نوشته‌های اخیر

آشنایی با فناوری‌های سرور HP

تفاوت رم DDR4 و DDR5 در سرور چیست؟ بررسی تخصصی

مقایسه رم سرور ddr3 و ddr4

بهترین سرورهای HP سال 2025

بهترین برند برای خرید سرور

پربازدیدترین محصولات

سرور HP ML350 G10
امتیاز 5.00 از 5
223,696,000 تومان – 629,780,500 تومان
کارت گرافیک NVIDIA GeForce RTX 4070
امتیاز 5.00 از 5
52,428,750 تومان
کیس ورک استیشن HP Z220
امتیاز 5.00 از 5
23,140,000 تومان
سی پی یو سرور Intel Xeon Gold 6240R Processor
امتیاز 5.00 از 5
26,500,000 تومان
پاور سرور HP 1200W Platinum Common Slot
امتیاز 5.00 از 5
1,588,750 تومان

بررسی ابزارهای شناسایی بدافزار در سرورهای لینوکس

دی 27, 1403
بدون نظری

زمانی که سیستم شما به اینترنت متصل می شود، امکان دارد تهدیدات مخرب زیادی وارد رایانه شما شده و به داده های موجود در آن صدمه برسانند. امکان دارد سیستم شما هر روز با تهدیدات مبتنی بر ویندوز مواجه شود. چیزی که اکثر افراد از آن اطلاعی ندارند این است که نود درصد سرورهای پیشرفته از لینوکس استفاده می کنند. بنابراین سرورهای پیشرفته لینوکس در معرض تهدیدات بیشتری هستند. جهت خرید سرور HP می‌توانید با کارشناسان ماهان شبکه ایرانیاندر ارتباط باشید.

آنچه در این مطلب می‌خوانید: پنهان

1. کدام تهدید برای لینوکس خطرآفرین است؟

2. بررسی ابزار شناسایی بدافزار forensics در لینوکس

2.1. اولین ابزار شناسایی بدافزار: Autopsy

2.2. دومین ابزار شناسایی بدافزار: Volatility

2.3. سومین ابزار شناسایی بدافزار: Foremost

3. بررسی ابزار شناسایی بدافزار روتکیت در سرور لینوکس

4. بررسی ابزار شناسایی بدافزار Linux Malware Detect یا LMD در سرورهای لینوکس

5. بدافزارهای لینوکس

کدام تهدید برای لینوکس خطرآفرین است؟

بدافزار و مواردی که عملکرد آن شبیه به بدافزار هستند می توانند برای لینوکس خطر آفرین باشند. امکان دارد این سوال برای شما پیش بیاید که بدافزار چیست؟ موارد بسیار زیادی هستند که به آن ها بدافزار گفته می شود که عبارت هستند از: ویروس ها، تروجان ها، کرم ها و غیره.
برای کاربران بسیار مهم است تا بدانند سیستم آن ها عاری از بدافزار می باشد. برای آن که بتوانید بدافزارها را شناسایی کنید باید از برنامه های مخصوصی استفاده کنید تا پوشه ها و فایل های مشخص شده را اسکن کرده و بررسی کند. زمانی که برنامه عمل اسکن را انجام می دهد در پی امضا است، زیرا امضا از یک بیت کد مخصوص از بدافزار تولید می شود. سپس کدی که هش شده است در پایگاه داده قرار می گیرد. برنامه فایل اسکن هش را از پایگاه داده می گیرد و فایل ها را کنترل می کند تا ارزیابی کند آیا هش وجود دارد یا نه. در صورتی که امضا یافت شود، برنامه اسکن به کاربر اخطار می دهد که یک تهدید یافت شده است.

بررسی ابزار شناسایی بدافزار forensics در لینوکس

ابزارهای شناسایی بدافزار در بررسی حوادث، تجزیه و تحلیل شواهد و کشف فعالیت های آسیب زا اهمیت زیادی دارند. این ابزارها به کارشناسان امنیت و محققان کمک می کنند تا ایمیج دیسک، memory dump و سایر منابع داده را جهت آشکار نمودن اطلاعات پنهان و بازسازی رویدادها ارزیابی نمایند.

اولین ابزار شناسایی بدافزار: Autopsy

Autopsy یک نرم افزار توانمند شناسایی بدافزار است که رابط گرافیکی ای برای Sleuth Kit قرار می دهد و امکانات اضافی و توان تحلیل دیجیتالی را عرضه می کند که به طور مبسوط به وسیله بازرسان، مجریان قانون و کارشناسان امنیتی به منظور ارزیابی image دیسک و منابع داده دیگر جهت یافتن اطلاعات پنهان و بازسازی رویدادها به کار برده می شود.
از آن جایی که Autopsy به صورت ماژولار طراحی شده است پس این قابلیت را برای کاربران فراهم می کند تا بتوانند به وسیله افزونه ها قابلیت‌های آن را توسعه دهند و از دامنه وسیعی از سیستم های فایل و فرمت های image پشتیبانی می کند.

خصوصیات Autopsy

• داشتن رابط گرافیکی برای Sleuth Kit
• پشتیبانی از فایل ‌سیستم های گوناگون و فرمت های عکس
• به منظور قابلیت های بیشتر از معماری توسعه پذیر با افزونه ‌ها استفاده می کند.
• تجزیه و تحلیل جدول زمانی تایملاین، جستجوی کلمات کلیدی و مشخصه data carving

دومین ابزار شناسایی بدافزار: Volatility

Volatility یک ابزار شناسایی بدافزار با حافظه متن باز است که بسیار توانمند می باشد، این پلتفرم می تواند تخلیه حافظه (memory dump) را به منظور شناسایی بدافزارهای محتمل یا سایر تهدیدات امنیتی تجزیه و تحلیل نماید و به صورت وسیع به وسیله کارشناسان امنیت و واکنش دهنده های حادثه جهت ارزیابی داده‌های حافظه فرار از سیستم های زنده یا تخلیه حافظه به کار برده می شود و اطلاعات مفیدی را راجع به پروسه های در حال اجرا، اتصالات شبکه و دیگر مصنوعات عرضه می دارد. بدافزار Volatility از دامنه وسیعی از نرم افزارها و فرمت های تخلیه حافظه پشتیبانی می کند و آن را برای پروژه های گوناگون آماده می سازد.

خصوصیات:Volatility

• واکاواش عمیق اطلاعات حافظه فرار(volatile memory)
• پشتیبانی از نرم افزارهای زیاد و فرمت های تخلیه حافظه memory dump))
• معماری بر پایه افزونه توسعه پذیر
• خارج نمودن مصنوعات پرارزش مثل پروسه های در حال اجرا، اتصالات شبکه و اعتبار کاربر

سومین ابزار شناسایی بدافزار: Foremost

Foremost یک ابزار هک فایل است که بسیار مفید می باشد، این پلتفرم می تواند فایل های خاص گوناگونی را از ایمیج دیسک، سیستم های فعال و دیگر منابع داده خارج نموده و به صورت وسیع به وسیله کارشناسان و محققان شناسایی بدافزار به منظور بازگردانی فایل های گم شده یا حذف شده به کار برده می شود و اطلاعات مفیدی را در مورد داده‌های ذخیره شده در سیستم عرضه می کند.
Foremost از دامنه وسیعی از فایل های گوناگون مانند: اسناد، تصاویر و فایل های چند رسانه‌ای پشتیبانی می‌کند و قادر است برای خارج نمودن فایل های گوناگون اضافی در صورت لزوم سفارشی گردد.

خصوصیات Foremost:

• جستجوی سریع و مفید فایل ها
• پشتیبانی از دامنه وسیعی از فایل های گوناگون
• امضاهای نوع فایل قابلیت تنظیم شدن به منظور استخراج فایل اضافی دارد.

سرورهایی که به اینترنت متصل هستند در طول روز بارها و بارها مورد حملات بدافزارها واقع شده و داده های آن ها مورد اسکن واقع می شود. هر کاربر می تواند با کمک دیوارآتش و به روزرسانی دائمی و منظم اطلاعات یک ابزار دفاعی مناسب به منظور حفظ امنیت ایجاد کند، لازم به ذکر است که شما باید دائما بررسی کنید که هیچ هکر و مهاجمی به سیستم و سرور شما دسترسی پیدا نکرده است.
ابزارهایی که معرفی شدند و در ادامه معرفی خواهند شد برای کمک به شماست. این ابزارها بدافزار، ویروس ها و روت کیت ها را شناسایی و حذف می کنند و در سرورهای لینوکسی بسیار مفید خواهند بود.
بایستی به صورت منظم آن ها را اجرا کنید، به عنوان مثال می توانید هر شب آن ها را اجرا نمایید، این نرم افزارها به صورت خودکار به شما ایمیل ارسال خواهند کرد. کاربران محترم می توانند Chkrootkit، Rkhunter و ISPProtect را به منظور اسکن یک سیستم یا سرور در صورت داشتن عملکرد مشکوک مثل لود بالا، پروسه های مشکوک وغیره به کار ببرند.
تمام این ابزارها باید به عنوان کاربران root اجرا گردند. پیش از اجرا بایستی دسترسی را به root عوض کنید.

بررسی ابزار شناسایی بدافزار روتکیت در سرور لینوکس

chkrootkit این یک پویشگر کلاسیک rootkit است که سرور را برای روت کیت های مشکوک بررسی می کند و فایل ها را برای شناسایی rootkit های شناخته شده اسکن میکند.
حتما بسته ای را که با نسخه لینوکس شما همراه است را نصب کنید.

apt-get install chkrootkit

همین طور می توانید منابع را از سایت www.chkrootkit.org بارگزاری نموده و نصب نمایید:

wget –passive-ftp ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar xvfz chkrootkit.tar.gz
cd chkrootkit-*/
make sense

پس از انجام این کار می توانید دایرکتوری chkrootkit را به جای دیگری انتقال دهید، به عنوان مثال به / usr / local / chkrootkit:

cd ..
mv chkrootkit-<version>/ /usr/local/chkrootkit

و یک پیوند به منظور دسترسی راحت ایجاد کنید:

ln -s /usr/local/chkrootkit/chkrootkit /usr/local/bin/chkrootkit

به منظور ارزیابی سرور خود با chkrootkit، فرمان زیر را تایپ کنید:

Chkrootkit

نمونه گزارش پویش به صورت زیر خواهد بود:

Checking `bindshell’… INFECTED (PORTS: 465)

به دلیل این که این نرم افزار سرور شما را آلوده شناسایی کرده شما این پیام را در سرور ایمیل دریافت کرده اید، که قطعا غلط است.
شما می توانید chkrootkit را با cron اجرا نمایید تا نتایج را برای شما بفرستد. به منظور انجام این کار بایستی نخست مسیری را که chkrootkit روی سرور شما نصب شده است، بیابید:

which chkrootkit

به عنوان مثال:

root@server1:/tmp/chkrootkit-0.52# which chkrootkit/usr/sbin/chkrootkit

دقت داشته باشید که Chkrootkit در مسیر / usr / sbin / chkrootkit نصب شده باشد، ما به این مسیر در خط دستوری که درcron نوشته ایم دوباره احتیاج پیدا خواهیم کرد.

فرمان زیر را تایپ کنید تا وارد تنظیمات cronjob سرور شوید:

crontab –e
03***/usr/sbin/chkrootkit 2>&1 | mail -s “chkrootkit output of my server” you@yourdomain.tld)

این عملیات هر روز در ساعت سه بامداد انجام می شود. مسیر را به chkrootkit با مسیری که از فرمان بالا دریافت کرده اید جایگزین نموده و نشانی ایمیل را با نشانی واقعی خود تغییر دهید.

بررسی ابزار شناسایی بدافزار Linux Malware Detect یا LMD در سرورهای لینوکس

سیستم عامل(OS) امکان دارد از کار افتاده باشد و نیاز باشد دوباره آن را نصب کرد. در صورتی که بتوانید از سیستم عامل و اطلاعات نسخه پشتیبان تهیه کنید، سیستم عامل و اطلاعات را می توانید از نسخه پشتیبان بازگردانید.
تهدیداتی روزانه در اینترنت بارگذاری می شود که ممکن است سیستم عامل شما را متوقف سازد. بیشتر مردم این طور می اندیشند چنان چه لینوکس را اجرا کنند، به چنین مشکلاتی دچار نمی شوند. حقیقت دارد که اکثر تهدیدات موجود در آنجا روی سیستم ویندوز است. موضوعی که بعضی از افراد از آن اطلاعی ندارند این است که روی نود درصد سرورهای پیشرفته لینوکس نصب می شود. از آنجایی که اکثر سرورهای پیشرفته لینوکس هستند، تهدیدهای بیشتری برعلیه لینوکس صورت می پذیرد.
پایگاه داده فعلی Linux Malware Detect، 5,657,522 امضا دارد.
بعضی از افراد برنامه بدافزاری را دریافت می کنند و آن را به عنوان مبنایی جهت برنامه جدید به کار می برند.
به این دلیل که بعضی از کدها مخدوش نشده هستند، امضا برای بدافزار تازه یکسان است. زمانی که یک امضای موجود، تکه جدیدی از بدافزار را می یابد، به عنوان یک امتیاز اکتشافی یا عمومی به شمار می آید. دارا بودن امضای یکسان با بدافزار موجود، بدافزار تازه را در یک خانواده می گذارد.
به احتمال زیاد یک تکه جدید از بدافزار، یک امضای جدید پدید می آورد. امضاهای جدید سبب آپدیت پایگاه داده می گردند. شمار بدافزارها رو به افزایش است و پایگاه های داده به صورت مستمر به روزرسانی می گردند. زمانی که برنامه ای برای پویش سیستمتان نصب کرده اید، معمولا آپدیت های پایگاه داده امضای جدید خواهید داشت.
توجه: این قابلیت برای یک اسکنر ایجاد شده است که با فایلی که بدافزار نیست تطابق امضا بیابد.
چنان چه بسته بدافزار تازه ای انتشار یافته باشد و در پایگاه داده وجود نداشته باشد، برنامه اسکنر یک اخطار کاذب اعلام می کند. به این علت است پایگاه داده امضا بایستی تا جایی که امکان آن وجود دارد آپدیت گردد.
بهتر است این موضوع با یک مثال از بدافزار شرح داده شود.

بدافزارهای لینوکس

بدافزارهای بسیار زیادی وجود دارد که منتشر شده است، به همین دلیل انتخاب یک بدافزار به عنوان نمونه نمی تواند کار دشواری باشد. پس، می توانیم به “Linux.Encoder.1″ نگاهی بیندازیم.
این بدافزار با اسم های «Elf/Filecoder/A» و «Trojan.Linux.Ransom.A» نیز معرفی می گردند. شیوه کار به این شکل است که فایلی پیوست شده از اینترنت دانلود شده و وارد سیستم شما می شود. با فعال شدن آن روی سیستم شما، یک فایل”readme” را در هر پوشه روی سیستم شما وارد می کند.
اطلاعات دیگر روی سیستم رمزگذاری می شوند و اجازه نمی دهند شما به محتوای واقعی فایل ها دسترسی پیدا کنید.
فایل‌های «readme» دربرگیرنده داده هایی راجع به شیوه نگهداری اطلاعاتتان هستند و به منظور گشودن رمز فایل ها بایستی عوارض بپردازید.
هنگامی که برای فایل ها رمز گذاشته شد، راه حل آن به سرور سازندگان بدافزار ارسال می گردد. زمانی که عوارض درخواستی را واریز کردید، چنان چه عوارض را به درستی پرداخت کنید، داده های شما باز گردانده می شود.
کمپانی به اسم BitDefender این قابلیت را دارد که رمز فایل های موجود در سیستم شما را گشوده و بدافزار Ransom-ware را ریمو نماید. مثل همیشه، آپدیت و به روزرسانی پایگاه داده امضا اهمیت بسیار زیادی دارد.
پیش از اینکه بتوانید آپدیت را انجام دهید، بایستی برنامه اسکن را نصب کنید. از جمله برنامه های اسکنی که بسیار مورد تایید است و به وسیله سیستم عامل لینوکس به کار برده می شود، ClamAV است.
ClamAV را نصب نمایید، برنامه ClamAV را می توانید از راه یک منبع استاندارد برای هر دو سیستم Red Hat و Debian نصب کنید. برای سیستم های Red Hat باید به گزینه های زیر عمل کنید:
yum -y install clamav clamav-devel clamav-update
بعد از نصب، بایستی فایل “etc/clamav/freshclam.conf/” را ویرایش کنید.
تقریبا بعد از هفت خط پایینتر خطی است که «Example» در آن تایپ شده است.
خط باید ## در ابتدا داشته باشد تا “Example#” پدیدار گردد.
در پایین تر، خطی نوشته شده است که با “DatabaseDirectory#” آغاز می شود و یک پوشه در زیر آن وجود دارد.
نشان هشتک (#) را از ابتدای عبارت پاک کنید تا خط را از حالت کامنت خارج نمایید.
یک خط دیگر که باید در پایین فایل افزود«DatabaseMirror database.clamav.net» است.
فایل را سیو کرده و در ترمینال فرمان زیر را تایپ کنید:
sudo chmod -R 777 /usr/lib/clamav
شما بایستی بتوانید فرمان”freshclam” را در ترمینال به منظور آپدیت پایگاه داده ClamAV ارسال کنید.
در سیستم دبیان بایستی فرمان زیر را تایپ کنید:
sudo apt-get install -y clamav
ClamAV بایستی به صورت پیش فرض هر یک ساعت به صورت اتوماتیک آپدیت شود.
چنان چه بخواهید فرمان “freshclam” را به منظور آپدیت نمودن انجام دهید، پایگاه داده متوقف می شود.
حالا که برنامه اسکن نصب شده است، بایستی تعاریف و برنامه LMD را نصب نموده و بدافزارها را در سرور لینوکس شناسایی کنید.