12 Tools zum Scannen von Linux-Servern auf Sicherheitslücken und Malware

Auch wenn Linux-basierte Systeme oft als unangreifbar gelten, gibt es dennoch Risiken, die ernst genommen werden müssen.

Rootkits, Viren, Ransomware und viele andere schädliche Programme können Linux-Server oft angreifen und Probleme verursachen.

Unabhängig vom Betriebssystem ist es ein Muss, Sicherheitsmaßnahmen für Server zu ergreifen. Große Marken und Unternehmen haben Sicherheitsmaßnahmen in die Hand genommen und Tools entwickelt, die nicht nur Fehler und Malware aufspüren, sondern diese auch korrigieren und vorbeugende Maßnahmen ergreifen.

Glücklicherweise gibt es preisgünstige oder kostenlose Tools, die bei diesem Prozess helfen können. Sie können Schwachstellen in verschiedenen Bereichen eines Linux-basierte Server aufspüren.

Lynis

Lynis ist ein renommiertes Sicherheitstool und eine bevorzugte Option für Linux-Experten. Es funktioniert auch auf Systemen, die auf Unix und macOS basieren. Es handelt sich um eine Open-Source-Software, die seit 2007 unter einer GPL-Lizenz verwendet wird.

Lynis ist in der Lage, Sicherheitslücken und Konfigurationsfehler zu erkennen. Aber es geht noch weiter: Anstatt die Schwachstellen nur aufzudecken, schlägt es Korrekturmaßnahmen vor. Um detaillierte Prüfberichte zu erhalten, müssen Sie Lynis auf dem Host-System ausführen.

Eine Installation ist für die Verwendung von Lynis nicht erforderlich. Sie können es aus einem heruntergeladenen Paket oder einem Tarball extrahieren und ausführen. Sie können es auch von einem Git-Klon beziehen, um Zugriff auf die vollständige Dokumentation und den Quellcode zu erhalten.

Lynis wurde von dem ursprünglichen Autor von Rkhunter, Michael Boelen, entwickelt. Es verfügt über zwei Arten von Diensten, die sich an Privatpersonen und Unternehmen richten. In beiden Fällen bietet es eine hervorragende Leistung.

Chkrootkit

Wie Sie vielleicht schon erraten haben, ist das chkrootkit ein Tool zur Überprüfung auf die Existenz von Rootkits. Rootkits sind eine Art von Schadsoftware, die einem nicht autorisierten Benutzer Zugriff auf den Server geben kann. Wenn Sie einen Linux-basierten Server betreiben, können Rootkits ein Problem darstellen.

chkrootkit ist eines der am häufigsten verwendeten Unix-basierten Programme, das Rootkits aufspüren kann. Es verwendet 'strings' und 'grep' (Linux-Tool-Befehle), um Probleme zu erkennen.

Es kann entweder von einem alternativen Verzeichnis oder von einer Rettungsdiskette aus verwendet werden, falls Sie ein bereits kompromittiertes System überprüfen möchten. Die verschiedenen Komponenten von Chkrootkit kümmern sich um die Suche nach gelöschten Einträgen in den Dateien "wtmp" und "lastlog", das Auffinden von Sniffer-Einträgen oder Rootkit-Konfigurationsdateien und die Überprüfung auf versteckte Einträge in "/proc" oder Aufrufe des Programms "readdir".

Um chkrootkit zu verwenden, sollten Sie sich die neueste Version von einem Server holen, die Quelldateien extrahieren, kompilieren und schon können Sie loslegen.

Rkhunter

Der Entwickler Micheal Boelen hat 2003 Rkhunter (Rootkit Hunter) entwickelt. Es ist ein geeignetes Tool für POSIX-Systeme und kann bei der Erkennung von Rootkits und anderen Sicherheitslücken helfen. Rkhunter durchforstet Dateien (versteckte oder sichtbare), Standardverzeichnisse, Kernelmodule und falsch konfigurierte Berechtigungen gründlich.

Nach einer routinemäßigen Überprüfung vergleicht es diese mit den sicheren und ordnungsgemäßen Datensätzen von Datenbanken und sucht nach verdächtigen Programmen. Da das Programm in Bash geschrieben ist, kann es nicht nur auf Linux-Rechnern, sondern auch auf praktisch jeder Unix-Version ausgeführt werden.

ClamAV

ClamAV ist ein in C geschriebenes Open-Source-Antivirenprogramm, das bei der Erkennung von Viren, Trojanern und vielen anderen Arten von Malware helfen kann. Es handelt sich um ein völlig kostenloses Tool, weshalb viele Benutzer es nutzen, um ihre persönlichen Daten, einschließlich E-Mails, auf bösartige Dateien zu überprüfen. Es dient auch in erheblichem Maße als serverseitiger Scanner.

Das Tool wurde ursprünglich speziell für Unix entwickelt. Es gibt jedoch auch Versionen von Drittanbietern, die unter Linux, BSD, AIX, macOS, OSF, OpenVMS und Solaris verwendet werden können. Clam AV aktualisiert seine Datenbank automatisch und regelmäßig, um auch die neuesten Bedrohungen zu erkennen. Es ermöglicht das Scannen über die Befehlszeile und verfügt über einen skalierbaren Multi-Thread-Dämon, um die Scangeschwindigkeit zu erhöhen.

Es kann verschiedene Arten von Dateien durchsuchen, um Schwachstellen zu erkennen. Es unterstützt alle Arten von komprimierten Dateien, einschließlich RAR, Zip, Gzip, Tar, Cabinet, OLE2, CHM, SIS-Format, BinHex und fast alle Arten von E-Mail-Systemen.

LMD

Linux Malware erkennen - oder kurz LMD - ist ein weiteres renommiertes Antivirenprogramm für Linux-Systeme, das speziell für die Bedrohungen entwickelt wurde, die normalerweise in gehosteten Umgebungen auftreten. Wie viele andere Tools, die Malware und Rootkits aufspüren können, verwendet LMD eine Signaturdatenbank, um jeden bösartigen laufenden Code zu finden und ihn schnell zu beenden.

LMD beschränkt sich nicht auf seine eigene Signaturdatenbank. Er kann die Datenbanken von ClamAV und Team Cymru nutzen, um noch mehr Viren zu finden. Um seine Datenbank aufzufüllen, sammelt LMD Bedrohungsdaten von Intrusion Detection Systemen am Netzwerkrand. Auf diese Weise ist es in der Lage, neue Signaturen für Malware zu erstellen, die aktiv für Angriffe verwendet wird.

LMD kann über die Befehlszeile "maldet" verwendet werden. Das Tool wurde speziell für Linux-Plattformen entwickelt und kann problemlos Linux-Server durchsuchen.

Radare2

Radare2 (R2) ist ein Framework zur Analyse von Binärdateien und zum Reverse Engineering mit hervorragenden Erkennungsfähigkeiten. Es kann missgebildete Binärdateien aufspüren und dem Benutzer die Werkzeuge an die Hand geben, um sie zu verwalten und potenzielle Bedrohungen zu neutralisieren. Es verwendet sdb, eine NoSQL-Datenbank. Software-Sicherheitsforscher und Software-Entwickler bevorzugen dieses Tool wegen seiner hervorragenden Fähigkeit, Daten zu präsentieren.

Eine der herausragenden Eigenschaften von Radare2 ist, dass der Benutzer nicht gezwungen ist, die Kommandozeile zu verwenden, um Aufgaben wie statische/dynamische Analyse und Software-Exploitation zu erledigen. Es wird für jede Art von Forschung an Binärdaten empfohlen.

OpenVAS

Open Vulnerability Assessment System, oder OpenVAS, ist ein gehostetes System zum Scannen von Schwachstellen und deren Verwaltung. Es wurde für Unternehmen jeder Größe entwickelt und hilft ihnen, in ihrer Infrastrukturen verborgene Sicherheitsprobleme zu erkennen. Ursprünglich war das Produkt unter dem Namen GNessUs bekannt, bis sein derzeitiger Eigentümer, Greenbone Networks, den Namen in OpenVAS änderte.

Seit Version 4.0 ermöglicht OpenVAS die kontinuierliche Aktualisierung seiner Network Vulnerability Testing (NVT)-Basis - in der Regel in Zeiträumen von weniger als 24 Stunden. Im Juni 2016 erfasste sie mehr als 47.000 NVTs.

Sicherheitsexperten verwenden OpenVAS wegen seiner Fähigkeit, schnell zu scannen. Außerdem bietet es eine hervorragende Konfigurierbarkeit. OpenVAS-Programme können von einer eigenständigen virtuellen Maschine aus für die sichere Erforschung von Malware verwendet werden.

Sein Quellcode ist unter einer GNU GPL-Lizenz verfügbar. Viele andere Tools zur Erkennung von Schwachstellen hängen von OpenVAS ab, weshalb es als unverzichtbares Programm für Linux-basierte Plattformen angesehen wird.

REMnux

REMnux verwendet Reverse-Engineering-Methoden für die Analyse von Malware. Es kann viele browserbasierte Probleme aufspüren, die sich in JavaScript-verschleierten Codeschnipseln und Flash-Applets verstecken. Es ist auch in der Lage, PDF-Dateien zu scannen und Speicherforensik durchzuführen. Das Tool hilft bei der Erkennung von bösartigen Programmen in Ordnern und Dateien, die mit anderen Virenerkennungsprogrammen nicht so einfach gescannt werden können.

Es ist dank seiner Decodierungs- und Reverse-Engineering-Fähigkeiten sehr effektiv. Es kann die Eigenschaften verdächtiger Programme bestimmen und ist, da es leichtgewichtig ist, von intelligenten Schadprogrammen kaum zu erkennen. Es kann sowohl unter Linux als auch unter Windows eingesetzt werden, und seine Funktionalität kann mit Hilfe anderer Scan-Tools verbessert werden.

Tiger

1992 begann die Texas A&M University mit der Arbeit an Tiger, um die Sicherheit ihres Computers auf dem Campus zu erhöhen. Heute ist es ein beliebtes Programm für Unix-ähnliche Plattformen. Das Besondere an diesem Tool ist, dass es nicht nur ein Sicherheitsaudit-Tool ist, sondern auch ein System zur Erkennung von Eindringlingen.

Das Tool kann unter einer GPL-Lizenz kostenlos verwendet werden. Es ist von POSIX-Tools abhängig, und zusammen bilden sie ein perfektes Framework, das die Sicherheit Ihres Servers deutlich erhöhen kann. Tiger ist vollständig in der Shell-Sprache geschrieben - das ist einer der Gründe für seine Effektivität. Es eignet sich zur Überprüfung von Systemstatus und -konfiguration und ist aufgrund seiner Vielseitigkeit bei den Anwendern von POSIX-Tools sehr beliebt.

Maltrail

Maltrail ist ein System zur Erkennung von Datenverkehr, das in der Lage ist, den Datenverkehr Ihres Servers sauber zu halten und ihm zu helfen, jede Art von bösartigen Bedrohungen zu vermeiden. Es erfüllt diese Aufgabe, indem es die Quellen des Datenverkehrs mit online veröffentlichten schwarzen Listen vergleicht.

Neben der Suche nach Websites auf der schwarzen Liste verwendet es auch fortschrittliche heuristische Mechanismen zur Erkennung verschiedener Arten von Bedrohungen. Obwohl es sich um eine optionale Funktion handelt, ist sie sehr nützlich, wenn Sie glauben, dass Ihr Server bereits angegriffen wurde.

Es verfügt über einen Sensor, der den Datenverkehr auf einem Server erkennt und die Informationen an den Maltrail-Server sendet. Das Erkennungssystem überprüft, ob der Datenverkehr gut genug ist, um Daten zwischen einem Server und der Quelle auszutauschen.

YARA

YARA (Yet Another Ridiculous Acronym) wurde für Linux, Windows und macOS entwickelt und ist eines der wichtigsten Tools für die Untersuchung und Erkennung von Schadprogrammen. Es verwendet Text- oder Binärmuster, um den Erkennungsprozess zu vereinfachen und zu beschleunigen, was zu einer schnellen und einfachen Aufgabe führt.

YARA verfügt über einige zusätzliche Funktionen, für deren Nutzung Sie jedoch die OpenSSL-Bibliothek benötigen. Auch wenn Sie diese Bibliothek nicht haben, können Sie YARA über eine regelbasierte Engine für die grundlegende Malware-Recherche verwenden. Es kann auch in der Cuckoo Sandbox verwendet werden, einer Python-basierten Sandbox, die sich ideal für die sichere Erforschung von Schadsoftware eignet.

Vuls

Vuls ist ein fortschrittlicher Open-Source-Scanner für Sicherheitslücken, der speziell für Linux- und FreeBSD-Systeme entwickelt wurde. Es handelt sich um einen agentenlosen Scanner, d.h. es muss keine Software auf den Zielrechnern installiert werden. Er kann auf Cloud-Plattformen, vor Ort befindlichen Systemen und auch auf Docker-Containern eingesetzt werden.

Vuls verwendet mehrere Schwachstellen-Datenbanken wie NVD, OVAL, FreeBSD-SA und Changelog, um hochwertige Scans durchzuführen. Das Beste daran ist, dass es sogar Sicherheitslücken aufspüren kann, für die noch keine Patches von den Distributoren veröffentlicht wurden.

Das Programm unterstützt sowohl den Remote- als auch den lokalen Scan-Modus. Im Remote-Scan-Modus richten Sie einen zentralen Vuls-Server ein, der sich über SSH mit den Zielservern verbindet. Wenn Sie es jedoch vorziehen, keine SSH-Verbindungen vom zentralen Server aus herzustellen, können Sie Vuls im lokalen Scan-Modus verwenden.

Vuls kann auch Sicherheitslücken in Paketen aufspüren, die nicht zum Betriebssystem gehören. Dazu gehören von Ihnen selbst kompilierte Pakete, Sprachbibliotheken, Frameworks usw., sofern sie in der Common Platform Enumeration (CPE) registriert wurden.

Es verfügt über ein Tutorial, das Ihnen den Einstieg in die Nutzung des Tools erleichtert, und unterstützt außerdem E-Mail- und Slack-Benachrichtigungen, so dass Sie über Scan-Ergebnisse oder andere Informationen informiert werden können.

Wie wähle ich das beste Tool?

Alle oben genannten Tools funktionieren sehr gut, und wenn ein Tool in Linux-Umgebungen beliebt ist, können Sie ziemlich sicher sein, dass es von Tausenden von erfahrenen Benutzern verwendet wird. Eine Sache, die Systemadministratoren bedenken sollten, ist, dass jede Anwendung normalerweise von anderen Programmen abhängig ist. Das ist zum Beispiel bei ClamAV und OpenVAS der Fall.

Sie müssen verstehen, was Ihr System braucht und in welchen Bereichen es Schwachstellen haben kann. Verwenden Sie zunächst ein leichtes Tool, um herauszufinden, welcher Bereich Aufmerksamkeit benötigt. Dann verwenden Sie das richtige Tool, um das Problem zu lösen.