Salı, Aralık 3, 2024

Linux Sunucularda Malware ve Rootkit Taraması Nasıl Yapılır?

yüksek çözünürlüklü kalkan görseli

Kötü amaçlı yazılımlar(malware) ve arka planda çalışan gizli uygulamalar(rootkit) tespiti için sistemde belirli aralıklarla tarama işlemleri gerçekleştirmek gerekir.

Taramalarda önceliğimiz ilk başta Lynis olabilir. Bunun için yapmamız gerekenler

wget https://downloads.cisofy.com/lynis/lynis-2.7.5.tar.gz
tar xvzf lynis-2.7.5.tar.gz

Dosyaları direk ana dizinde tutmak yerine /usr/local/share/ yolunda tutmak işimize yarayabilir.

mv lynis/ /usr/local/share/
ln -s /usr/local/share/lynis/lynis /usr/local/bin/lynis

Ardından güzel güzel ilk taramamızı lynis audit system ile yapalım.

lynis malware tarama, lynis aracı

Loglar ise /var/log/lynis.log adlı dosyada yer almaktadır. Tarama tamamlandığında dosyayı kontrol edebilirsiniz. Ayrıca bu dosyayı gene alanında uzman kişilere atarak hızlıca çözüm üretilmesini sağlayabilirsiniz.


Hemen ardından kullanabileceğimiz bir başka aracımız ise Chkrootkit, sisteme dahil etmesi oldukça basit olan bu araç hem ücretsiz hemde belirtileri tarama konusunda oldukça etkili.

apt-get install chkrootkit

Kurulum tamamlandıktan hemen sonra sudo chkrootkit komutu ile taramayı başlatabilirsiniz.

chkrootkit ile linux tarama, rootkit tarama araçları, rootkit nasıl taranır

Tarama sırasında bilinen bütün rootkitler ve malwareler için tarama yapılır.


Açık kaynak kodlu ClamAV ile sistemde virüs, malware ve trojen ile birlikte diğer kötücül programların tespiti yapılabilir.

 sudo apt-get install clamav

Kurulum tamamlandıktan sonra normalde freshclam komutu ile veritabanında güncelleme yapmamız gerekir. Ancak kurulumdan hemen sonra arka planda otomatik olarak bu işlem yapılacağı için bahsi geçen komutun kullanımını tamamen size bırakıyorum.

Belirli dizinlerin taranması için ise aşağıdaki komutu kullanabilirsiniz.

clamscan -r -i <dizin-adi>
clamav tarama sonucu, clamav dosya tarama

Bu araçların dışında kullanabileceğiniz bir kaç araç daha bulunmaktadır.

  • Rkhunter
  • LMD
  • ISPProtect