Linux系统安全笔记
https://insecure.org/
https://sectools.org/
SecTools.Org:排名前125的网络安全工具
http://www.ibm.com/developerworks/cn/edu/l-dw-l-harden-desktop.html
https://www.ibm.com/developerworks/cn/education/linux/l-harden-desktop/l-harden-desktop-pdf.pdf
增强 Linux 桌面安全性
https://www.ibm.com/developerworks/cn/education/linux/l-harden-server/index.html
https://www.ibm.com/developerworks/cn/education/linux/l-harden-server/l-harden-server-pdf.pdf
增强 Linux 服务器
-----恶意软件有哪些---------------------------------
https://en.wikipedia.org/wiki/Linux_malware
Malware(恶意软件)是 malicious software 的简称。
任何以破坏计算机系统或网络为目的的程序都是恶意软件。
1 Botnets 僵尸网络;
2 Ransomware 勒索软件;
3 Rootkits;
4 Trojan 木马;
5 Virus 病毒;
6 Worms 蠕虫;
7 Spyware 间谍程序等.
-----防范及检测软件-----------------------------------
ClamAV® is an open source antivirus engine for detecting trojans, viruses, malware & other malicious threats
ClamAV 是一种开源防病毒引擎,用于检测特洛伊木马,病毒,恶意软件和其他恶意威胁
https://www.clamav.net/
The latest stable release is 0.101.0; 2018-12-03 15:59:09 UTC
rkhunter
http://rkhunter.sourceforge.net/
Rootkit Hunter release 1.4.6 (February 20th 2018)
http://www.chkrootkit.org/
chkrootkit 0.52现已推出!(发布日期:2017年3月15日)
chrootkit 是一个在本地检查rootkit标志的工具。它包含:
chkrootkit:shell脚本,用于检查系统二进制文件以进行rootkit修改。
ifpromisc.c:检查接口是否处于混杂模式。
chklastlog.c:检查l astlog删除。
chkwtmp.c:检查wtmp删除。
check_wtmpx.c:检查wtmpx删除。(仅限Solaris)
chkproc.c:检查LKM特洛伊木马的迹象。
chkdirs.c:检查LKM特洛伊木马的迹象。
strings.c:快速和脏字符串替换。
chkutmp.c:检查utmp删除。
大多数反病毒软件不能与其他反病毒程序同时运行,但是 rootkit hunters 却可以。为了得到更全面
的保护,可以安装 chkrootkit,并让它与 rkhunter 一起运行。
-----防病毒软件的安装和使用---------------------------------
https://www.clamav.net/downloads
安装ClamAV:
apt-get install clamav
apt-get install clamav-daemon
如果您需要支持扫描压缩的RAR文件,首先需要启用非自由存档,然后您可以使用以下命令安装RAR插件:
apt-get install libclamunrar6
sudo freshclam //更新病毒定义
sudo freshclam -v //查看是否有新的定义
如果更新时提示如下,说明自动运行并在后台运行
freshclam.log is locked by another process
您可以使用该lsof命令找出正在使用该文件的进程,在您运行的情况下运行:
sudo lsof /var/log/clamav/freshclam.log
如果要停止守护程序并手动运行它:
sudo systemctl stop clamav-freshclam.service
手动运行:
sudo freshclam
clamscan //对主文件夹的手动扫描,并报告有多少目录和文件被扫描。它还会告诉您发现
了多少被感染的文件。
clamdscan //
sudo apt-get install ClamTK //用于 ClamAV 的 GUI
apt-cache show clamtk
要打开 ClamTK,按下 Alt-F2,输入 gksu clamtk,然后单击 Run。这样将以让程序运行所需的权限
启动 ClamACV GUI。
freshclam --datadir=/var/lib/clama/ #指定目录,这是默认目录。
sudo pkill -15 -x freshclam
然后手动运行:
sudo freshclam
但是在这种情况下,您可以使用:
sudo systemctl stop clamav-freshclam.service
停止守护进程。
sudo /etc/init.d/clamav-freshclam stop
sudo freshclam
sudo /etc/init.d/clamav-freshclam start
sudo service clamav-freshclam stop
sudo freshclam
sudo service clamav-freshclam start
sudo service clamav-freshclam status
https://askubuntu.com/questions/909273/clamav-error-var-log-clamav-freshclam-log-is-locked-by-another-process
can't download main.cvd from db.local.clamav.net
如果更新失败,可以手动下载病毒库:
http://database.clamav.net/main.cvd
http://database.clamav.net/daily.cvd
http://database.clamav.net/bytecode.cvd
https://blog.csdn.net/zourzh123/article/details/45719757
clamav的病毒库可以在安装后配置自动升级,也可以按如下方法手动获取:
http://db.cn.clamav.net/daily.cvd
http://db.cn.clamav.net/main.cvd
http://db.cn.clamav.net/safebrowsing.cvd
http://db.cn.clamav.net/bytecode.cvd
---------------------
sigtool的用法
下载的病毒库cvd是由zlib压缩库压缩的文件,前512个bytes是一个特殊的头文件,记录引擎病毒库的简单信息,包括名字、创建时间、版本号、签名数量等,然后一个接
着一个存储病毒库文件。
clamav提供了一个签名工具sigtool,可以查看、生成和解压缩病毒库,在clamav的运行代码中会通过cli_untgz函数解压缩cvd文件,可以通读代码了解详细过程。
1
sigtool -i main.cvd //sigtool查看cvd的信息
sigtool -u main.cvd //sigtool解压缩main.cvd
-----
1. 将如上地址下载的*.cvd文件放到例如:/home/tom/cvd/ 目录下;
2. 在该目录下执行如下命令:(需要安装python,也可使用其他web服务)
python -m SimpleHTTPServer #默认端口为8000
python -m SimpleHTTPServer 80 #指定端口为80
浏览器打开地址:127.0.0.1:8000 应该能看到你下载的cvd文件列表
3. 修改freshclam.conf配置文件
PrivateMirror 127.0.0.1
ScriptedUpdates no
https://www.clamav.net/documents/private-local-mirrors
----------------------------------
sudo apt-get install rkhunter
sudo rkhunter --check //然后按下 Enter 开始扫描
sudo rkhunter --update //Enter,然后输入密码。更新rkhunter版本
扫描可能被安装到桌面上的已知的恶意软件
扫描计算机上常用于后门访问的端口
扫描 startup 文件、组和账户、系统配置文件和文件系统
检查计算机上的应用程序。
---------------------------
sudo apt-get install chkrootkit
sudo chkrootkit //Enter。chkrootkit 立即开始扫描已知的漏洞和恶意软件
如果 rkhunter 或 chkrootkit 发现异常,它们会通知您,但是这些程序不会从计算机中删除文件。
如果该程序向您发出警告,那么可以搜索被报告的漏洞或恶意软件。
首先,确保发现的东西不是误报。
然后,确定采取什么必要的步骤来消除桌面受到的威胁。
有时候,只需更新操作系统或其他软件。
而在某些时候,必须找到恶意的程序,并将它从系统中删除。
------------------------------