Безопасность · 5 min read · Dec 09, 2025

Три инструмента для сканирования сервера Linux на вирусы, вредоносное ПО и руткиты

Серверы, подключенные к Интернету, подвергаются постоянным атакам и сканированиям в течение всего дня. Хотя брандмауэр и регулярные обновления системы являются хорошей первой защитой для обеспечения безопасности системы, вам также следует регулярно проверять, не проник ли злоумышленник. Инструменты, описанные в этом руководстве, предназначены для этих тестов, сканируя на наличие вредоносного ПО, вирусов и руткитов. Их следует запускать регулярно, например, каждую ночь, и отправлять вам отчеты по электронной почте. Вы также можете использовать Chkrootkit, Rkhunter и ISPProtect для сканирования системы, когда замечаете подозрительную активность, такую как высокая нагрузка, подозрительные процессы или когда сервер внезапно начинает отправлять вредоносное ПО.

Все эти сканеры должны запускаться от имени пользователя root. Войдите как root перед их запуском. На Ubuntu используйте:

sudo -s

чтобы стать пользователем root.

chkrootkit - Сканер руткитов для Linux

Chkrootkit — это классический сканер руткитов. Он проверяет ваш сервер на наличие подозрительных процессов руткитов и проверяет наличие списка известных файлов руткитов.

Либо установите пакет, который идет с вашей дистрибуцией (на Debian и Ubuntu вы выполните

apt-get install chkrootkit

Установка CHKrootkit

), либо загрузите исходники с www.chkrootkit.org и установите вручную:

wget --passive-ftp ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz  
tar xvfz chkrootkit.tar.gz  
cd chkrootkit-*/  
make sense

Сборка CHKRootkit из исходников

После этого вы можете переместить директорию chkrootkit куда-нибудь еще, например, в /usr/local/chkrootkit:

cd ..  
mv chkrootkit-/ /usr/local/chkrootkit

и создать символическую ссылку для удобного доступа:

ln -s /usr/local/chkrootkit/chkrootkit /usr/local/bin/chkrootkit

Чтобы проверить ваш сервер с помощью chkrootkit, выполните команду:

chkrootkit

Распространенный ложный положительный отчет:

Checking `bindshell'...                                     INFECTED (PORTS:  465)

Не беспокойтесь, когда вы получите это сообщение на почтовом сервере, это SMTPS (Secure SMTP) порт вашей почтовой системы и хорошо известный ложный положительный результат.

Вы даже можете запустить chkrootkit с помощью задания cron и получать результаты по электронной почте. Сначала узнайте путь, где chkrootkit установлен на вашем сервере, с помощью:

which chkrootkit

Пример:

root@server1:/tmp/chkrootkit-0.52# which chkrootkit  
/usr/sbin/chkrootkit

Chkrootkit установлен по пути /usr/sbin/chkrootkit, нам нужен этот путь в строке cron ниже:

Запустите:

crontab -e

Чтобы создать задание cron, как это:

0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit output of my server" [email protected])

Это будет запускать chkrootkit каждую ночь в 3:00. Замените путь к chkrootkit на путь, который вы получили из вышеуказанной команды, и замените адрес электронной почты на ваш фактический адрес.

Lynis - Универсальный инструмент аудита безопасности и сканер руткитов

Lynis (ранее rkhunter) — это инструмент аудита безопасности для систем на базе Linux и BSD. Он выполняет детальный аудит многих аспектов безопасности и конфигураций вашей системы. Загрузите последние исходники Lynis с https://cisofy.com/downloads/lynis/:

cd /tmp  
wget https://downloads.cisofy.com/lynis/lynis-3.0.7.tar.gz  
tar xvfz lynis-3.0.7.tar.gz  
mv lynis /usr/local/  
ln -s /usr/local/lynis/lynis /usr/local/bin/lynis

Установка сканера безопасности Lynis

Это установит Lynis в директорию /usr/local/lynis и создаст символическую ссылку для удобного доступа. Теперь выполните

lynis update info

чтобы проверить, используете ли вы последнюю версию.

Обновление сканера безопасности Lynis

Теперь вы можете просканировать вашу систему на наличие руткитов, выполнив:

lynis audit system

Lynis выполнит несколько проверок, а затем остановится, чтобы дать вам время ознакомиться с результатами. Нажмите [ENTER], чтобы продолжить сканирование.

Аудит безопасности Linux

В конце он покажет вам сводку сканирования.

Результат аудита безопасности от Lynis

Чтобы запустить Lynis в неинтерактивном режиме, запустите его с опцией –quick:

lynis --quick

Чтобы запустить Lynis автоматически ночью, создайте задание cron, как это:

0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "lynis output of my server" [email protected])

Это будет запускать Lynis каждую ночь в 3:00. Замените адрес электронной почты на ваш реальный адрес.

ISPProtect - Сканер вредоносного ПО для веб-сайтов

ISPProtect — это сканер вредоносного ПО для веб-серверов, он сканирует файлы веб-сайтов и CMS-системы, такие как WordPress, Joomla, Drupal и т. д. Если вы управляете сервером веб-хостинга, то размещенные веб-сайты являются наиболее атакуемой частью вашего сервера, и рекомендуется регулярно проводить проверки на наличие проблем. ISPProtect содержит 5 движков сканирования:

  • Сканер вредоносного ПО на основе сигнатур.
  • Эвристический сканер вредоносного ПО.
  • Сканер, показывающий каталоги установки устаревших CMS-систем.
  • Сканер, который показывает все устаревшие плагины WordPress на всем сервере.
  • Сканер содержимого базы данных, который проверяет базы данных MySQL на наличие потенциально вредоносного содержимого.

ISPProtect не является бесплатным программным обеспечением, но есть бесплатная пробная версия, которую можно использовать без регистрации, чтобы проверить ваш сервер на наличие вредоносного ПО или очистить зараженную систему. Бесплатный лицензионный ключ для использования полной версии программного обеспечения один раз на вашем сервере — это просто ‘ trial ‘.

ISPProtect требует, чтобы PHP и ClamAV были установлены на сервере, это должно быть так на большинстве хостинг-систем. ClamAV используется ISPProtect на первом уровне сканирования с собственным набором сигнатур вредоносного ПО ISPProtect. В случае, если у вас еще не установлен PHP командной строки, выполните:

sudo apt install php7.4-cli php7.4-curl clamav

на Debian 11 или Ubuntu 20.04 или

yum install PHP php-curl

на AlmaLinux, Fedora, CentOS или Rocky Linux.

Выполните следующие команды для установки ISPProtect.

mkdir -p /usr/local/ispprotect
chown -R root:root /usr/local/ispprotect
chmod -R 750 /usr/local/ispprotect
cd /usr/local/ispprotect
wget http://www.ispprotect.com/download/ispp_scan.tar.gz
tar xzf ispp_scan.tar.gz
rm -f ispp_scan.tar.gz
ln -s /usr/local/ispprotect/ispp_scan /usr/local/bin/ispp_scan

Чтобы запустить ISPProtect, выполните:

ispp_scan

Сканер автоматически проверяет наличие обновлений, затем запрашивает ключ (введите здесь слово “trial”), а затем запрашивает путь к веб-сайтам, обычно это /var/www.

Сканирование Linux на наличие вредоносного ПО с ISPProtect

Пожалуйста, введите ключ сканирования: <-- trial  
Пожалуйста, введите путь для сканирования: <-- /var/www

Сканер теперь начнет сканирование. Прогресс сканирования отображается. Имена зараженных файлов отображаются на экране в конце сканирования, а результаты сохраняются в файле в директории установки ISPProtect для последующего использования:

Прогресс сканирования ISPProtect

Чтобы обновить ISPProtect, выполните команду:

ispp_scan --update

Чтобы запустить ISPProtect автоматически в качестве ночного задания cron, создайте файл cron с помощью nano:

nano /etc/cron.d/ispprotect

и вставьте следующую строку:

0 3  * * *   root  /usr/local/ispprotect/ispp_scan --update && /usr/local/ispprotect/ispp_scan --path=/var/www --email-results=root@localhost --non-interactive --scan-key=AAA-BBB-CCC-DDD

Замените “root@localhost” на ваш адрес электронной почты, отчет о сканировании отправляется на этот адрес. Затем замените “AAA-BBB-CCC-DDD” на ваш лицензионный ключ. Вы можете получить лицензионный ключ здесь.

Полный список параметров командной строки для команды ispp_scan ISPProtect можно получить с помощью:

ispp_scan --help
Share: X/Twitter LinkedIn
#Безопасность

Get new posts in your inbox

No spam. Unsubscribe anytime.