Kötü Amaçlı Yazılımlar Virüsler ve Rootkit’ler için CentOS’u tarayın
Yeterince güncellenen bir yapılandırma dosyası ve düzenli olarak güncellenen sistem, sunucunuza ekstra bir koruma katmanı sağlar. Ancak sisteminizi kötü amaçlı yazılımlara, virüslere ve rootkit’lere karşı sık sık taramanız önemlidir. Düzenli tarama, sunucunuzun kötü amaçlı yazılım, virüs ve rootkit’lerden temiz olduğundan emin olmanıza yardımcı olur. Bu eğitimde, CentOS Sunucusunu Kötü Amaçlı Yazılımlar, Virüsler ve Rootkit’ler için Taramak için farklı araçları kontrol edebiliriz.
Farklı araçlar, CentOS sisteminizi taramanıza yardımcı olur ve bunlardan bazıları şunlardır:
- ClamAV
- Rhuter
- chkrootkit
- ISPProtect ve daha fazlası
Önce ClamAV ile başlayalım.
1) C lamAV
ClamAV, ücretsiz ve çok yönlü açık kaynaklı bir antivirüs motorudur. Bu tarama motoru, Linux dağıtımlarının çoğunda mevcuttur.
ClamAV’ı CentOS’a kurmak için aşağıdaki komutu sudo kullanıcısı olarak çalıştırın.
$ sudo yum clamav yükle clamav-güncelleme clamav-server-systemd clamav-scanner-systemd
Kurulumdan sonra, aşağıdaki sed komutlarını kullanarak örnek metni yorumlayarak iki yapılandırma dosyasını düzenleyin.
$ sudo sed -i -e “s/^Örnek/#Örnek/” /etc/freshclam.conf
$ sudo sed -i -e “s/^Örnek/#Örnek/” /etc/clamd.d/scan.conf
Ardından, aşağıdaki güncelleyici uygulamasını çalıştırarak ClamAV için virüs veritabanını güncelleyin.
$ sudo taze istiridye
Virüs veritabanını güncelledikten sonra aşağıdaki komutu kullanarak bir dizinde tarama yapabilirsiniz.
$ sudo clamscan -r -i <Directory_name>
Yukarıdaki komutta <Directory_name> etiketi taranacak konumdur. Örneğin, taramayı /xyz dizininde çalıştırmak için aşağıdaki komutu çalıştırın.
$ sudo clamscan -r -r /xyz
Sunucunuzda tam bir tarama yapmak için aşağıdaki komutu çalıştırın.
$ sudo clamscan –infected –recursive –exclude-dir=”^/sys” /
/sys dizinini tararsanız, istenmeyen uyarı çıktıları verir. Bu nedenle, yukarıdaki komut, bu tür uyarı çıktılarını önlemek için /sys dizinindeki taramayı hariç tutar.
2) Rkhunter
Rkhunter, sisteminizi rootkit’lere ve genel güvenlik açıklarına karşı taramak için en iyi ve standart seçeneklerden biridir. Rootkit avına, güvenlik izlemesine ve gizli güvenlik açıklarını tespit etmeye yardımcı olabilecek açık kaynaklı, güçlü ve ücretsiz bir tarama aracıdır. Rkhunter, Rookhit Hunter veya RKH olarak da bilinir.
Rkhunter’ı CentOS’a kurmak için aşağıdaki komutu sudo ayrıcalığı ile çalıştırın.
$ sudo yum rkhunter’ı yükle
Kurulumdan sonra aşağıdaki komutu çalıştırarak dosya özellikleri veritabanını güncelleyin.
$ sudo rkhunter –propupd
Bu yukarıdaki komut, tarayıcının belirli dosyaların mevcut durumu hakkında bilgi sahibi olmasını sağlar. Bu işlem, tarama sırasında yanlış alarmların önlenmesine yardımcı olur.
Dosya özelliklerini güncelledikten sonra, herhangi bir güvenlik açığını veya rootkit’i algılamak için CentOS’u taramak için aşağıdaki komutu çalıştırın.
$ sudo rkhunter –checkall
Bu tarayıcı, gerçek rootkit’leri, kötü amaçlı yazılımları ve güvenlik açıklarını kontrol etmek için sistem komutları, ağ ayarları, yerel ana bilgisayar ayarları ve dosyalar üzerinden çalışır. Taramanın bulguları bir günlük dosyasına kaydedilir.
Tarama günlüğüne yoğun bir bakış için aşağıdaki komutu çalıştırın.
$ sudo cat /var/log/rkhunter/rkhunter.log | grep -i uyarısı
3) Chkrootkit
Chkrootkit, sunucunuzdaki rootkit’leri algılamak için kullanılan standart bir güvenlik tarayıcısıdır. Rootkit, bilginiz olmadan sunucunuzun kontrolünü ele geçirebilen kötü amaçlı bir program veya dosyadır. CentOS veri havuzu paketinde bu araç yoktur, bu nedenle en son sürümü indirip yapılandırmamız gerekiyor.
Chkrootkit’in bir C programı olduğundan, C, C++ derleyicisini ve glibc-static paketini kurmanız gerekir. GCC ve statik paketi kurmak için aşağıdaki komutları çalıştırın.
# sudo yum güncellemesi
# sudo yum wget gcc-c++ glibc-static yükleme
Chkrootkit’in en son sürümünü web sitelerinden indirin.
# sudo wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
Ardından, Chkrootkit ile ilişkili md5 karma dosyasını indirin. Bu karma dosya, Chkrootkit’in değiştirilmiş veya bozulmuş olup olmadığını doğrulamaya yardımcı olur. md5 karma dosyasını indirmek için aşağıdaki komutları çalıştırın ve Chkrootkit kurulumunu doğrulayın.
$ sudo wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.md5
$ sudo md5sum -c chkrootkit.md5
Chkrootkit bozuk veya değiştirilmiş değilse yukarıdaki komut bir OK mesajı vermelidir.
chkrootkit.tar.gz: Tamam
Şimdi, aşağıdaki komut paketini kullanarak Chkrootkit’i çıkarın ve kurun.
$ sudo tar -xzf chkrootkit.tar.gz
$ sudo mkdir /usr/local/chkrootkit
$ sudo mv chkrootkit-0.52/* /usr/local/chkrootkit
$ sudo cd /usr/yerel/chkrootkit
$ sudo mantıklı
CentOS’u Chkrootkit ile taramak için aşağıdaki komutu çalıştırın.
$ sudo chkrootkit
veya
# /usr/local/chkrootkit/chkrootkit
Otomatik sunucu taramasını etkinleştirmek istiyorsanız, “/etc/cron.daily/chkrootkit.sh” dosyasına aşağıdaki cron girişlerini ekleyin.
#!/bin/sh
(
/usr/local/chkrootkit/chkrootkit
) | /bin/mail -s ‘CHKROOTKIT Günlük Çalıştırma < Sunucu_Adı >’ your_emailID@email.com
Chkrootkit taramasını bir e-posta sunucusunda çalıştırıyorsanız, aşağıdaki yanlış pozitif raporu alma olasılığı vardır. Yanlışlıkla belirtilen bağlantı noktası, e-posta sisteminizin Güvenli SMTP bağlantı noktası olduğundan, bu yanlış pozitif raporu yok sayabilirsiniz.
“Bindshell” kontrol ediliyor… BULAŞILMIŞ (PORTS: 465)
4) ISP Koruması
ISPProtect aracı, Joomla, WordPress, Drupal gibi web sitesi dosyalarını ve CMS sistemlerini taramaya yardımcı olur. Bir web barındırma sunucusunda barındırılan bir web sitesi, saldırılara en açık olanıdır. Bu nedenle, düzenli akıl sağlığı kontrolleri yapılması önerilir. ISPProtect, web sitenizdeki kötü amaçlı yazılımları taramaya yardımcı olan 5 motor içerir. ISPProtect ücretli bir yazılımdır, ancak sunucunuzdaki kötü amaçlı yazılımı kontrol etmek ve temizlemek için kayıt olmadan ücretsiz deneme sürümünü kullanabilirsiniz. ISPProtect’i çalıştırmak için sunucuda PHP ve ClamAV kurulu olmalıdır.
ISPProtect’i CentOS’a kurmak için aşağıdaki komut paketini çalıştırın.
# mkdir -p /usr/local/ispprotect
# chown -R root:root /usr/local/ispprotect
# chmod -R 750 /usr/local/ispprotect
# cd /usr/local/ispprotect
# wget http://www.ispprotect.com/download/ispp_scan.tar.gz
# tar -xzf ispp_scan.tar.gz
# rm -f ispp_scan.tar.gz
# ln -s /usr/local/ispprotect/ispp_scan /usr/local/bin/ispp_scan
Ardından, ISPProtect’i başlatmak için aşağıdaki komutu çalıştırın.
# ispp_scan
Yukarıdaki komut, güncellemeleri kontrol eder ve lisans anahtarı ister. ISPProtect yazılımının ücretsiz deneme sürümünü kullanıyorsanız, anahtarı ‘deneme’ olarak verebilirsiniz. Bundan sonra, ‘/var/www’ web sitesi yolundan bahsedin.
Anahtarı ve tarama yolunu doldurduktan sonra tarayıcı taramayı başlatır. Taramanın sonunda, virüslü dosya ayrıntıları ekranda görüntülenir. Ayrıca rapor, gelecekte başvurmak üzere ISPProtect dizinindeki bir dosyada saklanır.
ISPProtect yazılımını güncellemek için aşağıdaki komutu çalıştırın.
# ispp_scan — güncelleme
ISPProtect taramasını her gün saat 2’de otomatik olarak çalıştırmak istiyorsanız, nano ile oluşturulan cron dosyasına aşağıdaki satırları ekleyin.
# nano /etc/cron.d/ispprotect
0 2 * * * root /usr/local/ispprotect/ispp_scan –update && /usr/local/ispprotect/ispp_scan –path=/var/www –email-results=<Your_emailID> –interaktif olmayan — tarama anahtarı=<Lisans_anahtar>
ISPProtect’in tüm seçeneklerini görmek istiyorsanız aşağıdaki komutu çalıştırın.
# ispp_scan –help
Çözüm
Böylece, CentOS sunucunuzu Kötü Amaçlı Yazılımlar, Virüsler ve Rootkit’ler için bu şekilde tarayabilirsiniz. Sistemin güvenliği herhangi bir şirketin önceliği olmalıdır. Bu öğreticiyi takip ederken herhangi bir sorunla karşılaşırsanız, lütfen aşağıda verilen yorum bölümünde bize bildirin. Hızlı yardım için destek departmanımızla da iletişime geçebilirsiniz!