原标题：扫描Linux服务器查找恶意软件和rootkit的5款工具

技术沙龙

邀您于8月25日与国美/AWS/转转三位专家共同探讨小程序电商实战

【51CTO.com快译】针对Linux服务器的攻击和端口扫描从未停过；虽然正确配置的防火墙和安全系统定期更新增添了额外的一层防线以确保系统安全，但是还应该经常观察是否有人潜入。这还有助于确保服务器远离任何旨在破坏其正常运行的程序。

本文介绍的工具是为这些安全扫描开发的，它们能够识别诸多病毒、恶意软件、rootkit和恶意行为。你可以使用这些工具定期(比如每晚)扫描系统，通过邮件将扫描报告发送到你的电子邮件地址。

1. Lynis：安全审计和rootkit扫描工具

Lynis是一款免费、开源、功能强大且备受欢迎的安全审计和扫描工具，适用于类似Unix/Linux的操作系统。它是一款恶意软件扫描和漏洞检测工具，可扫描系统、查找安全信息、问题、文件完整性及配置错误，执行防火墙审查、检查已安装的软件以及文件/目录权限等等。

然而重要的是，它并不自动执行任何系统加固，只是提供让你能够加固服务器的建议。

我们将使用以下命令从源代码安装最新版本的Lynis(即2.6.6)。

现在，可以使用以下命令执行系统扫描。

# cd /opt/ # wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz # tar xvzf lynis-2.6.6.tar.gz # mv lynis /usr/local/ # ln -s /usr/local/lynis/lynis /usr/local/bin/lynis

现在，可以用以下命令执行系统扫描。

# lynis audit system

Lynis Linux安全审计工具

想在每晚自动运行Lynis，请添加以下cron条目，该条目将在凌晨3点运行扫描，并将报告发送到电子邮件地址。

0 3 * * * /usr/local/bin/lynis --quick 2>&1

mail -s "Lynis Reports of My Server" you@yourdomain.com

链接：https://cisofy.com/lynis/

2. Chkrootkit：Linux rootkit扫描工具

Chkrootkit是另一款免费的开源rootkit检测工具，可以在类似Unix的系统上本地查找rootkit的迹象。它有助于检测隐藏的安全漏洞。Chkrootkit软件包包含检查系统二进制代码以寻找rootkit篡改的shell脚本和检查各种安全问题的诸多程序。

可以在基于Debian的系统上使用以下命令安装chkrootkit工具。

$ sudo apt install chkrootkit

在基于CentOS的系统，你需要使用以下命令从源代码安装它。

# yum update # yum install wget gcc-c++ glibc-static # wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz # tar –xzf chkrootkit.tar.gz # mkdir /usr/local/chkrootkit # mv chkrootkit-0.52/* /usr/local/chkrootkit # cd /usr/local/chkrootkit # make sense

想用Chkrootkit检查服务器，请运行以下命令。

$ sudo chkrootkit

或者：

# /usr/local/chkrootkit/chkrootkit

一旦运行，它会开始检查系统、寻找已知的恶意软件和rootkit;扫描完毕后，可以看到报告摘要。

想在每天晚上自动运行Chkrootkit，添加以下cron条目，该条目将在凌晨3点运行扫描，并将报告发送到电子邮件地址。

0 3 * * * /usr/sbin/chkrootkit 2>&1

mail -s "chkrootkit Reports of My Server" you@yourdomain.com

链接：http://www.chkrootkit.org/

3. Rkhunter：Linux rootkit扫描工具

RKH(RootKit Hunter)是一款免费、开源、功能强大、易于使用、众所周知的工具，可用于扫描与POSIX兼容的系统(比如Linux)上的后门、rootkit和本地漏洞。顾名思义，它是一款rootkit查找、安全监控和分析工具，可全面检查系统，查找隐藏的安全漏洞。

可在基于Ubuntu和CentOs的系统上使用以下命令安装rkhunter工具。

$ sudo apt install rkhunter # yum install epel-release # yum install rkhunter

想用rkhunter检查服务器，请运行以下命令。

# rkhunter -c

想在每天晚上自动运行rkhunter，添加以下cron条目，该条目将在凌晨3点运行扫描，并将报告发送到电子邮件地址。

0 3 * * * /usr/sbin/rkhunter -c 2>&1

mail -s "rkhunter Reports of My Server" you@yourdomain.com

链接：https://sourceforge.net/p/rkhunter/wiki/index/

4. ClamAV：反病毒软件工具包

ClamAV是一款开源、用途广泛、备受欢迎的跨平台反病毒引擎，可检查计算机上的诸多病毒、恶意软件、特洛伊木马及其他恶意程序。它是面向Linux的最出色的免费反病毒软件之一，也是邮件网关扫描软件的开源标准，支持几乎所有的邮件文件格式。

它支持在所有系统上的病毒数据库更新，并支持只针对Linux的即时(on-access)扫描。此外，它可以在归档和压缩文件里面扫描，支持Zip、Tar、7Zip和Rar等格式，还有其他功能。

可在基于Debian的系统上使用以下命令安装ClamAV。

$ sudo apt-get install clamav

可在基于CentOS的系统上使用以下命令安装ClamAV。

# yum -y update # yum -y install clamav

一旦安装完毕可以用以下命令来更新病毒特征和扫描目录。

# freshclam # clamscan -r -i DIRECTORY

DIRECTORY是待扫描的位置。选项-r意味着递归扫描，-i意味着只显示被感染的文件。

链接：https://www.clamav.net/

5. LMD：Linux恶意软件检测工具

LMD(Linux Malware Detect)是一款开源、功能强大、特性完备的恶意软件扫描工具，面向Linux，专门针对共享的主机环境设计，但也可以用来检测任何Linux系统上的威胁。它可与ClamAV扫描器引擎整合起来，以提升性能。

它提供了全面报告系统，可查看当前和以往的扫描结果、支持每次扫描执行后通过邮件发送提醒报告以及其他实用功能。

链接：https://www.rfxn.com/projects/linux-malware-detect/

我们在上面介绍了扫描Linux服务器、查找恶意软件和rootkit的5款工具。欢迎留言交流!

原文标题：5 Tools to Scan a Linux Server for Malware and Rootkits，作者：Aaron Kili

【51CTO译稿，合作站点转载请注明原文译者和出处为51CTO.com】

作者：Aaron Kili返回搜狐，查看更多

责任编辑：