12 outils pour analyser les serveurs Linux à la recherche de failles de sécurité et de logiciels malveillants

Même si les systèmes basés sur Linux sont souvent considérés comme impénétrables, il existe toujours des risques qu'il convient de prendre au sérieux.

Les rootkits, les virus, les ransomwares et de nombreux autres programmes nuisibles peuvent souvent attaquer et causer des problèmes aux serveurs Linux.

Quel que soit le système d'exploitation, il est indispensable de prendre des mesures de sécurité pour les serveurs. Les grandes marques et organisations ont pris en main les mesures de sécurité et développé des outils qui non seulement détectent les failles et les logiciels malveillants, mais les corrigent également et prennent des mesures préventives.

Heureusement, il existe des outils disponibles à bas prix ou gratuitement qui peuvent vous aider dans ce processus. Ils peuvent détecter des failles dans différentes sections d'un serveur basé sur Linux.

Lynis

Lynis est un outil de sécurité réputé et l'option préférée des experts en Linux. Il fonctionne également sur les systèmes basés sur Unix et macOS. Il s'agit d'un logiciel libre utilisé depuis 2007 sous licence GPL.

Lynis est capable de détecter les failles de sécurité et les défauts de configuration. Mais il va plus loin : au lieu de se contenter d'exposer les vulnérabilités, il propose des actions correctives. C'est pourquoi, pour obtenir des rapports d'audit détaillés, il est nécessaire de l'exécuter sur le système hôte.

L'installation n'est pas nécessaire pour utiliser Lynis. Vous pouvez l'extraire d'un paquet téléchargé ou d'une archive et l'exécuter. Vous pouvez également l'obtenir à partir d'un clone Git pour avoir accès à la documentation complète et au code source.

Lynis a été créé par l'auteur original de Rkhunter, Michael Boelen. Il propose deux types de services basés sur les particuliers et les entreprises. Dans les deux cas, ses performances sont remarquables.

Chkrootkit

Comme vous l'avez peut-être déjà deviné, le chkrootkit est un outil permettant de vérifier l'existence de rootkits. Les rootkits sont un type de logiciel malveillant qui peut donner accès au serveur à un utilisateur non autorisé. Si vous utilisez un serveur basé sur Linux, les rootkits peuvent poser problème.

chkrootkit est l'un des programmes Unix les plus utilisés pour détecter les rootkits. Il utilise "strings" et "grep" (commandes d'outils Linux) pour détecter les problèmes.

Il peut être utilisé à partir d'un répertoire alternatif ou d'un disque de secours, au cas où vous souhaiteriez qu'il vérifie un système déjà compromis. Les différents composants de Chkrootkit se chargent de rechercher les entrées supprimées dans les fichiers "wtmp" et "lastlog", de trouver les enregistrements des renifleurs ou les fichiers de configuration des rootkits, et de vérifier les entrées cachées dans "/proc" ou les appels au programme "readdir".

Pour utiliser chkrootkit, vous devez obtenir la dernière version sur un serveur, extraire les fichiers sources, les compiler, et vous êtes prêt à partir.

Rkhunter

Le développeur Micheal Boelen est à l'origine de Rkhunter (Rootkit Hunter) en 2003. Il s'agit d'un outil adapté aux systèmes POSIX qui peut aider à détecter les rootkits et autres vulnérabilités. Rkhunter examine minutieusement les fichiers (cachés ou visibles), les répertoires par défaut, les modules du noyau et les autorisations mal configurées.

Après une vérification de routine, il les compare aux enregistrements sûrs et appropriés des bases de données et recherche les programmes suspects. Comme le programme est écrit en Bash, il peut fonctionner non seulement sur les machines Linux, mais aussi sur pratiquement toutes les versions d'Unix.

ClamAV

Écrit en C, ClamAV est un antivirus open-source qui peut aider à la détection de virus, de chevaux de Troie et de nombreux autres types de logiciels malveillants. Il s'agit d'un outil entièrement gratuit ; c'est pourquoi de nombreuses personnes l'utilisent pour analyser leurs données personnelles, y compris leurs courriels, à la recherche de fichiers malveillants. Il sert également de scanner côté serveur.

L'outil a été initialement développé spécialement pour Unix. Il existe néanmoins des versions tierces qui peuvent être utilisées sur Linux, BSD, AIX, macOS, OSF, OpenVMS et Solaris. Clam AV met à jour automatiquement et régulièrement sa base de données afin de pouvoir détecter les menaces les plus récentes. Il permet l'analyse en ligne de commande et dispose d'un démon évolutif multithread pour améliorer sa vitesse d'analyse.

Il peut analyser différents types de fichiers pour détecter les vulnérabilités. Il prend en charge tous les types de fichiers compressés, notamment RAR, Zip, Gzip, Tar, Cabinet, OLE2, CHM, le format SIS, BinHex et presque tous les types de systèmes de messagerie électronique.

LMD

Détection de logiciels malveillants sous Linux - ou LMD, en abrégé - est un autre antivirus réputé pour les systèmes Linux, spécialement conçu pour les menaces que l'on trouve habituellement dans les environnements hébergés. Comme beaucoup d'autres outils capables de détecter les logiciels malveillants et les rootkits, LMD utilise une base de données de signatures pour trouver tout code malveillant en cours d'exécution et y mettre fin rapidement.

LMD ne se limite pas à sa propre base de signatures. Il peut exploiter les bases de données de ClamAV et de Team Cymru pour trouver encore plus de virus. Pour alimenter sa base de données, LMD capture des données sur les menaces à partir des systèmes de détection d'intrusion en périphérie de réseau. Il est ainsi capable de générer de nouvelles signatures pour les logiciels malveillants activement utilisés dans les attaques.

LMD peut être utilisé à l'aide de la ligne de commande "maldet". L'outil est spécialement conçu pour les plateformes Linux et peut facilement effectuer des recherches sur les serveurs Linux.

Radare2

Radare2 (R2) est un cadre d'analyse des binaires et de rétro-ingénierie doté d'excellentes capacités de détection. Il peut détecter des binaires malformés, donner à l'utilisateur les outils pour les gérer et neutraliser les menaces potentielles. Il utilise sdb, une base de données NoSQL. Les chercheurs en sécurité logicielle et les développeurs de logiciels préfèrent cet outil pour son excellente capacité de présentation des données.

L'une des caractéristiques exceptionnelles de Radare2 est que l'utilisateur n'est pas obligé d'utiliser la ligne de commande pour accomplir des tâches telles que l'analyse statique/dynamique et l'exploitation de logiciels. Il est recommandé pour tout type de recherche sur les données binaires.

OpenVAS

Système ouvert d'évaluation de la vulnérabilité, ou OpenVAS, est un système hébergé permettant d'analyser les vulnérabilités et de les gérer. Il est conçu pour les entreprises de toutes tailles et les aide à détecter les problèmes de sécurité cachés dans leurs infrastructures. À l'origine, le produit était connu sous le nom de GNessUs, jusqu'à ce que son propriétaire actuel, Greenbone Networks, change son nom en OpenVAS.

Depuis la version 4.0, OpenVAS permet une mise à jour continue - généralement dans des périodes de moins de 24 heures - de sa base Network Vulnerability Testing (NVT). En juin 2016, il comptait plus de 47 000 NVT.

Les experts en sécurité utilisent OpenVAS en raison de sa capacité à analyser rapidement. Il se caractérise également par une excellente configurabilité. Les programmes OpenVAS peuvent être utilisés à partir d'une machine virtuelle autonome pour effectuer des recherches sûres sur les logiciels malveillants.

Son code source est disponible sous licence GNU GPL. De nombreux autres outils de détection des vulnérabilités dépendent d'OpenVAS - c'est pourquoi il est considéré comme un programme essentiel dans les plates-formes basées sur Linux.

REMnux

REMnux utilise des méthodes de rétro-ingénierie pour analyser les logiciels malveillants. Il peut détecter de nombreux problèmes liés aux navigateurs, cachés dans des extraits de code JavaScript obfusqués et des applets Flash. Il est également capable d'analyser des fichiers PDF et d'effectuer des analyses de la mémoire. Cet outil permet de détecter des programmes malveillants dans des dossiers et des fichiers qui ne peuvent pas être analysés facilement avec d'autres programmes de détection de virus.

Il est efficace grâce à ses capacités de décodage et de rétro-ingénierie. Il peut déterminer les propriétés des programmes suspects et, en raison de sa légèreté, il est pratiquement indétectable par les programmes malveillants intelligents. Il peut être utilisé sous Linux et Windows, et ses fonctionnalités peuvent être améliorées avec l'aide d'autres outils d'analyse.

Le tigre

En 1992, l'université Texas A&M a commencé à travailler sur Tigre afin d'améliorer la sécurité des ordinateurs du campus. Aujourd'hui, il s'agit d'un programme populaire pour les plateformes de type Unix. La particularité de cet outil est qu'il ne s'agit pas seulement d'un outil d'audit de sécurité, mais aussi d'un système de détection d'intrusion.

L'outil est libre d'utilisation sous licence GPL. Il est dépendant des outils POSIX, et ensemble ils peuvent créer un cadre parfait qui peut augmenter la sécurité de votre serveur de manière significative. Tiger est entièrement écrit en langage shell - c'est l'une des raisons de son efficacité. Il convient pour vérifier l'état et la configuration du système, et son utilisation polyvalente le rend très populaire parmi les personnes qui utilisent des outils POSIX.

Maltrail

Maltrail est un système de détection de trafic capable de maintenir le trafic de votre serveur propre et de l'aider à éviter tout type de menace malveillante. Il effectue cette tâche en comparant les sources de trafic avec des sites figurant sur une liste noire publiée en ligne.

Outre la vérification des sites figurant sur la liste noire, il utilise également des mécanismes heuristiques avancés pour détecter différents types de menaces. Bien qu'il s'agisse d'une fonction facultative, elle s'avère très utile lorsque vous pensez que votre serveur a déjà été attaqué.

Il dispose d'un capteur capable de détecter le trafic qu'un serveur reçoit et d'envoyer les informations au serveur Maltrail. Le système de détection vérifie si le trafic est suffisant pour permettre l'échange de données entre un serveur et la source.

YARA

Conçu pour Linux, Windows et macOS, YARA (Yet Another Ridiculous Acronym) est l'un des outils les plus essentiels utilisés pour la recherche et la détection de programmes malveillants. Il utilise des modèles textuels ou binaires pour simplifier et accélérer le processus de détection, ce qui rend la tâche rapide et facile.

YARA possède quelques fonctionnalités supplémentaires, mais vous avez besoin de la bibliothèque OpenSSL pour les utiliser. Même si vous ne disposez pas de cette bibliothèque, vous pouvez utiliser YARA pour la recherche de logiciels malveillants de base grâce à un moteur basé sur des règles. Il peut également être utilisé dans le Cuckoo Sandbox, un bac à sable basé sur Python, idéal pour effectuer des recherches en toute sécurité sur les logiciels malveillants.

Vuls

Vuls est un scanner de vulnérabilité open-source avancé conçu spécifiquement pour les systèmes Linux et FreeBSD. Il s'agit d'un scanner sans agent, ce qui signifie qu'il ne nécessite aucune installation de logiciel sur les machines cibles. Il peut être déployé sur des plateformes cloud, des systèmes sur site, ainsi que sur des conteneurs Docker.

Vuls utilise plusieurs bases de données de vulnérabilités telles que NVD, OVAL, FreeBSD-SA et Changelog pour effectuer des analyses de haute qualité. Le plus intéressant est qu'il peut même détecter des vulnérabilités pour lesquelles les correctifs n'ont pas encore été publiés par les distributeurs.

Il prend en charge les modes d'analyse locale et distante. En mode d'analyse à distance, vous configurez un serveur Vuls central qui se connecte aux serveurs cibles via SSH. Toutefois, si vous préférez ne pas établir de connexions SSH à partir du serveur central, vous pouvez utiliser Vuls en mode d'analyse locale.

Vuls peut également détecter des vulnérabilités dans des paquets ne faisant pas partie du système d'exploitation. Cela inclut les paquets que vous avez compilés vous-même, les bibliothèques de langage, les frameworks, etc., pour autant qu'ils aient été enregistrés dans le Common Platform Enumeration (CPE).

Il dispose d'un tuteur qui peut vous aider à commencer à utiliser l'outil et prend également en charge les notifications par e-mail et Slack, de sorte que vous pouvez recevoir des alertes sur les résultats de l'analyse ou d'autres informations.

Comment choisir le meilleur outil ?

Tous les outils mentionnés ci-dessus fonctionnent très bien, et lorsqu'un outil est populaire dans les environnements Linux, vous pouvez être sûr que des milliers d'utilisateurs expérimentés l'utilisent. Une chose que les administrateurs système doivent garder à l'esprit est que chaque application dépend généralement d'autres programmes. C'est par exemple le cas de ClamAV et d'OpenVAS.

Vous devez comprendre ce dont votre système a besoin et dans quels domaines il peut présenter des vulnérabilités. Tout d'abord, utilisez un outil léger pour rechercher la section qui nécessite une attention particulière. Utilisez ensuite l'outil approprié pour résoudre le problème.