Trovare e rimuovere backdoor su un server Linux

In questo articolo ti mostriamo tre strumenti che possono aiutarti ad identificare e rimuovere rootkit e altri malware sul tuo server.

Nota bene:

I programmi utilizzati non garantiscono che ogni backdoor venga trovato. Puoi esserne sicuro solo quando reinizializzi il server.

Rilevare rootkit tramite rkhunter

Rootkit Hunter controlla che il server non contenga rootkit esistenti e noti.

Scaricare rkhunter:

wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.2/rkhunter-1.4.2.tar.gz

Decomprimere:

tar xfz rkhunter-1.4.2.tar.gz

Selezionare un profilo predefinito ed eseguire l'installazione:

sudo ./rkhunter-1.4.2/installer.sh --layout default --install

Aggiornare il database dei known-bad Hash e dei known-good Hash:

sudo /usr/local/bin/rkhunter --update --propupd

Eseguire:

sudo /usr/local/bin/rkhunter --check

Puoi trovare maggiori informazioni e il manuale di rkhunter sul sito web ufficiale (inglese).

CLamAV: lo scanner antivirus per Linux e Windows

Lo scanner antivirus open source ClamAV è disponibile per i sistemi operativi Windows, Linux, BSD, Solaris e Mac OS X. I pacchetti di installazione e il codice sorgente possono essere scaricati sul sito ufficiale.

Qui puoi trovare una descrizione dell'installazione su diversi sistemi operativi.

Maldetect (Linux Malware Detect)

Maldetect è uno scanner malware, basato su ClamAV, per Linux. Un'installazione ClamAV funzionante è quindi un prerequisito per l'utilizzo di Maldetect.

Scaricare:

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Decomprimere:

tar xfz maldetect-current.tar.gz

Avviare l'installazione. Sostituisci 1.x.x con il numero di versione attuale:

./maldetect-1.x.x/install.sh

Aggiornare le definizioni del malware:

maldet -u

Visualizzare l'elenco dei file sospetti. Il nome di log viene mostrato al termine della scansione:

maldet --report xxxxxx-xxxx.xxxx

Puoi trovare ulteriori informazioni su Linux Malware Detect sul sito ufficiale (inglese).