Kötü Amaçlı Yazılımlar Virüsler ve Rootkitler için CentOS u tarayın

Yeterince güncellenen bir yapılandırma dosyası ve düzenli olarak güncellenen sistem, sunucunuza ekstra bir koruma katmanı sağlar. Ancak sisteminizi kötü amaçlı yazılımlara, virüslere ve rootkit’lere karşı sık sık taramanız önemlidir. Düzenli tarama, sunucunuzun kötü amaçlı yazılım, virüs ve rootkit’lerden temiz olduğundan emin olmanıza yardımcı olur. Bu eğitimde, CentOS Sunucusunu Kötü Amaçlı Yazılımlar, Virüsler ve Rootkit’ler için Taramak için farklı araçları kontrol edebiliriz.

Farklı araçlar, CentOS sisteminizi taramanıza yardımcı olur ve bunlardan bazıları şunlardır:

  • ClamAV
  • Rhuter
  • chkrootkit
  • ISPProtect ve daha fazlası

Önce ClamAV ile başlayalım.

1) C lamAV

ClamAV, ücretsiz ve çok yönlü açık kaynaklı bir antivirüs motorudur. Bu tarama motoru, Linux dağıtımlarının çoğunda mevcuttur.

ClamAV’ı CentOS’a kurmak için aşağıdaki komutu sudo kullanıcısı olarak çalıştırın.

$ sudo yum clamav yükle clamav-güncelleme clamav-server-systemd clamav-scanner-systemd

Kurulumdan sonra, aşağıdaki sed komutlarını kullanarak örnek metni yorumlayarak iki yapılandırma dosyasını düzenleyin.

$ sudo sed -i -e “s/^Örnek/#Örnek/” /etc/freshclam.conf

$ sudo sed -i -e “s/^Örnek/#Örnek/” /etc/clamd.d/scan.conf

Ardından, aşağıdaki güncelleyici uygulamasını çalıştırarak ClamAV için virüs veritabanını güncelleyin.

$ sudo taze istiridye

Virüs veritabanını güncelledikten sonra aşağıdaki komutu kullanarak bir dizinde tarama yapabilirsiniz.

$ sudo clamscan -r -i <Directory_name>

Yukarıdaki komutta <Directory_name> etiketi taranacak konumdur. Örneğin, taramayı /xyz dizininde çalıştırmak için aşağıdaki komutu çalıştırın.

$ sudo clamscan -r -r /xyz

Sunucunuzda tam bir tarama yapmak için aşağıdaki komutu çalıştırın.

$ sudo clamscan –infected –recursive –exclude-dir=”^/sys” /

/sys dizinini tararsanız, istenmeyen uyarı çıktıları verir. Bu nedenle, yukarıdaki komut, bu tür uyarı çıktılarını önlemek için /sys dizinindeki taramayı hariç tutar.

2) Rkhunter

Rkhunter, sisteminizi rootkit’lere ve genel güvenlik açıklarına karşı taramak için en iyi ve standart seçeneklerden biridir. Rootkit avına, güvenlik izlemesine ve gizli güvenlik açıklarını tespit etmeye yardımcı olabilecek açık kaynaklı, güçlü ve ücretsiz bir tarama aracıdır. Rkhunter, Rookhit Hunter veya RKH olarak da bilinir.

Rkhunter’ı CentOS’a kurmak için aşağıdaki komutu sudo ayrıcalığı ile çalıştırın.

$ sudo yum rkhunter’ı yükle

Kurulumdan sonra aşağıdaki komutu çalıştırarak dosya özellikleri veritabanını güncelleyin.

$ sudo rkhunter –propupd

Bu yukarıdaki komut, tarayıcının belirli dosyaların mevcut durumu hakkında bilgi sahibi olmasını sağlar. Bu işlem, tarama sırasında yanlış alarmların önlenmesine yardımcı olur.

Dosya özelliklerini güncelledikten sonra, herhangi bir güvenlik açığını veya rootkit’i algılamak için CentOS’u taramak için aşağıdaki komutu çalıştırın.

$ sudo rkhunter –checkall

Bu tarayıcı, gerçek rootkit’leri, kötü amaçlı yazılımları ve güvenlik açıklarını kontrol etmek için sistem komutları, ağ ayarları, yerel ana bilgisayar ayarları ve dosyalar üzerinden çalışır. Taramanın bulguları bir günlük dosyasına kaydedilir.

Tarama günlüğüne yoğun bir bakış için aşağıdaki komutu çalıştırın.

$ sudo cat /var/log/rkhunter/rkhunter.log | grep -i uyarısı

3) Chkrootkit

Chkrootkit, sunucunuzdaki rootkit’leri algılamak için kullanılan standart bir güvenlik tarayıcısıdır. Rootkit, bilginiz olmadan sunucunuzun kontrolünü ele geçirebilen kötü amaçlı bir program veya dosyadır. CentOS veri havuzu paketinde bu araç yoktur, bu nedenle en son sürümü indirip yapılandırmamız gerekiyor.

Chkrootkit’in bir C programı olduğundan, C, C++ derleyicisini ve glibc-static paketini kurmanız gerekir. GCC ve statik paketi kurmak için aşağıdaki komutları çalıştırın.

# sudo yum güncellemesi

# sudo yum wget gcc-c++ glibc-static yükleme

Chkrootkit’in en son sürümünü web sitelerinden indirin.

# sudo wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

Ardından, Chkrootkit ile ilişkili md5 karma dosyasını indirin. Bu karma dosya, Chkrootkit’in değiştirilmiş veya bozulmuş olup olmadığını doğrulamaya yardımcı olur. md5 karma dosyasını indirmek için aşağıdaki komutları çalıştırın ve Chkrootkit kurulumunu doğrulayın.

$ sudo wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.md5

$ sudo md5sum -c chkrootkit.md5

Chkrootkit bozuk veya değiştirilmiş değilse yukarıdaki komut bir OK mesajı vermelidir.

chkrootkit.tar.gz: Tamam

Şimdi, aşağıdaki komut paketini kullanarak Chkrootkit’i çıkarın ve kurun.

$ sudo tar -xzf chkrootkit.tar.gz

$ sudo mkdir /usr/local/chkrootkit

$ sudo mv chkrootkit-0.52/* /usr/local/chkrootkit

$ sudo cd /usr/yerel/chkrootkit

$ sudo mantıklı

CentOS’u Chkrootkit ile taramak için aşağıdaki komutu çalıştırın.

$ sudo chkrootkit

 veya

# /usr/local/chkrootkit/chkrootkit

Otomatik sunucu taramasını etkinleştirmek istiyorsanız, “/etc/cron.daily/chkrootkit.sh” dosyasına aşağıdaki cron girişlerini ekleyin.

#!/bin/sh

(

/usr/local/chkrootkit/chkrootkit

) | /bin/mail -s ‘CHKROOTKIT Günlük Çalıştırma < Sunucu_Adı >’ your_emailID@email.com

Chkrootkit taramasını bir e-posta sunucusunda çalıştırıyorsanız, aşağıdaki yanlış pozitif raporu alma olasılığı vardır. Yanlışlıkla belirtilen bağlantı noktası, e-posta sisteminizin Güvenli SMTP bağlantı noktası olduğundan, bu yanlış pozitif raporu yok sayabilirsiniz.

“Bindshell” kontrol ediliyor… BULAŞILMIŞ (PORTS: 465)

4) ISP Koruması

ISPProtect aracı, Joomla, WordPress, Drupal gibi web sitesi dosyalarını ve CMS sistemlerini taramaya yardımcı olur. Bir web barındırma sunucusunda barındırılan bir web sitesi, saldırılara en açık olanıdır. Bu nedenle, düzenli akıl sağlığı kontrolleri yapılması önerilir. ISPProtect, web sitenizdeki kötü amaçlı yazılımları taramaya yardımcı olan 5 motor içerir. ISPProtect ücretli bir yazılımdır, ancak sunucunuzdaki kötü amaçlı yazılımı kontrol etmek ve temizlemek için kayıt olmadan ücretsiz deneme sürümünü kullanabilirsiniz. ISPProtect’i çalıştırmak için sunucuda PHP ve ClamAV kurulu olmalıdır.

ISPProtect’i CentOS’a kurmak için aşağıdaki komut paketini çalıştırın.

# mkdir -p /usr/local/ispprotect

# chown -R root:root /usr/local/ispprotect

# chmod -R 750 /usr/local/ispprotect

# cd /usr/local/ispprotect

# wget   http://www.ispprotect.com/download/ispp_scan.tar.gz

# tar -xzf ispp_scan.tar.gz

# rm -f ispp_scan.tar.gz

# ln -s /usr/local/ispprotect/ispp_scan /usr/local/bin/ispp_scan

Ardından, ISPProtect’i başlatmak için aşağıdaki komutu çalıştırın.

# ispp_scan

Yukarıdaki komut, güncellemeleri kontrol eder ve lisans anahtarı ister. ISPProtect yazılımının ücretsiz deneme sürümünü kullanıyorsanız, anahtarı ‘deneme’ olarak verebilirsiniz. Bundan sonra, ‘/var/www’ web sitesi yolundan bahsedin.

Anahtarı ve tarama yolunu doldurduktan sonra tarayıcı taramayı başlatır. Taramanın sonunda, virüslü dosya ayrıntıları ekranda görüntülenir. Ayrıca rapor, gelecekte başvurmak üzere ISPProtect dizinindeki bir dosyada saklanır.

ISPProtect yazılımını güncellemek için aşağıdaki komutu çalıştırın.

# ispp_scan — güncelleme

ISPProtect taramasını her gün saat 2’de otomatik olarak çalıştırmak istiyorsanız, nano ile oluşturulan cron dosyasına aşağıdaki satırları ekleyin.

# nano /etc/cron.d/ispprotect

0 2 * * * root /usr/local/ispprotect/ispp_scan –update && /usr/local/ispprotect/ispp_scan –path=/var/www –email-results=<Your_emailID> –interaktif olmayan — tarama anahtarı=<Lisans_anahtar>

ISPProtect’in tüm seçeneklerini görmek istiyorsanız aşağıdaki komutu çalıştırın.

# ispp_scan –help

Çözüm

Böylece, CentOS sunucunuzu Kötü Amaçlı Yazılımlar, Virüsler ve Rootkit’ler için bu şekilde tarayabilirsiniz. Sistemin güvenliği herhangi bir şirketin önceliği olmalıdır. Bu öğreticiyi takip ederken herhangi bir sorunla karşılaşırsanız, lütfen aşağıda verilen yorum bölümünde bize bildirin.