как проверить kali linux на вирусы
Rkhunter — сканирование системы Linux на вирусы.
Сегодня поговорим о антивирусах в Linux системах. Рассмотрим сканер Rkhunter — сканирование системы Linux на вирусы.
Давайте рассмотрим как установить и настроить данную утилиту для правильной проверки вашей системы.
Установка Rkhunter на Ubuntu Server
Установить программу в Ubuntu можно командой:
Если вам не подходит такой способ, то можете собрать программу из исходников:
Обновление RkHunter
Перед тем как будет выполнена проверка linux на вирусы, необходимо обновить базу данных утилиты. Для этого выполните:
Теперь необходимо собрать информацию о установленных файлах в системе, это нужно для того, чтобы программа могла понять пытался ли кто модифицировать системные файлы при следующей проверке. Для этого выполним следующее действие:
Обновление желательно выполнять регулярно, поэтому давайте создадим специальный скрипт и будем запускать его с помощью cron каждый день. Для этого создайте файл скрипта в директории /etc/cron.daily:
Здесь мы выполняем проверку версии, обновление баз данных и в
последней строчке мы запланировали проверку и отправку уведомления вам на Email. Для работы необходимо заменить your@email.com на ваш адрес электронной почты.
Теперь осталось только дать программе права на выполнение:
Проверка Linux на вирусы Rkhunter
Сначала давайте рассмотрим основные опции программы которые вам могут пригодится:
Например, чтобы посмотреть все руткиты, которые может найти программа выполните:
Для того чтобы проверить Linux на вирусы всю систему выполните от суперпользователя:
Программа кроме вывода информации на экран, создаст лог проверки. На информацию выводимую во время проверки не обращайте большого внимания, она немного урезана все станет более понятнее при просмотре лога.
К сожалению программа работает только на английском, поэтому, чтобы понять в каком состоянии ваша система вам придется немного понимать английский.
Чтобы вам было более понятно что делает программа и как анализировать ее результаты, давайте рассмотрим лог сканирования.
Сначала программа инициализирует и загружает конфигурационные файлы, здесь нет ничего интересного:
Заметьте, что мы рассматриваем лог проверки системы, логи обновления и создания базы данных, они находятся выше в этом же файле, нас не интересуют.
Проверка системы начинается с этих срок:
Программа сканирует системные утилиты и пытается выявить там
подозрительные признаки, в том числе проводится сравнение кэша утилиты с кэшем сохраненным в базе данных, чтобы понять не была ли она изменена. Обычно если с утилитами все хорошо лог заполнен такими строками:
Также выполняется проверка параметров файлов, например если файл должен быть бинарным, а он скрипт, то это не порядок:
При обнаружении подозрительного файла программа тут же объясняет в чем с ним проблема.
Дальше будет выполнена проверка Linux на вирусы с поиском известных руткитов:
Обычно, если в этом разделе что-то обнаружено, то это значит, что в
системе есть руткит и с этим нужно что-то делать, но обычно мы видим строки Not found (не найдено):
Дальше будет запущен поиск нежелательного программного обеспечения:
Вот мы и видим первое предупреждение:
Как видите, программа сразу говорит что обнаружен активированный vnc сервер через xinetd, но здесь все в порядке, это я его активировал.
Проверка опасных портов:
На этапе проверки конфигурационных файлов мы тоже получаем предупреждение:
Но здесь видно, что проблема не в вирусе, а в том, что программе просто нет с чем сравнивать.
Дальше выполняется проверка настроек системы, и здесь тоже программе не все нравится:
А именно две вещи — разрешенный root доступ по ssh и возможность
использовать протокол первой версии для подключения к ssh. И она права, это очень небезопасно.
Дальше будет выполнено сканирование файловой системы:
И обнаружено два скрытых файла, но я знаю, что эти файлы созданы программой logmein-hamachi Вы можете отследить какая программа работает с определенным файлом с помощью команды lsof:
sudo lsof | grep /адрес/файла
Осталась проверка приложений:
И небольшой отчет о найденных проблемах:
Для удобства просмотра лога вы можете не смотреть его полностью, а выбрать только предупреждения:
Параметр A5 означает показывать еще пять строк после строки с обнаруженным вхождением, так мы точно ничего не пропустим.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
Найти и не обезвредить: пишем пентесты с Kali Linux
Kali и другие подобные инструменты помогают обнаружить уязвимости в вашем ПО. И лучше, если первыми их найдёте вы, а не злоумышленники.
Шило в мешке не утаить: по неведению (правда, в некоторых случаях — умышленно) даже крупные корпорации оставляют дыры в своей системе безопасности. Жизненно важно как можно быстрее (1) локализовать их и (2) пофиксить. К счастью, существует множество различных продуктов, которые помогают с первым пунктом. Среди них можно выделить Kali, дистрибутив Linux, разработанный для тестирования систем безопасности. В этой статье я расскажу, как использовать Kali Linux для исследования вашей системы и поиска слабых мест, имитируя атаку злоумышленника.
Дистрибутив Kali включает множество инструментов, каждый из которых имеет открытый исходный код. Достаточно запустить установку дистрибутива и все эти инструменты будут доступны из коробки.
В качестве подопытных я буду использовать две системы:
Поиск открытых портов
Я начал с базового сканирования системы 2. Сканируя систему с помощью Nmap, можно узнать, какие порты и службы видны из системы 1, запускающей сканирование.
Итак, первым делом можно найти несколько «интересных» открытых портов — потенциальных слабых мест. На самом деле, любой открытый порт интересен, потому что с его помощью больше шансов взломать сеть. В этом примере 21, 22, 80 и 443 — это ещё и порты часто используемых служб. Но пока я просто занимаюсь разведкой и пытаюсь получить как можно больше информации о системе, которую хочу взломать.
Здесь нас интересуют следующие строки:
Поиск информации о пользователях
\ \ /\ / /| |__) | (___ ___ __ _ _ __
WordPress Security Scanner by the WPScan Team
Sponsored by Automattic — https://automattic.com/
@_WPScan_, @ethicalhack3r, @erwan_lr, @firefart
[+] URL: http://vulnerable.usersys.redhat.com/ [10.19.47.242]
[+] Started: Tue Feb 16 21:38:49 2021
[i] User(s) Identified:
| Found By: Author Posts — Display Name (Passive Detection)
| Author Id Brute Forcing — Author Pattern (Aggressive Detection)
| Login Error Messages (Aggressive Detection)
| Found By: Author Posts — Display Name (Passive Detection)
| Author Id Brute Forcing — Author Pattern (Aggressive Detection)
| Login Error Messages (Aggressive Detection)
Отлично, найдены два пользователя: admin и pgervase. Я попытаюсь подобрать пароль для пользователя admin, используя словари паролей — текстовый файл с набором возможных вариантов. Я возьму словари из 3 231 и из 3 543 076 137 строк.
Подбор пароля с атакой по словарю
Для атаки по словарю можно использовать разные инструменты. Вот два примера команд с Nmap и WPScan:
Эти два инструмента, конечно же, могут гораздо больше, но и для подбора паролей тоже годятся.
А вот эта команда WPScan, например, выводит пароль в конце файла:
Раздел Valid Combinations Found в конце содержит имя пользователя admin и его пароль. На перебор 3 231 строк ушло всего две минуты.
У меня есть ещё один файл словаря с 3 238 659 984 уникальными записями, что займет гораздо больше времени.
Nmap выдаёт результат намного быстрее:
Правда, такое сканирование можно отследить по HTTPD-логам, которые будут обнаружены во взломанной системе:
Поиск Heartbleed-уязвимости
Чтобы получить информацию о HTTPS-сервере и SSL/TLS протоколах, я использую команду sslscan:
Мы видим, что в версиях протоколов, которые используются на сервере, Heartbleed-уязвимость не обнаружена:
Ну что ж, значит через модуль Heartbeat я не могу получить доступ к оперативной памяти и данным сервера. Что ж… видно не судьба 🙂
Советы по предотвращению и защите от взлома
Можно написать много статей про то, как противостоять атакам хакеров всех мастей. Тут я ограничусь общими рекомендациями:
Полезные материалы (на английском языке)
То, что описано в этой статье, — лишь вершина айсберга. Чтобы погрузиться глубже, вы можете изучить следующие ресурсы:
Облачные серверы от Маклауд быстрые и безопасные.
Зарегистрируйтесь по ссылке выше или кликнув на баннер и получите 10% скидку на первый месяц аренды сервера любой конфигурации!
Ищем вирусы на серверах Linux: 5 инструментов для сканирования
Сервера на Linux часто атакуются злоумышленниками. Безусловно, оптимальная настройка файрволла и своевременное обновление системы безопасности помогают отражать подобного рода атаки. Но всё же необходимо быть начеку и проверять, не пробрался ли какой-либо вирус сквозь защиту сервера.
Поговорим об инструментах для Linux, задача которых — сканировать сервера и обнаруживать вирусную активность, взломы и прочие формы вмешательства в их работу.
1. Lynis
Lynis — популярный бесплатный инструмент, который лучше многих справляется с проверкой серверов UNIX-подобных операционных систем. Он способен выявлять не только вредоносное ПО, но и повреждения файлов и ошибки в конфигурации. Также Lynis проверяет качество работы антивирусов, осматривает установленное программное обеспечение и проверяет разрешения на доступ к тем или иным файлам и директориям.
Стоит отметить, что этот инструмент не проводит автоматическое усиление защиты системы, а лишь даёт рекомендации о том, как следует её защитить. Установить самую свежую версию Lynus (2.6.6) можно с помощью следующих команд:
После этого можно начинать проверку сервера таким образом:
# lynis audit system
Чтобы настроить автоматическое сканирование, воспользуйтесь cron:
2. Chkrootkit
Ещё один бесплатный инструмент для UNIX-подобных систем, который способен обнаруживать руткиты, то есть программы для маскировки вредоносной активности. Chkrootkit выявляет руткиты и бреши в защите с помощью скрипта оболочки и набора специальных программ.
На серверах Debian этот инструмент можно установить, используя эту команду:
$ sudo apt install chkrootkit
А для CentOS алгоритм установки будет такой:
Для запуска проверки используйте эту команду:
$ sudo chkrootkit OR # /usr/local/chkrootkit/chkrootkit
По итогам проверки вы увидите отчёт. Chkrootkit также можно запускать автоматически с помощью cron:
3. Rootkit Hunter
Этот инструмент прост в использовании и известен своей эффективностью в обнаружении бэкдоров, а также руткитов и другого вредоносного ПО. Он способен очень тщательно сканировать систему, чтобы находить даже мелкие и неочевидные недостатки в защите сервера.
Используйте эту команду для установки Rootkit Hunter на Ubuntu и CentOS:
$ sudo apt install rkhunter # yum install epel-release # yum install rkhunter
Проверка сервера этим инструментом запускается таким образом:
Его настройка с помощью cron также возможна:
4. ClamAV
Команда для установки ClamAV на Debian:
$ sudo apt-get install clamav
Команда для установки ClamAV на CentOS:
Проверка запускается следующим образом:
Здесь вместо «DIRECTORY» необходимо указать папку для сканирования. Опция «-r» означает «рекурсивное сканирование», а «-i» — «показать только заражённые файлы».
5. Linux Malware Detect
Этот инструмент изначально был предназначен для серверов виртуального хостинга, но он хорошо подходит и для систем на базе Linux. Для максимально качественной проверки он может быть интегрирован с сервисом ClamAV.
LMD предлагает подробную отчётность по текущим и прошедшим проверкам, а также он позволяет подключить оповещения об обнаруженных угрозах по электронной почте и обладает рядом других преимуществ.
Чтобы начать его использование, необходимо выполнить определённый алгоритм действий, о котором мы рассказали в отдельной статье.
4. Check Point на максимум. Проверяем Anti-Virus с помощью Kali Linux
Мы продолжаем тему оптимизации настроек Check Point. На этот раз мы затронем тему Anti-Virus. Антивирусным технологиям уже более 30 лет! Казалось бы, за это время уже все и всё узнали. Да и какие там настройки? Включаешь Антивирус и просто регулярно обновляешь базы, ну т.е. сигнатуры. Это не совсем верная стратегия. Многие пользователи Check Point-а оставляют дефолтные настройки, а потом удивляются, когда вирус все же проникает в сеть. Я постараюсь рассказать, как минимизировать эти риски.
Введение
Но прежде чем начать, я бы хотел еще раз вспомнить слайд из предыдущего урока. Там я сделал акцент на том, что Антивирус уже давно не является панацеей, ну точнее не сам антивирус, а сигнатурный анализ, который до сих пор используется как основной метод для 100% антивирусов.
Ведь по сути, сигнатура это всегда успешная атака. Уже после обнаружения атаки, специалисты определяют что это был за вирус, создают сигнатуру и уже с этого момента вирус будет детектиться. Все эти цифры говорят о том, что кол-во уникальных вредоносов, для которых нет сигнатур, увеличивается с каждым годом. Тут опять же можно вспомнить блейды Threat Emulation и Threat Extraction, как ответная мера, но сегодня урок не об этом. Сегодня мы говорим об Антивирусе.
Несмотря на всю эту печальную статистику, Антивирус по прежнему остается одним из самых необходимых средств защиты. Процент таргетированных атак пока еще гораздо меньше, чем процент классических атак с использованием уже известных вирусов. Как правило это автоматизированные компании по рассылке вредоносов почтой, либо распространение через популярные веб-ресурсы. Так называемые «атаки на дурака». Именно поэтому Антивирус остается важной частью защиты сети.
Думаю на этом можно закончить теоретическую вводную и перейти к практике, где мы детально рассмотрим настройку Антивируса и обязательно протестируем его с помощью дистрибутива Kali-Linux.
Макет
Давайте еще раз вспомним нашу схему. На этот раз я буду генерировать новые вирусы с помощью Kali-Linux и пытаться протащить их на компьютер пользователя, через наш Check Point. Приступим.
Видео урок
В данном видео уроке мы подробно рассмотрим тонкости настройки Check Point Anti-Virus. Мы затронем следующие моменты:
Заключение
Хотелось бы заметить, что представленные в видео методы проверок подходят не только для Check Point. Т.е. используя Kali Linux вы также можете проверить надежность своего межсетевого экрана (будь то Cisco, Palo Alto, Fortinet и т.д.). Настоятельно рекомендую провести подобные тесты. Уверен, что вы будете удивлены…
21 лучший инструмент Kali Linux для взлома и тестирования на проникновение
Вот наш список лучших инструментов Kali Linux, которые позволят вам оценить безопасность веб-серверов и помочь в проведении взлома и ручного тестирования на проникновение.
Если вы читаете обзор на Kali Linux, вы поймете, почему он считается одним из лучших дистрибутивов Linux для взлома и пентеста.
Он поставляется с множеством инструментов, облегчающих вам тестирование, взлом и все, что связано с цифровой криминалистикой.
Это один из наиболее рекомендуемых дистрибутивов Linux для этичных хакеров.
Даже если вы не хакер, а веб-мастер – вы все равно можете использовать некоторые инструменты, чтобы легко запустить сканирование вашего веб-сервера или веб-страницы.
В любом случае, независимо от вашей цели, мы рассмотрим некоторые из лучших инструментов Kali Linux, которые вы должны использовать.
Обратите внимание, что не все инструменты, упомянутые здесь, имеют открытый исходный код.
Лучшие инструменты Kali Linux для взлома и тестирования на проникновение
Существует несколько типов инструментов, которые предустановлены.
Если вы не нашли установленный инструмент, просто скачайте его и установите.
1. Nmap
Nmap или «Network Mapper» – один из самых популярных инструментов Kali Linux для сбора информации
Другими словами, чтобы получить представление о хосте, его IP-адресе, обнаружении ОС и аналогичных деталях сетевой безопасности (таких как количество открытых портов и их значения).
Он также предлагает функции для уклонения от брандмауэра и подмены.
2. Lynis
Lynis – это мощный инструмент для аудита безопасности, тестирования соответствия и защиты системы.
Конечно, вы также можете использовать его для обнаружения уязвимостей и тестирования на проникновение.
Он будет сканировать систему в соответствии с обнаруженными компонентами.
Например, если он обнаружит Apache – он запустит связанные с Apache тесты для получения информации о его слабых местах.
3. WPScan
WordPress – это одна из лучших CMS с открытым исходным кодом, и это будет лучший бесплатный инструмент аудита безопасности WordpPress.
Он бесплатный, но не с открытым исходным кодом.
Если вы хотите узнать, уязвим ли блог WordPress, WPScan – ваш лучший друг.
Кроме того, он также дает вам подробную информацию об активных плагинах.
Конечно, хорошо защищенный блог может не дать вам много подробностей о себе, но он все еще является лучшим инструментом для сканирования безопасности WordPress для поиска потенциальных уязвимостей.
4. Aircrack-ng
Aircrack-ng – это набор инструментов для оценки безопасности сети WiFi.
Он не ограничивается только мониторингом и получением информации, но также включает возможность взлома сети (WEP, WPA 1 и WPA 2).
Если вы забыли пароль своей собственной сети WiFi – вы можете попробовать использовать его для восстановления доступа.
Он также включает в себя различные беспроводные атаки, с помощью которых вы можете нацеливаться / отслеживать сеть WiFi для повышения ее безопасности.
5. Hydra
Если вы ищете интересный инструмент для взлома пары логин / пароль, Hydra будет одним из лучших предустановленных инструментов Kali Linux.
Возможно, она больше не поддерживается, но теперь она есть на GitHub, так что вы также можете внести свой вклад в его работу.
6. Wireshark
Wireshark – самый популярный сетевой анализатор, который поставляется с Kali Linux.
Его также можно отнести к категории лучших инструментов Kali Linux для анализа сети.
Он активно поддерживается, поэтому я определенно рекомендую попробовать его в работе.
7. Metasploit Framework
Metsploit Framework – наиболее часто используемая среда тестирования на проникновение.
Он предлагает две редакции – одна (с открытым исходным кодом), а вторая – профессиональная версия.
С помощью этого инструмента вы можете проверить уязвимости, протестировать известные эксплойты и выполнить полную оценку безопасности.
Конечно, бесплатная версия не будет иметь всех функций, поэтому, если вы увлечены серьезными вещами, вам следует сравнить выпуски.
8. Skipfish
Аналогично WPScan, но не только для WordPress.
Skipfish – это сканер веб-приложений, который даст вам представление практически о каждом типе веб-приложений.
Он быстрый и простой в использовании.
Кроме того, его метод рекурсивного сканирования делает его еще лучше.
Для профессиональных оценок безопасности веб-приложений пригодится отчет, созданный Skipfish.
9. Maltego
Maltego – это впечатляющий инструмент для анализа данных, позволяющий анализировать информацию в сети и соединять точки (если есть).
Согласно информации, он создает ориентированный граф, чтобы помочь проанализировать связь между этими частями данных.
Обратите внимание, что это не инструмент с открытым исходным кодом.
Он поставляется предварительно установленным, однако вам нужно будет зарегистрироваться, чтобы выбрать, какую версию вы хотите использовать.
Если вы хотите использовать его в личных целях, вам будет достаточно версии сообщества (вам просто нужно зарегистрировать учетную запись), но если вы хотите использовать ее в коммерческих целях, вам нужна подписка на классическую версию или версию XL.
10. Nessus
Если у вас есть компьютер, подключенный к сети, Nessus может помочь найти уязвимости, которыми может воспользоваться потенциальный злоумышленник.
Конечно, если вы являетесь администратором нескольких компьютеров, подключенных к сети, вы можете использовать его и защитить эти компьютеры.
Тем не менее, это больше не бесплатный инструмент, вы можете попробовать его бесплатно в течение 7 дней на официальном сайте.
11. Burp Suite Scanner
Burp Suite Scanner – это фантастический инструмент для анализа веб-безопасности.
В отличие от других сканеров безопасности веб-приложений, Burp предлагает графический интерфейс и довольно много продвинутых инструментов.
Тем не менее, редакция сообщества ограничивает возможности только некоторыми необходимыми ручными инструментами.
Для профессионалов, вам придется рассмотреть вопрос об обновлении.
Как и в предыдущем инструменте, он также не является открытым исходным кодом.
Я использовал бесплатную версию, но если вы хотите получить более подробную информацию о ней, вы должны проверить функции, доступные на их официальном сайте.
12. BeEF
BeEF (Browser Exploitation Framework) – еще один впечатляющий инструмент.
Он был специально разработан для тестировщиков на проникновение для оценки безопасности веб-браузера.
Это один из лучших инструментов Kali Linux, потому что многие пользователи хотят знать и исправлять проблемы на стороне клиента, когда говорят о веб-безопасности.