Ilmaiset haittaohjelmien ja rootkit-työkalut

Linuxia käytetään usein Windows-asennusten pelastamiseen ... tai kyllä. Mikä paradoksi, tarkalleen on olemassa useita ilmaisia ​​työkaluja haittaohjelmien ja juuripakettien poistamiseksi. Katsotaanpa joitain heistä.

chkrootkit

Chkrootkit tai Check Rootkit on kuuluisa avoimen lähdekoodin ohjelma, se on työkalu, jota käytetään palvelimen tai Unix / Linux-järjestelmän juuripakettien, botnet-verkkojen, haittaohjelmien jne. Digitointiin. Testattu: Linux 2.0.x, 2.2.x, 2.4.x, 2.6.x ja 3.xx, FreeBSD 2.2.x, 3.x, 4.x, 5.x ja 7.x, OpenBSD 2.x , 3.x ja 4.x, 1.6.x NetBSD, Solaris 2.5.1, 2.6, 8.0 ja 9.0, HP-UX 11, Tru64, BSDI ja Mac OS X. Tämä työkalu on esiasennettu BackTrack 5: een Forensic Tools -osiossa. ja virustorjunta.

Voit asentaa chkrootkit Ubuntu- tai Debian-pohjaiseen jakeluun kirjoittamalla:

sudo apt-get install chkrootkit

Aloita järjestelmän tarkistaminen mahdollisten rootkit- ja takaovien varalta kirjoittamalla komento:

sudo chkrootkit

Rootkit Hunter

Rootkit Hunter tai rkhunter on avoimen lähdekoodin rootkit-skanneri, joka on samanlainen kuin chkrootkit ja joka on myös esiasennettu BackTrack 5: een Forensic and Anti-Virus Tools. Tämä työkalu analysoi juuripaketteja, takaovia ja paikallisia hyväksikäyttöjä suorittamalla testejä, kuten: MD5-tiivistelmän vertailu, rootkit-tiedostojen käyttämien oletustiedostojen etsiminen, binäärien virheelliset tiedostojen käyttöoikeudet, epäilyttävien merkkijonojen etsiminen LKM-moduuleista ja KLD, piilotettu tiedostohaku ja valinnainen skannaus teksti- ja binaaritiedostoissa.

Voit asentaa rkhunterin Ubuntu- tai Debian-pohjaiseen jakeluun kirjoittamalla:

sudo apt-get asenna rkhunter

Aloita tiedostojärjestelmän skannaus kirjoittamalla komento:

sudo rkhunter - tarkista

Ja jos haluat tarkistaa päivitykset, suorita komento:

sudo rkhunter –päivitys

Kun rkhunter on lopettanut tiedostojärjestelmän skannauksen, kaikki tulokset kirjataan sisään /var/log/rkhunter.log.

ClamAV

ClamAV on suosittu Linux-virustorjuntaohjelma. Se on tunnetuin Linux-virustorjuntaohjelma, jolla on GUI-versio, joka on suunniteltu helpottamaan troijalaisten, virusten, haittaohjelmien ja muiden haitallisten uhkien tunnistamista. ClamAV voidaan asentaa myös Windows, BSD, Solaris ja jopa MacOSX. Turvallisuustutkija Dejan de Lucas on opetusohjelma Yksityiskohtaiset tiedot InfoSec Resource Institute -sivulla siitä, miten ClamAV asennetaan ja miten sen käyttöliittymää käytetään komentorivillä.

BotHunter

BotHunter on botnet-verkon diagnostiikkaan perustuva järjestelmä, joka seuraa kahden tietoliikennevirran tietä henkilökohtaisen tietokoneen ja Internetin välillä. Sen on kehittänyt ja ylläpitä Computer Science Laboratory, SRI International, ja se on saatavana Linuxille ja Unixille, mutta ne ovat nyt julkaisseet yksityisen kokeiluversion ja ennakkojulkaisun Windowsille.

Jos haluat ladata tämän ohjelman, voit tehdä sen täällä . BotHunter-infektioprofiilit löytyvät tyypillisesti hakemistosta ~ cta-bh / BotHunter / LIVEPIPE / botHunterResults.txt.

Käyttöesimerkki BotHunter2Web.pl: lle:

perl BotHunter2Web.pl [päivämäärä VVVV-KK-PP] -i sampleresults.txt

avast! Linux Home Edition

avast! Linux Home Edition on virustorjuntaohjelma, jota tarjotaan ilmaiseksi, mutta vain kotikäyttöön eikä kaupalliseen käyttöön. Se sisältää komentoriviskannerin, ja alkuperäisen muistiinpanon kirjoittajan kokemuksen perusteella se havaitsee joitain Perl IRC -robotteja, jotka sisältävät haitallisia toimintoja, kuten udpflood- ja tcpflood-toimintoja, ja antaa botin päällikön tai ohjaimen suorittaa Mielivaltaiset komennot Perl: n system () -toiminnon avulla.

Voit ladata tämän virustorjuntaohjelmiston täällä .

NeoPI

NeoPI on Python-komentosarja, joka on hyödyllinen vioittuneen ja salatun sisällön havaitsemiseksi tekstitiedostoissa tai komentosarjoissa. NeoPI: n tarkoituksena on auttaa tunnistamaan piilotettu koodi web-kuoressa. NeoPI: n kehityksen painopiste oli luoda työkalu, jota voidaan käyttää yhdessä muiden yleisten allekirjoitus- tai avainsanapohjaisten tunnistusmenetelmien kanssa. Se on alustojen välinen komentosarja Windowsille ja Linuxille. Se auttaa käyttäjiä tunnistamaan mahdolliset takaovet, mutta myös haitalliset komentosarjat, kuten IRC-botnetit, udpflood-kuoret, haavoittuvat komentosarjat ja haitalliset työkalut.

Voit käyttää tätä Python-komentosarjaa lataamalla koodin viralliselta github-sivustolta ja selaamalla sen hakemistoa:

git-klooni https://github.com/Neohapsis/NeoPI.git cd NeoPI

monemme

Ourmon on avoimen lähdekoodin Unix-pohjainen ohjelma ja yleinen verkkopakettien nuuskaustyökalu FreeBSD: llä, mutta sitä voidaan käyttää myös botnet-havaitsemiseen, kuten Ashis Dash selittää artikkelissaan 'Botnet Detection Tool: Ourmon' Clubhack- tai Chmag-lehdessä.

grep

Ja viimeisenä mutta ei vähäisimpänä, meillä on grep-komento, joka on tehokas komentorivityökalu Unixissa ja Linuxissa. Käytetään säännöllisen lauseketta vastaavien linjojen koetintietojoukkojen etsimiseen ja testaamiseen. Lyhyesti sanottuna Ken Thompson koodasi tämän apuohjelman 3. maaliskuuta 1973 Unixille. Nykyään Grep tunnetaan myös ärsyttävien takaoven kuorien ja haittaohjelmien löytämisestä ja etsimisestä.

Grepiä voidaan käyttää myös haavoittuvien komentosarjojen havaitsemiseen (esimerkiksi PHP: n shell_exec-toiminto, joka on vaarallinen PHP-toiminto, joka sallii koodin etäsuorittamisen tai komentojen suorittamisen). Voimme käyttää grep-komentoa etsimään shell_exec () etuna hakemistostamme / var / www, jotta voimme tarkistaa mahdolliset PHP-tiedostot, jotka ovat alttiita ICE: lle tai komentojen injektoinnille. Tässä on komento:

grep-Rn "shell_exec * (" / var / www

Grep on hyvä työkalu manuaaliseen havaitsemiseen ja rikostekniseen analyysiin.

lähde: linuxaria & Taringa