Một số địa chỉ hay đang đọc

Công cụ phát hiện dấu tin nhiều lĩnh vực trên máy tính sarc-wv.com
Dịch ngược Fiemware 
Exploit Vulneral in Firmware
Angr mở rộng
reversing-huawei-router

Tìm hiểu Linux Malware Detect

Nguồn

Linux Malware Detect

Current Release:
http://www.rfxn.com/downloads/maldetect-current.tar.gz 
http://www.rfxn.com/appdocs/README.maldetect
http://www.rfxn.com/appdocs/CHANGELOG.maldetect

Description
Linux Malware Detect (LMD) là bộ quét malware cho Linux trên cơ sở bản quyền GNU GPLv2, nó được thiết kế để xử lý trong shared hosted environments. Nó dùng các tuyến dữ liệu từ hệ thống phát hiện xâm nhập để trích xuất malware được kích hoạt từ các cuộc tấn công hoặc tạo các signature. Thêm vào đó, các tuyến dữ liệu cũng đươc truyền từ người dùng với bộ kiểm tra đặc trưng LMD  và từ cộng đồng malware. Các chữ ký LMD dùng là MD5 và đối sánh mẫu dạng HEX, chúng cũng dễ dàng để trích xuất để sử dụng trong các công cụ phát hiện khác như ClamAV.

Động lực để phát triển LMD là những giới hạn trong các công cụ mã nguồn mở hoặc miễn phí cho phát hiện malware trong Linux có nhiều hạn chế. Nhieuf sản phẩm AV trên Linux tỏ ra nghèo nàn trong việc trích ghi lại nhật ký các mối đe dọa được phát hiện, đặc biệt với các mục tiêu là shared hosted environments.

Mối đe dọa trong môi trường lưu trữ được chia sẻ từ các sản phẩm AV tiêu chuẩn là phát hiện chủ yếu trojan cấp hệ điều hành, rootkits và virus file lây nhiễm truyền thống nhưng thiếu sự đa dạng ngày càng tăng của phần mềm độc hại ở cấp người dùng mà máy chủ như là một nền tảng tấn công lý tưởng.

Các sản phẩm thương mại cho việc phát hiện malware và khắc phục hậu quả trong môi trường đa người dùng chi sẻ vẫn còn hạn chế. Phân tích 8,883 mã băm malware, phát hiện 1.5, ngược lại 30 công cụ malware thương mại tạo ra một kết quả nghèo nàn.

DETECTED KNOWN MALWARE: 1951
% AV DETECT (AVG): 58
% AV DETECT (LOW): 10
% AV DETECT (HIGH): 100
UNKNOWN MALWARE: 6931

Sử dụng mã băn registry của đội phân tích malware Cymru,chúng ta thấy rằng 8,883 được xử lý với LMD 1.5, có 6,931 chiến 78% không được phát hiện bởi 30 phần mềm diệt mã độc thương mại hoặc các sản phẩm mã độc. Có 1,951 đe dọa được phát hiện ở mức trung bình, nếu tỉ lệ phát hiện mức cao và thấp tương ứng là 58% và 10%. Rõ ràng cần thiết phải có một dự án cho vấn đề này.
Đặc trưng:

– MD5 file hash detection for quick threat identification
– HEX based pattern matching for identifying threat variants
– statistical analysis component for detection of obfuscated threats (e.g: base64)
– integrated detection of ClamAV to use as scanner engine for improved performance
– integrated signature update feature with -u|–update
– integrated version update feature with -d|–update-ver
– scan-recent option to scan only files that have been added/changed in X days
– scan-all option for full path based scanning
– checkout option to upload suspected malware to rfxn.com for review / hashing
– full reporting system to view current and previous scan results
– quarantine queue that stores threats in a safe fashion with no permissions
– quarantine batching option to quarantine the results of a current or past scans
– quarantine restore option to restore files to original path, owner and perms
– quarantine suspend account option to Cpanel suspend or shell revoke users
– cleaner rules to attempt removal of malware injected strings
– cleaner batching option to attempt cleaning of previous scan reports
– cleaner rules to remove base64 and gzinflate(base64 injected malware
– daily cron based scanning of all changes in last 24h in user homedirs
– daily cron script compatible with stock RH style systems, Cpanel & Ensim
– kernel based inotify real time file scanning of created/modified/moved files
– kernel inotify monitor that can take path data from STDIN or FILE
– kernel inotify monitor convenience feature to monitor system users
– kernel inotify monitor can be restricted to a configurable user html root
– kernel inotify monitor with dynamic sysctl limits for optimal performance
– kernel inotify alerting through daily and/or optional weekly reports
– e-mail alert reporting after every scan execution (manual & daily)
– path, extension and signature based ignore options
– background scanner option for unattended scan operations
– verbose logging & output of all actions

Source Data:
The defining difference with LMD is that it doesn’t just detect malware based on signatures/hashes that someone else generated but rather it is an encompassing project that actively tracks in the wild threats and generates signatures based on those real world threats that are currently circulating.

There are four main sources for malware data that is used to generate LMD signatures:
– Network Edge IPS: Through networks managed as part of my day-to-day job, primarily web hosting related, our web servers receive a large amount of daily abuse events, all of which is logged by our network edge IPS. The IPS events are processed to extract malware url’s, decode POST payload and base64/gzip encoded abuse data and ultimately that malware is retrieved, reviewed, classified and then signatures generated as appropriate. The vast majority of LMD signatures have been derived from IPS extracted data.
– Community Data: Data is aggregated from multiple community malware websites such as clean-mx and malwaredomainlist then processed to retrieve new malware, review, classify and then generate signatures.
– ClamAV: The HEX & MD5 detection signatures from ClamAV are monitored for relevant updates that apply to the target user group of LMD and added to the project as appropriate. To date there has been roughly 400 signatures ported from ClamAV while the LMD project has contributed back to ClamAV by submitting over 1,100 signatures and continues to do so on an ongoing basis.
– User Submission: LMD has a checkout feature that allows users to submit suspected malware for review, this has grown into a very popular feature and generates on average about 30-50 submissions per week.

Signature Updates:
The LMD signature are updated typically once per day or more frequently depending on incoming threat data from the LMD checkout feature, IPS malware extraction and other sources. The updating of signatures in LMD installations is performed daily through the default cron.daily script with the –update option, which can be run manually at any time.

An RSS feed is available for tracking malware threat updates: http://www.rfxn.com/api/lmd

Detected Threats:
LMD 1.5 has a total of 10,822 (8,908 MD5 / 1,914) signatures, before any updates. The top 60 threats by prevalence detected by LMD are as follows:

base64.inject.unclassed     perl.ircbot.xscan
bin.dccserv.irsexxy         perl.mailer.yellsoft
bin.fakeproc.Xnuxer         perl.shell.cbLorD
bin.ircbot.nbot             perl.shell.cgitelnet
bin.ircbot.php3             php.cmdshell.c100
bin.ircbot.unclassed        php.cmdshell.c99
bin.pktflood.ABC123         php.cmdshell.cih
bin.pktflood.osf            php.cmdshell.egyspider
bin.trojan.linuxsmalli      php.cmdshell.fx29
c.ircbot.tsunami            php.cmdshell.ItsmYarD
exp.linux.rstb              php.cmdshell.Ketemu
exp.linux.unclassed         php.cmdshell.N3tshell
exp.setuid0.unclassed       php.cmdshell.r57
gzbase64.inject             php.cmdshell.unclassed
html.phishing.auc61         php.defash.buno
html.phishing.hsbc          php.exe.globals
perl.connback.DataCha0s     php.include.remote
perl.connback.N2            php.ircbot.InsideTeam
perl.cpanel.cpwrap          php.ircbot.lolwut
perl.ircbot.atrixteam       php.ircbot.sniper
perl.ircbot.bRuNo           php.ircbot.vj_denie
perl.ircbot.Clx             php.mailer.10hack
perl.ircbot.devil           php.mailer.bombam
perl.ircbot.fx29            php.mailer.PostMan
perl.ircbot.magnum          php.phishing.AliKay
perl.ircbot.oldwolf         php.phishing.mrbrain
perl.ircbot.putr4XtReme     php.phishing.ReZulT
perl.ircbot.rafflesia       php.pktflood.oey
perl.ircbot.UberCracker     php.shell.rc99
perl.ircbot.xdh             php.shell.shellcomm

Real-Time Monitoring:
The inotify monitoring feature is designed to monitor paths/users in real-time for file creation/modify/move operations. This option requires a kernel that supports inotify_watch (CONFIG_INOTIFY) which is found in kernels 2.6.13+ and CentOS/RHEL 5 by default. If you are running CentOS 4 you should consider an inbox upgrade with:
http://www.rfxn.com/upgrade-centos-4-8-to-5-3/

There are three modes that the monitor can be executed with and they relate to what will be monitored, they are USERS|PATHS|FILES.

       e.g: maldet --monitor users
       e.g: maldet --monitor /root/monitor_paths
       e.g: maldet --monitor /home/mike,/home/ashton

The options break down as follows:
USERS: The users option will take the homedirs of all system users that are above inotify_minuid and monitor them. If inotify_webdir is set then the users webdir, if it exists, will only be monitored.
PATHS: A comma spaced list of paths to monitor
FILE: A line spaced file list of paths to monitor

Once you start maldet in monitor mode, it will preprocess the paths based on the option specified followed by starting the inotify process. The starting of the inotify process can be a time consuming task as it needs to setup a monitor hook for every file under the monitored paths. Although the startup process can impact the load temporarily, once the process has started it maintains all of
its resources inside kernel memory and has a very small userspace footprint in memory or cpu usage.

See http://www.rfxn.com/appdocs/README.maldetect for more details on inotify monitoring.

Funding:
Funding for the continued development and research into this and other projects, is solely dependent on public contributions and donations. If this is your first time using this software we ask that you evaluate it and consider a small donation; for those who frequent and are continued users of this and other projects we also ask that you make an occasional small donation to help ensure the future of our public projects.

Quét virus – spyware không cần cài đặt phần mềm

Quản Trị Mạng - Bạn nghi ngờ máy tính mình nhiễm virus nhưng chương trình Anti-virus trên máy lại hoạt động kém hiệu quả hoặc máy tính bạn chưa hề có một chương trình nào để chống lại virus? Các website sau sẽ hỗ trợ bạn ngay lập tức việc quét virus trên máy tính bằng những công cụ trực tuyến. Đây là website từ những nhà sản xuất các phần mềm Anti-virus-malware danh tiếng, bạn có thể lựa chọn sản phẩm nào mình tin tưởng hoặc "chắc ăn" nhất là quét từng sản phẩm một.

Quét file trên máy tính với Kaspersky

Jotti

Website: http://virusscan.jotti.org/vn

Jotti’s malware scan là một dịch vụ trực tuyến miễn phí cho phép bạn quét các tập tin đáng ngờ thông qua một số chương trình chống virus. Máy quét sử dụng để quét là phiên bản Linux, do đó có thể có một số khác biệt so với phiên bản Windows. Giới hạn cho mỗi file upload lên để quét là 20MB.

Kaspersky

Website: http://www.kaspersky.com/scanforvirus

Nếu bạn phát hiện ra một tập tin đáng ngờ trên máy tính, hoặc nghi ngờ một chương trình mà bạn vừa tải về từ Internet, hãy kiểm tra các tập tin như vậy ở đây.

Lưu ý bạn chỉ có thể kiểm tra 1 file với dung lượng dưới 1MB trong 1 thời điểm upload.

BitDefender Online Scanner

Website: http://www.bitdefender.com/scanner/online/free.html

Kết hợp với bộ công cụ quét của BitDefender, BitDefender Online Scanner là một công cụ Antispyware và Antivirus khá mạnh giúp bảo vệ máy tính của bạn. Chỉ cần truy cập vào trình duyệt và chọn Start Scanner, chương trình sẽ quét sạch từ bộ nhớ hệ thống, các file và ổ đĩa khởi động trêm máy tính của bạn mà không cần phải cài đặt chương trình lên máy.

Bạn có thể phải download và cài đặt ActiveX trong lần sử dụng đầu tiên.

ESET Online Scanner

Website: http://www.eset.com/online-scanner

ESET Online Scanner là một công cụ quét virus mạnh, miễn phí và thân thiện. Bạn có thể sử dụng nó để gỡ bỏ các chương trình mã độc trên máy tính mà không cần cài đặt công cụ gì, chỉ cần truy cập nó qua trình duyệt web. ESET Online Scanner sử dụng cùng công nghệ và nhận dạng ThreatSense® giống như các sản phẩm ESET Smart Security/ESET NOD32 Antivirus của hãng.

Bạn có thể phải download và cài đặt ActiveX trong lần sử dụng đầu tiên.

Panda ActiveScan 2.0 - Free Antivirus

Website: http://www.pandasecurity.com/activescan/index/?track=100723

Chỉ cần kích vào Scan now và bạn sẽ thấy ngay sự hoạt động của tiện ích này. Nếu đây là lần đầu tiên bạn sử dụng công cụ này để quét máy tính, có thể bạn sẽ phải download và cài đặt ActiveX lên máy.

McAfee FreeScan

Website: http://home.mcafee.com/Downloads/free-virus-scan?ctst=1

McAfee FreeScan sẽ giúp bạn tìm kiếm và phát hiện ra hàng nghìn loại virus trên máy tính. Dựa trên công nghệ tìm kiếm virus của McAfee VirusScan, FreeScan sẽ tìm kiếm và liệt kê chi tiết thông tin về các file có nhiễm virus (nếu có) trên máy tính của bạn. Sau khi hiển thị những thông tin đó, FreeScan sẽ cung câp các link thông tin thêm về virus tìm được và cách để gỡ bỏ nó ra khỏi hệ thống.

Bạn có thể phải download và cài đặt ActiveX trong lần sử dụng đầu tiên và chỉ hỗ trợ trên trình duyệt Internet Explorer.

Symantec Virus Detection

Website: Symantec Virus Detection

Tương tự như các công cụ trên, Symantec Virus Detection sẽ giúp bạn quét sạch sẽ máy tính của mình thông qua trình duyệt. Không cần cài đặt phần mềm gây nặng máy tính khi sử dụng mà vẫn yên tâm vì máy vẫn “sạch sẽ” là ưu điểm của các công cụ này.

Bạn có thể sẽ phải cài đặt ActiveX trong lần sử dụng đầu tiên.

Quét mã độc trong tập tin với VirusTotal

Mã độc trong các tập tin tải từ các nguồn trên internet luôn là vấn đề nguy hiểm cho người sử dụng máy tính. Làm sao để có thể kiểm tra và đảm bảo an toàn cho máy tính trước các loại mã độc đó? Bài viết sau sẽ hướng dẫn các bạn một cách đơn giản để có thể kiểm tra mã độc trên các tập tin và đường link.

Mã độc là gì?

Mã độc là những đoạn mã máy tính (code) được kẻ tấn công (hacker) viết ra nhằm vào các mục đích xấu như: ăn cắp thông tin tài khoản người dùng, theo dõi máy tính của người dùng, điều khiển máy tính từ xa,…

Cách mã độc hoạt động trong tập tin là như thế nào?

Thời trước thì mã độc thường được chèn vào trực tiếp trong code của một tập tin nào đó thường được người sử dụng tải về và sử dụng, ví dụ như các tập tin cài đặt phần mềm hay các tập tin nhạc MP3… Tức là khi bạn tại 1 tập tin mà bạn tưởng rằng an toàn (vì bạn thấy rằng bạn chỉ tải về duy nhất 1 tập tin) thì trong code của tập tin đó đã bị chèn mã độc, bộ code nguyên bản của nó đã bị thay đổi bởi hacker.

Trong những năm gần đây, hacker đã phát triển nó sang một hình thức khác đối với tập tin đó là sử dụng các tập tin liên kết với nhau. Điều này dễ dàng qua mắt các phần mềm antivirus (vì đối với cách chèn trực tiếp vào code của tập tin gốc như ở trên, antivirus có thể quét ra nhờ vào việc kiểm tra sự toàn vẹn của tập tin gốc); ví dụ, khi bạn tải 1 tập tin cài đặt phần mềm nào đó (CCleaner, FireFox,…) từ nguồn không phải nguồn gốc thì bạn sẽ tải về 1 “tập hợp” các tập tin. Có thể có nhiều tập tin trong tập hợp này nhưng nhìn chung đều có 3 loại tập tin trong này: tập tin phần mềm gốc, tập tin thư viện (dành cho mã độc), tập tin mã độc. Lúc này, khi người sử dụng bấm cài đặt tập tin phần mềm gốc thì nó sẽ gọi đến tập tin thư viện để thêm thư viện vào máy tính và tập tin thư viện khi được gọi sẽ lại gọi tiếp tập tin mã độc hoạt động. Như vậy, bạn có thể hình dung mã độc được gọi một cách dây chuyền, từ A -> B -> C; và điều này lý giải vì sao nó có thể qua mắt các trình antivirus vì khi quét từng tập tin 1 thì nó chỉ là những đoạn mã bình thường.

Cách mã độc hoạt động thông qua đường link

Mã độc qua đường link thì nó có một điểm khác một chút mà người sử dụng thường ít chú ý đó là ngay sau khi bạn nhấp vào đường link có chứa mã độc thì ngay lập tức mã độc đã được chèn vào trình duyệt hoặc tự động tải về máy tính của bạn để thực thi. Việc đề phòng các link có chứa mã độc là hết sức quan trọng, nhất là khi người sử dụng thường có thói quen lưu mật khẩu, tài khoản mail… trên trình duyệt.

>> Duyệt web an toàn với Bitdefender TrafficLight.

VirusTotal là gì?

VirusTotal là một dịch vụ web miễn phí có chức năng phân tích và phát hiện mã độc trong các tập tin, đường link. Nó là một công ty con của Google, sử dụng các công cụ chống virus và quét website để nâng cao khả năng bảo mật cho ngành công nghiệp thông tin.

VirusTotal sử dụng rất nhiều các trang quét mã độc online và các trình phát hiện virus của nhiều hãng bảo mật khác nhau để đưa ra kết quả cuối cùng. Việc sử dụng VirusTotal để quét mã độc sẽ được trình bày ở dưới.

Quét tập tin

Tính năng đầu tiên của VirusTotal cho phép bạn quét mã độc trong các tập tin mà bạn đã tải về máy; các tập tin này có thể ở bất kì định dạng nào, từ tập tin nén .RAR cho đến các file cài đặt .EXE, các file nhạc.MP3, …

Đầu tiên, bạn truy cập đến website:

https://www.virustotal.com

Bạn nhìn ở ngay giữa cửa sổ, bạn để tab File và bấm Choose File để tải lên tập tin cần quét mã độc. Trong ví dụ mình sẽ tải lên tấm hình ở trên trong bài viết để demo.

Sau khi tải lên tập tin, bạn chờ ít phút để hệ thống bắt đầu phân tích và đưa ra kết quả như hình dưới. Bạn để ý dòng kết quả Detection ratio: 0/57 – Tức là file được quét thông qua trình antivirus của 57 nhà cung cấp dịch vụ bảo mật (hoặc cung cấp dịch vụ quét mã độc online) và không có phát hiện mã độc nào ở tập tin hình này. Phần bên dưới kết quả chính là danh sách các trình antivirus mà VirusTotal sử dụng.

Quét đường link

Việc thực hiện quét đường link cũng tương tự như ở trên, bạn chọn tab URL, dán (hoặc gõ) đường link vào ô nhập của VirusTotal và bấm Scan it! ở dưới.

Hình dưới là thông báo cho biết đường dẫn website http://huongdanit.com đã từng được quét và không có phát hiện mã độc nào. Bây giờ bạn có thể chọn phân tích lại bằng việc bấm nút Reanalyse hoặc xem kết quả của lần quét trước bằng việc bấm nút View last analysis. Trong demo, mình chọn bấm Reanalyse để xem lần quét mới nhất (vì website thay đổi theo thời gian mà).

Và dưới đây là kết quả, cách xem thì nó tương tự như phần quét tập tin.

Tìm kiếm kết quả trong VirusTotal

Chức năng này của VirusTotal cho phép bạn tìm kiếm các kết quả có sẵn trong hệ thống dữ liệu của nó. Thay vì bạn phải tải tập tin lên và ngồi chờ nó phân tích (nếu tập tin lớn thì thời gian có thể sẽ lâu) thì bạn có thể tìm kiếm kết quả của tập tin đó nếu nó đã được quét (bởi một ai đó).

Bạn chuyển sang tab Search và gõ thứ bạn cần tìm vào ô tìm kiếm (có thể là đường link, tên tập tin, IP, tên miền…) và bấm Search it! như trong hình dưới.

Kết quả tìm kiếm. Nếu bạn để ý và so sánh với kết quả ở phần quét link thì nó có báo là “9 minutes ago“, tức là đường dẫn này được quét 9 phút trước và giờ nó chỉ hiện kết quả ra cho bạn xem mà không cần phân tích gì nữa.

Lời kết

Qua cách sử dụng những tính năng của VirusTotal thì hy vọng bạn có thể nâng cao khả năng tự bảo vệ thông tin cá nhân của mình trước những kẻ tấn công tiềm tàng trên mạng internet.

Trích http://huongdanit.com/

Cài đặt LMD (Linux Malware Detect) và ClamAV để scan malware trên Linux

Linux Malware Detect (Maldet) là một phần mềm tìm và diệt mã độc dành trên hệ thống máy chủ Linux, được phát hành dưới dạng mã nguồn mở GNU GPLv2, được thiết kế chuyên biệt để dò tìm các mối đe dọa trên môi trường Web Hosting. Nó sử dụng dữ liệu mẫu từ các nhà cung cấp dịch vụ Web Hosting để trích xuất các dạng mã độc, từ đó tạo ra những ký hiệu nhận dạng chung. Những ký hiệu nhận dạng này sẽ được đưa vào các phần mềm quét virus chuyên dụng như ClamAV, nhúng vào tiến trình quét thông thường để tìm ra các mã độc ẩn trong những đoạn mã thông thường của một Website.
Mắt Bão đưa Maldet ứng dụng vào hệ thống với những tùy chỉnh phù hợp nhằm tối ưu hoạt động trong môi trường Web Hosting tại Việt Nam. Khi phát hiện mã độc, khách hàng của Mắt Bão sẽ nhận được thư thông báo để kịp thời xử lý, tránh để website hay tên miền bị tạm khóa và gây ảnh hưởng đến công việc kinh doanh. 

1.Cài đặt Linux Malware Detect¶Trong bài viết này mình sẽ hướng dẫn các bạn cài đặt LMD trên VPS/Server của bạn. Bạn cần login vào VPS qua SSH với quyền root. Quá trình cài đặt rất nhanh và dễ dàng.

Ta bắt đầu cài đặt bằng các command: mkdir tmp
cd tmp
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar xf maldetect-current.tar.gz && cd maldetect-1.4.2
./install.sh LMD sẽ tự động tạo một Cronjob trong thư mục /etc/cron.daily/maldet để LMD tự động chạy.

2.Cấu hình Linux Malware Detect¶

email_alert=1
email_addr=your@email.com
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quar_hits=1
quar_clean=1
clam_av=1 
Với: 
- email_alert=1: Bật chức năng thông báo qua email.
- mail_addr=”your@email.com”: Nhập email của bạn.
- quar_hits=1: Trong quá trình scan, nếu phát hiện malware, LMD sẽ move file nhiễm sang thư mục cách ly của LMD.
- quar_clean=1: LMD sẽ clean nếu phát hiện malware.
- clam_av=1: Sử dụng clamAV làm scan engine nếu trên VPS có cài đặt ClamAV.

3.Lệnh sử dụng Linux Malware Detect¶

- Để scan một thư mục cụ thể trên VPS, bạn có thể sử dụng lệnh sau:
maldet -a /home/domain.com
Bạn tùy thay /home/domain.com bằng đường dẫn folder của bạn.
- Update LMD bằng lệnh:
maldet -u
- Lệnh View report:
maldet --report 14715-1421.3219

4.Remove Malware Detect¶

Vì một lý do nào đó bạn không muốn sử dụng LMD – Maldet nữa, bạn có thể xóa nó khỏi máy chủ. Nhưng Maldet lại không tích hợp chức năng xóa do đó bạn có thể sử dụng command sau để thực hiện:
wget -q -O - http://attachfile.vdrs.net/mb-maldet-remove | sh

5.Cài đặt ClamAV¶

Để Scan Mailware hiệu quả hơn, bạn nên cài thêm ClamAV. Sau khi cài đặt ClamAV, khi scan bằng LMD, LMD sẽ sử dụng ClamAV làm engine scan nhằm tăng tốc độ và hiệu quả scan.
- Cài đặt ClamAV trên Ubuntu, Debian:
sudo apt-get install clamav clamav-daemon -y
- Cài đặt ClamAV trên Centos:
yum install -y clamav-server clamav-server-systemd clamav-scanner-systemd clamav-data clamav-update clamav-filesystem clamav clamav-devel clamav-lib 
Trích từ http://wiki.matbao.net/

Một số phần mềm quét mã độc trên Linux

Phỏng theo howtoforge.com
Những máy chủ kết nối tới Internet đang chứng kiến việc bị quét và tấn công ở mọi mức độ trong mọi lúc. Trong lúc fireware và các hệ thống được cập nhật thường xuyên là bước phòng thủ đầu tiên để hệ thống được an toàn, bạn nên kiểm tra tính hợp lệ để đảm bảo không có kẻ tấn công nào lọt qua. Những công cụ mô tả dưới đây dùng để kiểm tra sanity (sáng suốt), tìm malware, virus, rootkits. Chúng được chạy thường xuyên, chạy liên tục và cảnh báo bạn qua email. Bạn có thể sử dụng Chkrootkit, Rkhungter và ISSProtect để quét hệ thống khi bạn thấy một số hành động nghi ngờ như tăng tải, các tiến trình nghi ngờ hoặc máy chủ đột ngột bắt đầy gử malware

Tất cả các phần mềm này phải chạy với quyền root, do đó khi đăng nhập phải dùng quyền root hoặc chạy lệnh suod su.

chkrootkit - Linux rootkit scanner

Chkrootkit là bộ quét rootkit cổ điển, nó kiểm tra các tiến trình nghi ngờ và kiểm tra trong danh sách các rootkit đã biết. Cài đặt theo lệnh sau: (on Debian and Ubuntu you would run

apt-get install chkrootkit

), hoặc tải nguồn từ  www.chkrootkit.org và cài đặt từng bước:

wget --passive-ftp ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar xvfz chkrootkit.tar.gz
cd chkrootkit-*/
make sense

Sau đó, bạn có thể chuyển thư mục rootkit ở chỗ nào đó, ví dụ /usr/local/chkrootkit:

cd ..
mv chkrootkit-<version>/ /usr/local/chkrootkit

và tạo symlink để dễ truy cập:

ln -s /usr/local/chkrootkit/chkrootkit /usr/local/bin/chkrootkit

Kiểm tra máy chủ phát hiện rootkit bằng lệnh:

chkrootkit

Báo cáo những phát hiện sai:

Checking `bindshell'...                                     INFECTED (PORTS:  465)

Đừng lo lắng khi bạn nhận thư trên mail server, đây là cổng SMTPS của hệ thống mail và được biết đến false positive. Bạn có thể chạy bằng cron job và nhận kết quả bằng email gửi đến bạn. Trước tiên, bạn được dẫn nơi chkrootkit cài đặt trên máy với:

which chkrootkit

Ví dụ:

root@server1:/tmp/chkrootkit-0.50# which chkrootkit
/usr/sbin/chkrootkit

Chkrootkit được cài đặt ở địa chỉ /usr/sbin/chkrootkit, chúng ta mướn đường dẫn này trong cron như sau:

crontab -e

Tạo cron job như sau:

0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit output of my server" tnphvan@gmail.com)

Nó sẽ chạy chkrootkit vào lúc 3h đêm. Thay thế đường dẫn tới chkrootkit với cấu hình trên, đổi địa chỉ email thành email thật của bạn.

Lynis - Universal security auditing tool and rootkit scanner

Lynis (formerly rkhunter) là công cụ kiểm tra an ninh cho hệ thống dựa trên Linux and BSD. Nó được thực hiện dựa trên việc kiểm tra chi tiết nhiều khía cạnh an ninh và cấu hình của hệ thống. Tải bản mới nhất từ đây https://cisofy.com/download/lynis/:

cd /tmp
wget https://cisofy.com/files/lynis-2.1.1.tar.gz
tar xvfz lynis-2.1.1.tar.gz
mv lynis /usr/local/
ln -s /usr/local/lynis/lynis /usr/local/bin/lynis

This will install lynis to the directory /usr/local/lynis and creates a symlink for easy access. Now run

lynis update info

to check if you use the latest version.

Now you can scan your system for rootkits by running:

lynis audit system

Lynis will perform a few checks and then stops to give you some time to read the results. Press [ENTER] to continue with the scan.

At the end, it will show you a summary of the scan.

To run Lynis non-interactively, start it with the --quick option:

lynis --quick

To run Lynis automatically at night, create a cron job like this:

0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "lynis output of my server" you@yourdomain.com)

This will run lynis every night a 3.00h. Replace the email address with your real address.

ISPProtect - Website malware scanner

ISPProtect is a malware scanner for web servers, it scans for malware in website files and CMS systems like Wordpress, Joomla, Drupal etc. If you run a web hosting server, then the hosted websites are the most attacked part of your server and it is recommended to do sanity checks on them regularly. ISPProtect contains 3 scanning engines: a signature based malware scanner, a heuristic malware scanner, and a scanner to show the installation directories of outdated CMS systems. ISPProtect is not free software, but there is a free trial that can be used without registration to test it or clean an infected system.

ISPProtect requires PHP to be installed on the server, this should be the case on most hosting systems. In case you don't have a command line PHP installed yet, execute:

apt-get install php5-cli

on Debian or Ubuntu or:

yum install php

on Fedora and CentOS.

Run the following commands to install ISPProtect.

mkdir -p /usr/local/ispprotect
chown -R root:root /usr/local/ispprotect
chmod -R 750 /usr/local/ispprotect
cd /usr/local/ispprotect
wget http://www.ispprotect.com/download/ispp_scan.tar.gz
tar xzf ispp_scan.tar.gz
rm -f ispp_scan.tar.gz
ln -s /usr/local/ispprotect/ispp_scan /usr/local/bin/ispp_scan

To start ISPProtect, run:

ispp_scan

The scanner automatically checks for updates, then asks for the key (enter the word "trial" here) and then asks for the path of the websites, normally thats /var/www.

Please enter scan key: <-- trial
Please enter path to scan: <-- /var/www

The scanner will now start the scan. The scanning progress is shown. The names of the infected files are shown on the screen at the end of the scan and the results are stored in file sin the ISPProtect install directory for later use:

After the scan is completed, you will find the results also in the following files:
Malware => /usr/local/ispprotect/found_malware_20161401174626.txt
Wordpress => /usr/local/ispprotect/software_wordpress_20161401174626.txt
Joomla => /usr/local/ispprotect/software_joomla_20161401174626.txt
Drupal => /usr/local/ispprotect/software_drupal_20161401174626.txt
Mediawiki => /usr/local/ispprotect/software_mediawiki_20161401174626.txt
Contao => /usr/local/ispprotect/software_contao_20161401174626.txt
Magentocommerce => /usr/local/ispprotect/software_magentocommerce_20161401174626.txt
Woltlab Burning Board => /usr/local/ispprotect/software_woltlab_burning_board_20161401174626.txt
Cms Made Simple => /usr/local/ispprotect/software_cms_made_simple_20161401174626.txt
Phpmyadmin => /usr/local/ispprotect/software_phpmyadmin_20161401174626.txt
Typo3 => /usr/local/ispprotect/software_typo3_20161401174626.txt
Roundcube => /usr/local/ispprotect/software_roundcube_20161401174626.txt
Starting scan level 1 ...

To run ISPProtect automatically as nightly cronjob, create a cron file with nano:

nano /etc/cron.d/ispprotect

and insert the following line:

0 3  * * *   root /usr/local/ispprotect/ispp_scan --update && /usr/local/ispprotect/ispp_scan --path=/var/www --email-results=root@localhost --non-interactive --scan-key=AAA-BBB-CCC-DDD

Replace "root@localhost" with your email address, the scan report is send to this address. Then exchange "AAA-BBB-CCC-DDD" with your license key. You can get a license key here.