Kötü amaçlı yazılımlar(malware) ve arka planda çalışan gizli uygulamalar(rootkit) tespiti için sistemde belirli aralıklarla tarama işlemleri gerçekleştirmek gerekir.
Taramalarda önceliğimiz ilk başta Lynis olabilir. Bunun için yapmamız gerekenler
wget https://downloads.cisofy.com/lynis/lynis-2.7.5.tar.gz
tar xvzf lynis-2.7.5.tar.gz
Dosyaları direk ana dizinde tutmak yerine /usr/local/share/
yolunda tutmak işimize yarayabilir.
mv lynis/ /usr/local/share/
ln -s /usr/local/share/lynis/lynis /usr/local/bin/lynis
Ardından güzel güzel ilk taramamızı lynis audit system
ile yapalım.
Loglar ise /var/log/lynis.log
adlı dosyada yer almaktadır. Tarama tamamlandığında dosyayı kontrol edebilirsiniz. Ayrıca bu dosyayı gene alanında uzman kişilere atarak hızlıca çözüm üretilmesini sağlayabilirsiniz.
Hemen ardından kullanabileceğimiz bir başka aracımız ise Chkrootkit, sisteme dahil etmesi oldukça basit olan bu araç hem ücretsiz hemde belirtileri tarama konusunda oldukça etkili.
apt-get install chkrootkit
Kurulum tamamlandıktan hemen sonra sudo chkrootkit
komutu ile taramayı başlatabilirsiniz.
Tarama sırasında bilinen bütün rootkitler ve malwareler için tarama yapılır.
Açık kaynak kodlu ClamAV ile sistemde virüs, malware ve trojen ile birlikte diğer kötücül programların tespiti yapılabilir.
sudo apt-get install clamav
Kurulum tamamlandıktan sonra normalde freshclam
komutu ile veritabanında güncelleme yapmamız gerekir. Ancak kurulumdan hemen sonra arka planda otomatik olarak bu işlem yapılacağı için bahsi geçen komutun kullanımını tamamen size bırakıyorum.
Belirli dizinlerin taranması için ise aşağıdaki komutu kullanabilirsiniz.
clamscan -r -i <dizin-adi>
Bu araçların dışında kullanabileceğiniz bir kaç araç daha bulunmaktadır.
- Rkhunter
- LMD
- ISPProtect