웜, 바이러스, 맬웨어 및 두려운 루트킷은 모든 서버 관리자의 존재를 위협합니다. 아키텍처에 따라 감염된 시스템을 탐색하고 민감한 정보를 수집하거나 그 과정에서 조직에 막대한 비용을 지출하기 위해 코드를 사용하지 않는 다양한 옵션이 있을 수 있습니다.
고맙게도 그러한 사이버 적들 앞에서 패배의 깃발을 날릴 필요가 없습니다. 서버에서 탐지하는 것이 가능하며 Linux 서버에서 맬웨어와 루트킷을 검사하는 데 도움이 되는 도구가 많이 있습니다. 무엇보다도 이러한 도구 중 많은 부분을 무료로 사용할 수 있습니다.
1. 조개 AV
이 명령줄 바이러스 백신은 메일 서버와 긴밀하게 통합되도록 설계되었으며 SuSE, Fedora 및 Ubuntu와 같은 유명한 Linux 배포판을 비롯한 모든 종류의 시스템에서 사용할 수 있습니다.
Ubuntu에서의 설치는 다음 명령을 실행하는 것만큼 쉽습니다:
sudo apt install clamav clamav-daemon
일단 설치되면 터미널에서 clamav를 사용하여 가는 빗으로 전체 시스템을 검사하고 감염된 파일을 삭제할 수 있습니다. 이 외에도 Clam AV는 강력한 실시간 검색 및 리소스 모니터링 유틸리티도 제공합니다.
서버 파일 시스템의 간단한 스캔을 실행하려면 루트 디렉토리에서 다음 코드를 사용하십시오:
clamscan -r -i
위의 명령어는 Clam AV에게 재귀적 스캔(파일 내 파일 확인)을 수행하고 감염된 문서만 터미널로 출력하도록 지시합니다. 이 코드를 실행하기 전에 Clam AV가 시스템에 바이러스 서명 데이터베이스를 설치할 수 있도록 충분한 시간을 허용해야 합니다. 이 프로세스를 주시하려면 서비스를 취소하고 다음 코드를 사용하여 수동으로 다시 시작할 수 있습니다.
sudo systemctl stop clamav-freshclam.service
뒤에:
sudo freshclam
검사 중 시스템에서 감염된 파일을 자동으로 제거하려면 다음 코드를 사용하십시오. (이 옵션에 주의하십시오!):
clamscan -r -i --remove
2. chkrootkit
이 도구는 악성 로드 가능한 커널 모듈, 웜 및 본격적인 루트킷을 탐지하기 위해 여러 테스트를 실행합니다.
Ubuntu의 경우 이 도구는 공식 리포지토리에서 사용할 수 있습니다. 다음 코드를 사용하여 설치하세요.
sudo apt install chkrootkit
Clam AV와 달리 chkrootkit은 수동 도구이며 탐지된 위협에 대해 조치를 취하는 기능이 없습니다. 서버의 파일 시스템에서 발견한 의심스러운 것은 수동으로 조사하고 제거해야 하므로 나중에 참조할 수 있도록 출력 사본을 보관하십시오.
이 도구를 실행하려면 다음 명령을 사용하십시오.
sudo chkrootkit
chkrootkit이 제공하는 목록은 추가 진단을 위한 좋은 출발점입니다.
3.보좌관
이 도구의 이름은 "Advanced Intrusion Detection Environment"의 약자이며 Tripwire라는 유사한 도구를 완전히 무료로 대체합니다.
AIDE를 사용하면 시스템 파일에서 탭을 닫아 파일이 수정되거나 액세스되는 시기와 방법을 추적할 수 있습니다. 이 도구는 apt를 사용하여 Ubuntu의 공식 리포지토리에서 쉽게 설치할 수 있습니다.
sudo apt install aide
설치 프로세스를 완료하려면 제공된 옵션을 통해 Postfix를 구성해야 합니다. 이들을 탐색하려면 Tab를 사용할 수 있습니다. 키 또는 화살표 버튼을 누른 다음 원하는 옵션에서 Enter 키를 누릅니다. Postfix는 귀하가 제어할 수 있는 일정에 따라 귀하의 이메일 주소로 정보를 전송하는 데 사용됩니다.
AIDE를 구성하려면 약간의 파일 조작이 필요합니다. 다음 위치에서 파일을 처리해야 합니다.
/var/lib/aide /etc/aide
먼저 다음 명령을 실행하여 데이터베이스와 구성 파일을 만듭니다.
sudo aideinit
완료되면 이 프로세스는 생성된 데이터베이스 및 구성 파일을 "aide.db.new" 및 "aide.conf.autogenerated" 이름으로 "/var/lib/aide/"에 배치합니다. 제대로 작동하려면 이 둘을 각각 "aide.db" 및 "aide.conf"로 복사해야 합니다.
다음 코드를 사용하면 데이터베이스 파일의 복사본을 새 이름으로 쉽게 만들 수 있습니다.
sudo cp /var/lib/aide/aide.db.new /var/lib/aide/aide.db
구성 파일의 이름을 변경하고 복사하기 전에 다음 명령으로 업데이트하십시오.
sudo update-aide.conf
구성 파일을 업데이트했으면 다음 명령을 사용하여 올바른 폴더에 복사하십시오.
sudo cp /var/lib/aide/aide.conf.autogenerated /etc/aide/aide.conf
이제 AIDE는 서버에서 작동하고 생성된 파일 시스템의 HASHED 표현을 적극적으로 관찰해야 합니다.
AIDE는 구성 파일을 수정하여 폴더를 제외하고 주기적으로 실행하도록 구성할 수 있지만 다음 명령으로 시스템의 출력을 볼 수 있습니다.
aide -c /etc/aide/aide.conf -C
AIDE는 루트킷을 통해 공격자가 파일을 수정할 수 있으므로 읽기 전용 위치에서 구성에 액세스할 때 가장 효과적입니다. 최적의 결과를 얻으려면 이러한 설정을 구현하는 것이 좋습니다.
이 기사에서 다루는 도구는 다양한 기술을 사용하여 Linux 서버에서 맬웨어와 루트킷을 검사하는 데 도움이 될 것입니다. 루트킷은 해결하기 가장 까다로운 디지털 위협이지만 적절한 주의를 기울이면 막을 수 있습니다.