Sicurezza Server · 5 min read · Dec 09, 2025

Tre strumenti per scansionare un server Linux alla ricerca di virus, malware e rootkit

I server connessi a Internet sono esposti a un flusso costante di attacchi e scansioni durante il giorno. Sebbene un firewall e aggiornamenti regolari del sistema siano una buona prima difesa per mantenere il sistema sicuro, dovresti anche controllare regolarmente che nessun attaccante sia infiltrato. Gli strumenti descritti in questo tutorial sono progettati per questi test, scansionando alla ricerca di malware, virus e rootkit. Dovrebbero essere eseguiti regolarmente, ad esempio ogni notte, e inviarti rapporti via email. Puoi anche utilizzare Chkrootkit, Rkhunter e ISPProtect per scansionare un sistema quando noti attività sospette, come un carico elevato, processi sospetti o quando il server inizia improvvisamente a inviare malware.

Tutti questi scanner devono essere eseguiti come utenti root. Accedi come root prima di eseguirli. Su Ubuntu, usa:

sudo -s

per diventare l’utente root.

chkrootkit - Scanner di rootkit per Linux

Chkrootkit è un classico scanner di rootkit. Controlla il tuo server per processi di rootkit sospetti e verifica un elenco di file di rootkit noti.

Puoi installare il pacchetto fornito con la tua distribuzione (su Debian e Ubuntu dovresti eseguire

apt-get install chkrootkit

Installazione di CHKrootkit

), oppure scaricare i sorgenti da www.chkrootkit.org e installare manualmente:

wget --passive-ftp ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz  
tar xvfz chkrootkit.tar.gz  
cd chkrootkit-*/  
make sense

Compilazione di CHKRootkit dai sorgenti

Dopo, puoi spostare la directory chkrootkit altrove, ad esempio in /usr/local/chkrootkit:

cd ..  
mv chkrootkit-/ /usr/local/chkrootkit

e creare un symlink per un facile accesso:

ln -s /usr/local/chkrootkit/chkrootkit /usr/local/bin/chkrootkit

Per controllare il tuo server con chkrootkit, esegui il comando:

chkrootkit

Un rapporto di falso positivo comune è:

Checking `bindshell'...                               INFECTED (PORTS: 465)

Non preoccuparti quando ricevi questo messaggio su un server email, questo è il porto SMTPS (SMTP sicuro) del tuo sistema di posta ed è un falso positivo ben noto.

Puoi anche eseguire chkrootkit tramite un cron job e ricevere i risultati via email. Prima, scopri il percorso in cui chkrootkit è installato sul tuo server con:

which chkrootkit

Esempio:

root@server1:/tmp/chkrootkit-0.52# which chkrootkit  
/usr/sbin/chkrootkit

Chkrootkit è installato nel percorso /usr/sbin/chkrootkit, abbiamo bisogno di questo percorso nella riga cron qui sotto:

Esegui:

crontab -e

Per creare un cron job come questo:

0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit output of my server" [email protected])

Questo eseguirà chkrootkit ogni notte alle 3:00. Sostituisci il percorso di chkrootkit con il percorso ricevuto dal comando sopra e sostituisci l’indirizzo email con il tuo indirizzo reale.

Lynis - Strumento di auditing della sicurezza universale e scanner di rootkit

Lynis (precedentemente rkhunter) è uno strumento di auditing della sicurezza per sistemi Linux e BSD. Esegue un auditing dettagliato di molti aspetti di sicurezza e configurazioni del tuo sistema. Scarica gli ultimi sorgenti di Lynis da https://cisofy.com/downloads/lynis/:

cd /tmp  
wget https://downloads.cisofy.com/lynis/lynis-3.0.7.tar.gz  
tar xvfz lynis-3.0.7.tar.gz  
mv lynis /usr/local/  
ln -s /usr/local/lynis/lynis /usr/local/bin/lynis

Installa lo scanner di sicurezza Lynis

Questo installerà Lynis nella directory /usr/local/lynis e crea un symlink per un facile accesso. Ora esegui

lynis update info

per controllare se stai utilizzando l’ultima versione.

Aggiornamento dello scanner di sicurezza Lynis

Ora puoi scansionare il tuo sistema per rootkit eseguendo:

lynis audit system

Lynis eseguirà alcuni controlli e poi si fermerà per darti un po’ di tempo per leggere i risultati. Premi [ENTER] per continuare con la scansione.

Audit di sicurezza Linux

Alla fine, ti mostrerà un riepilogo della scansione.

Risultato dell'Audit di Sicurezza di Lynis

Per eseguire Lynis in modo non interattivo, avvialo con l’opzione –quick:

lynis --quick

Per eseguire Lynis automaticamente di notte, crea un cron job come questo:

0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "lynis output of my server" [email protected])

Questo eseguirà Lynis ogni notte alle 3:00. Sostituisci l’indirizzo email con il tuo indirizzo reale.

ISPProtect - Scanner di malware per siti web

ISPProtect è uno scanner di malware per server web, scansiona alla ricerca di malware nei file dei siti web e nei sistemi CMS come WordPress, Joomla, Drupal, ecc. Se gestisci un server di hosting web, allora i siti web ospitati sono la parte più attaccata del tuo server ed è consigliato eseguire controlli di sanità su di essi regolarmente. ISPProtect contiene 5 motori di scansione:

  • Scanner di malware basato su firma.
  • Scanner di malware euristico.
  • Uno scanner per mostrare le directory di installazione dei sistemi CMS obsoleti.
  • Uno scanner che ti mostra tutti i plugin obsoleti di WordPress dell’intero server.
  • Uno scanner di contenuti del database che controlla i database MySQL per contenuti potenzialmente dannosi.

ISPProtect non è software gratuito, ma c’è una prova gratuita che può essere utilizzata senza registrazione per controllare il tuo server per malware o pulire un sistema infetto. La chiave di licenza gratuita per utilizzare la versione completa del software una volta sul tuo server è semplicemente ‘trial‘.

ISPProtect richiede PHP e ClamAV installati sul server, questo dovrebbe essere il caso nella maggior parte dei sistemi di hosting. ClamAV è utilizzato da ISPProtect nel primo livello di scansione con il proprio set di firme di malware di ISPProtect. Nel caso non avessi ancora PHP da riga di comando installato, esegui:

sudo apt install php7.4-cli php7.4-curl clamav

su Debian 11 o Ubuntu 20.04 oppure

yum install PHP php-curl

su AlmaLinux, Fedora, CentOS o Rocky Linux.

Esegui i seguenti comandi per installare ISPProtect.

mkdir -p /usr/local/ispprotect
chown -R root:root /usr/local/ispprotect
chmod -R 750 /usr/local/ispprotect
cd /usr/local/ispprotect
wget http://www.ispprotect.com/download/ispp_scan.tar.gz
tar xzf ispp_scan.tar.gz
rm -f ispp_scan.tar.gz
ln -s /usr/local/ispprotect/ispp_scan /usr/local/bin/ispp_scan

Per avviare ISPProtect, esegui:

ispp_scan

Lo scanner controlla automaticamente gli aggiornamenti, poi chiede la chiave (inserisci qui la parola “trial”) e poi chiede il percorso dei siti web, normalmente è /var/www.

Scansiona Linux per malware con ISPProtect

Please enter scan key: <-- trial  
Please enter path to scan: <-- /var/www

Lo scanner inizierà ora la scansione. Il progresso della scansione è mostrato. I nomi dei file infetti vengono mostrati sullo schermo alla fine della scansione e i risultati vengono memorizzati in un file nella directory di installazione di ISPProtect per un uso successivo:

Progresso della scansione ISPProtect

Per aggiornare ISPProtect, esegui il comando:

ispp_scan --update

Per eseguire ISPProtect automaticamente come un cron job notturno, crea un file cron con nano:

nano /etc/cron.d/ispprotect

e inserisci la seguente riga:

0 3  * * *   root  /usr/local/ispprotect/ispp_scan --update && /usr/local/ispprotect/ispp_scan --path=/var/www --email-results=root@localhost --non-interactive --scan-key=AAA-BBB-CCC-DDD

Sostituisci “root@localhost” con il tuo indirizzo email, il rapporto di scansione viene inviato a questo indirizzo. Poi sostituisci “AAA-BBB-CCC-DDD” con la tua chiave di licenza. Puoi ottenere una chiave di licenza qui.

Un elenco completo delle opzioni da riga di comando del comando ispp_scan di ISPProtect può essere ottenuto con:

ispp_scan --help
Share: X/Twitter LinkedIn
#Sicurezza Server

Ricevi i nuovi post nella tua casella di posta.

Nessuno spam. Disiscriviti in qualsiasi momento.