvfz chkrootkit.tar.gz  
cd chkrootkit-*/  
make sense

Ensuite, vous pouvez déplacer le répertoire chkrootkit ailleurs, par exemple vers /usr/local/chkrootkit :

cd ..  
mv chkrootkit-/ /usr/local/chkrootkit

et créer un lien symbolique pour un accès facile :

ln -s /usr/local/chkrootkit/chkrootkit /usr/local/bin/chkrootkit

Pour vérifier votre serveur avec chkrootkit, exécutez la commande :

chkrootkit

Un rapport de faux positif courant est :

Checking `bindshell'...                                     INFECTED (PORTS:  465)

Ne vous inquiétez pas lorsque vous recevez ce message sur un serveur de messagerie, c’est le port SMTPS (SMTP sécurisé) de votre système de messagerie et un faux positif bien connu.

Vous pouvez même exécuter chkrootkit par un job cron et recevoir les résultats par e-mail. Tout d’abord, découvrez le chemin où chkrootkit est installé sur votre serveur avec :

which chkrootkit

Exemple :

root@server1:/tmp/chkrootkit-0.52# which chkrootkit  
/usr/sbin/chkrootkit

Chkrootkit est installé dans le chemin /usr/sbin/chkrootkit, nous avons besoin de ce chemin dans la ligne cron ci-dessous :

Exécutez :

crontab -e

Pour créer un job cron comme ceci :

0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit output of my server" [email protected])

Cela exécuterait chkrootkit chaque nuit à 3h00. Remplacez le chemin vers chkrootkit par le chemin que vous avez reçu de la commande ci-dessus et échangez l’adresse e-mail avec votre adresse réelle.

Lynis - Outil d’audit de sécurité universel et scanner de rootkit

Lynis (anciennement rkhunter) est un outil d’audit de sécurité pour les systèmes Linux et BSD. Il effectue un audit détaillé de nombreux aspects de sécurité et configurations de votre système. Téléchargez les dernières sources de Lynis depuis https://cisofy.com/downloads/lynis/ :

cd /tmp  
wget https://downloads.cisofy.com/lynis/lynis-3.0.7.tar.gz  
tar xvfz lynis-3.0.7.tar.gz  
mv lynis /usr/local/  
ln -s /usr/local/lynis/lynis /usr/local/bin/lynis

Cela installera Lynis dans le répertoire /usr/local/lynis et créera un lien symbolique pour un accès facile. Maintenant, exécutez

lynis update info

pour vérifier si vous utilisez la dernière version.

Maintenant, vous pouvez scanner votre système à la recherche de rootkits en exécutant :

lynis audit system

Lynis effectuera quelques vérifications, puis s’arrêtera pour vous donner le temps de lire les résultats. Appuyez sur [ENTER] pour continuer le scan.

À la fin, il vous montrera un résumé du scan.

Pour exécuter Lynis de manière non interactive, démarrez-le avec l’option –quick :

lynis --quick

Pour exécuter Lynis automatiquement la nuit, créez un job cron comme ceci :

0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "lynis output of my server" [email protected])

Cela exécutera Lynis chaque nuit à 3h00. Remplacez l’adresse e-mail par votre adresse réelle.

ISPProtect - Scanner de logiciels malveillants pour sites Web

ISPProtect est un scanner de logiciels malveillants pour serveurs web, il scanne à la recherche de logiciels malveillants dans les fichiers de sites web et les systèmes CMS comme WordPress, Joomla, Drupal, etc. Si vous gérez un serveur d’hébergement web, alors les sites web hébergés sont la partie la plus attaquée de votre serveur et il est recommandé de faire des vérifications de santé régulièrement. ISPProtect contient 5 moteurs de scan :

• Scanner de logiciels malveillants basé sur des signatures.
• Scanner de logiciels malveillants heuristique.
• Un scanner pour montrer les répertoires d’installation des systèmes CMS obsolètes.
• Un scanner qui vous montre tous les plugins WordPress obsolètes de l’ensemble du serveur.
• Un scanner de contenu de base de données qui vérifie les bases de données MySQL pour un contenu potentiellement malveillant.

ISPProtect n’est pas un logiciel gratuit, mais il existe un essai gratuit qui peut être utilisé sans inscription pour vérifier votre serveur à la recherche de logiciels malveillants ou nettoyer un système infecté. La clé de licence gratuite pour utiliser la version complète du logiciel une fois sur votre serveur est simplement ‘ trial ‘.

ISPProtect nécessite que PHP et ClamAV soient installés sur le serveur, cela devrait être le cas sur la plupart des systèmes d’hébergement. ClamAV est utilisé par ISPProtect dans le premier niveau de scan avec l’ensemble de signatures de logiciels malveillants propre à ISPProtect. Dans le cas où vous n’avez pas encore installé PHP en ligne de commande, exécutez :

sudo apt install php7.4-cli php7.4-curl clamav

sur Debian 11 ou Ubuntu 20.04 ou

yum install PHP php-curl

sur AlmaLinux, Fedora, CentOS ou Rocky Linux.

Exécutez les commandes suivantes pour installer ISPProtect.

mkdir -p /usr/local/ispprotect
chown -R root:root /usr/local/ispprotect
chmod -R 750 /usr/local/ispprotect
cd /usr/local/ispprotect
wget http://www.ispprotect.com/download/ispp_scan.tar.gz
tar xzf ispp_scan.tar.gz
rm -f ispp_scan.tar.gz
ln -s /usr/local/ispprotect/ispp_scan /usr/local/bin/ispp_scan

Pour démarrer ISPProtect, exécutez :

ispp_scan

Le scanner vérifie automatiquement les mises à jour, puis demande la clé (entrez le mot “trial” ici) et ensuite demande le chemin des sites web, normalement c’est /var/www.

Please enter scan key: <-- trial  
Please enter path to scan: <-- /var/www

Le scanner va maintenant commencer le scan. La progression du scan est affichée. Les noms des fichiers infectés sont affichés à l’écran à la fin du scan et les résultats sont stockés dans un fichier dans le répertoire d’installation d’ISPProtect pour une utilisation ultérieure :

Pour mettre à jour ISPProtect, exécutez la commande :

ispp_scan --update

Pour exécuter ISPProtect automatiquement en tant que job cron nocturne, créez un fichier cron avec nano :

nano /etc/cron.d/ispprotect

et insérez la ligne suivante :

0 3  * * *   root  /usr/local/ispprotect/ispp_scan --update && /usr/local/ispprotect/ispp_scan --path=/var/www --email-results=root@localhost --non-interactive --scan-key=AAA-BBB-CCC-DDD

Remplacez “root@localhost” par votre adresse e-mail, le rapport de scan est envoyé à cette adresse. Ensuite, échangez “AAA-BBB-CCC-DDD” avec votre clé de licence. Vous pouvez obtenir une clé de licence ici.

Une liste complète des options de ligne de commande de la commande ispp_scan d’ISPProtect peut être obtenue avec :

ispp_scan --help