Hướng dẫn quét Malware và Rootkits trên Linux

Malware (từ ghép của malicious và software) là phần mềm độc hại, nó là một loại phần mềm hệ thống do các hacker tạo ra nhằm gây hại cho các máy tính.

Rootkit là phần mềm hoặc bộ công cụ phần mềm che giấu sự tồn tại của một phần mềm khác mà thường là virus xâm nhập vào hệ thống máy tính. Rootkit thường được hacker dùng sau khi chiếm được quyền truy cập vào hệ thống máy tính. Nó sẽ che dấu dữ liệu hệ thống, tập tin hoặc tiến trình đang chạy, từ đó hacker có thể vào hệ thống máy tính mà không thể biết được.

Trong bài viết này tôi sẽ giới thiệu cho các bạn 3 phần mềm dùng dể quét Malware và Rootkit.

  1. Chkrootkit.
  2. Rkhunter.
  3. ISPProtect.

1.Chkrootkit

Chkrootkit là phần mềm quét rootkit kiểu cổ, nó kiểm tra máy chủ của bạn xem những quy trình rootkit đáng ngờ và so sánh với các tệp rootkit đã biết.

Cài đặt

Nếu bạn đang dùng Ubuntu hoặc Debian các bạn có thể gõ lệnh sau:

# apt-get install chkrootkit

Hoặc có thể download qua trang web http://www.chkrootkit.org/ và cài đặt như sau

# wget --passive-ftp ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
# tar xvfz chkrootkit.tar.gz
# cd chkrootkit-*/
# make sense

Đổi tên thư mục thành chkrootkit

# cd ..
# mv chkrootkit-0.52/ /usr/local/chkrootkit

Tạo liên kết đến thư mục bin

# ln -s /usr/local/chkrootkit/chkrootkit /usr/local/bin/chkrootkit

Và bây giờ hãy kiểm tra máy chủ của bạn bằng lệnh:

# chkrootkit

Chúng ta cũng có thể cấu hình cho chkrookit tự động làm việc bằng crond và máy sẽ gửi thông báo vào email chúng ta.

Trước khi cấu hình tự động chúng ta cần phải xác định được đường dẫn của lệnh chkrootkit bằng cách nhập lệnh dưới

# which chkrootkit

Chạy lệnh crontab

# crontab -e

Nhập nội dung sau vào file

0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit output of my server" you@yourdomain.com)

Máy sẽ tự động chạy lệnh này vào lúc 3 giờ sáng. Thay thế địa chỉ email bằng địa chỉ email thực của bạn.

2.Lynis

Lynis là công cụ kiểm tra an ninh kiểu phổ cập và quét rootkit, nó thực hiện một bài kiểm tra chi tiết và nhiều khía cạnh an ninh và cấu hình của hệ thống.

Để cài đặt Lynis các bạn làm theo bước sau

# cd /usr/local/
# wget https://cisofy.com/files/lynis-2.4.8.tar.gz
# tar xvfz lynis-2.4.8.tar.gz
# ln -s /usr/local/lynis/lynis /usr/local/bin/lynis

Chúng ta chạy lệnh sau để update phiên bản mới nhất

# lynis update info

Chạy lệnh sau để bắt đầu quét

# lynis audit system

Hoặc chạy lệnh quét nhanh

# lynis --quick

Bây giờ chúng ta sẽ đặt Lynis tự động vào ban đêm

# crontab -e

Thêm dòng sau vào dưới file

0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "lynis output of my server" you@yourdomain.com)

Điều này sẽ chạy lynis vào 3.00h mỗi đêm. Thay thế địa chỉ email bằng địa chỉ email thực của bạn.

3.ISPProtect

ISPProtect là phần mềm quét malware cho các máy chủ web. ISPProtect chứa 5 công cụ quét:

  • Máy quét phần mềm độc hại dựa trên chữ ký.
  • Máy quét phần mềm độc hại nổi tiếng.
  • Một máy quét để hiển thị các thư mục cài đặt của hệ thống CMS lỗi thời.
  • Máy quét hiển thị tất cả các plugin WordPress đã lỗi thời của toàn bộ máy chủ.
  • Máy quét nội dung cơ sở dữ liệu kiểm tra các cơ sở dữ liệu MySQL về nội dung độc hại.

ISPProtect là phần thu phí, nhưng có một bản dùng thử miễn phí có thể được sử dụng mà không cần đăng ký để kiểm tra nó hoặc dọn dẹp hệ thống bị nhiễm.

ISPProtect yêu cầu PHP được cài đặt trên máy chủ

Trên Ubuntu 16

# apt-get install php7.0-cli -y

Trên Centos

# yum install php -y

Cài đặt xong php chúng ta sẽ cài đặt ISPProtect

# mkdir -p /usr/local/ispprotect
# chown -R root:root /usr/local/ispprotect
# chmod -R 750 /usr/local/ispprotect
# cd /usr/local/ispprotect
# wget http://www.ispprotect.com/download/ispp_scan.tar.gz
# tar xzf ispp_scan.tar.gz
# rm -f ispp_scan.tar.gz
# ln -s /usr/local/ispprotect/ispp_scan /usr/local/bin/ispp_scan

Để bắt đầu quét chúng ta chạy lệnh

# ispp_scan

Dòng đầu máy sẽ hỏi key ,nếu bạn mua key thì nhập key còn dùng thử thì nhập ‘TRIAL’

Dòng thứ hai máy sẽ hỏi bạn muốn quét thư mục nào, chúng ta sẽ nhập vào thư mục chứa code web

Kết.

Trên đây tôi đã hướng dẫn cho các bạn 3 phần mềm dùng dể quét Malware và Rootkit. Hẹn gặp lại các bạn trong các bài tiếp theo, chúc các bạn thành công!

Powred by PHPKB (Knowledge Base Software)