12个用于扫描Linux服务器安全漏洞和恶意软件的工具

尽管基于linux的系统通常被认为是无法渗透的，但仍然有需要严肃对待的风险。

rootkits、病毒、勒索软件和许多其他有害程序经常会攻击并给linux服务器带来问题。

无论操作系统如何，采取安全措施对于服务器来说是必须的。大型品牌和组织已经接管了安全措施，并开发了不仅能够检测缺陷和恶意软件，而且还能够纠正它们并采取预防措施的工具。

幸运的是，有一些价格便宜甚至免费的工具可以帮助完成这个过程。它们可以检测一个基于linux的服务器的不同部分中的缺陷。

lynis

lynis是一款备受赞誉的安全工具，也是linux专家的首选。它还适用于基于unix和macos的系统。它是一款开源软件应用程序，自2007年以来在gpl许可下使用。

lynis能够检测安全漏洞和配置缺陷。但它不仅仅是暴露漏洞，还建议采取纠正措施。因此，要获取详细的审计报告，必须在主机系统上运行它。

使用lynis不需要安装。你可以从下载的软件包或tarball中提取它并运行。你也可以从git克隆中获取它，以便访问完整的文档和源代码。

lynis是rkhunter的原始作者michael boelen创建的。它有两种针对个人和企业的服务类型。无论哪种情况，它都表现出色。

chkrootkit

正如你可能已经猜到的，chkrootkit是一个用于检查rootkit存在的工具。rootkit是一种恶意软件，可以使服务器对未经授权的用户开放访问权限。如果你正在运行基于linux的服务器，rootkit可能会成为一个问题。

chkrootkit是最常用的基于unix的程序之一，可以检测rootkit。它使用”strings”和”grep”（linux工具命令）来检测问题。

它可以从备用目录或救援光盘中使用，以便在已经受到入侵的系统上进行验证。chkrootkit的不同组件负责查找”wtmp”和”lastlog”文件中的已删除条目，查找sniffer记录或rootkit配置文件，并检查”/proc”中的隐藏条目或调用”readdir”程序。

要使用chkrootkit，你应该从服务器获取最新版本，提取源文件，编译它们，然后开始使用。

rkhunter

开发者micheal boelen是在2003年制作的rkhunter（rootkit hunter）。它是适用于posix系统的合适工具，可以帮助检测rootkit和其他漏洞。rkhunter彻底检查文件（无论是隐藏的还是可见的）、默认目录、内核模块和错误配置的权限。

在常规检查后，它将它们与数据库的安全和正确记录进行比较，并寻找可疑程序。由于该程序是用bash编写的，它不仅可以在linux机器上运行，还可以在几乎任何版本的unix上运行。

clamav

written in c++, clamav是一个开源的防病毒软件，可以帮助检测病毒、木马和许多其他类型的恶意软件。它是一个完全免费的工具，所以很多人用它来扫描个人信息，包括电子邮件，以查找任何恶意文件。它还作为服务器端的扫描器起到了重要的作用。

该工具最初是专门为unix开发的。但是，它有第三方版本，可以在linux、bsd、aix、macos、osf、openvms和solaris上使用。clamav会自动定期更新数据库，以便能够检测最新的威胁。它支持命令行扫描，并且具有多线程可伸缩的守护进程，以提高扫描速度。

它可以检测各种类型的文件中的漏洞。它支持所有类型的压缩文件，包括rar、zip、gzip、tar、cabinet、ole2、chm、sis格式、binhex和几乎所有类型的电子邮件系统。

lmd

linux malware detect -简称lmd-是另一个在linux系统上广受赞誉的防病毒软件，专门设计用于托管环境中通常发现的威胁。像许多其他可以检测恶意软件和rootkit的工具一样，lmd使用签名数据库来查找任何恶意运行代码并快速终止它。

lmd不仅限于自己的签名数据库。它可以利用clamav和team cymru的数据库来查找更多的病毒。为了填充其数据库，lmd从网络边缘入侵检测系统中捕获威胁数据。通过这样做，它能够为正在被积极用于攻击的恶意软件生成新的签名。

可以通过“maldet”命令行使用lmd。该工具专为linux平台而设计，可以轻松搜索linux服务器。

radare2

radare2（r2）是一个用于分析二进制文件和进行逆向工程的框架，具有出色的检测能力。它可以检测格式错误的二进制文件，为用户提供管理工具，并消除潜在威胁。它使用了nosql数据库sdb。软件安全研究人员和软件开发人员喜爱这个工具，因为它具有出色的数据展示能力。

radare2的一个杰出特点是用户不必使用命令行来完成静态/动态分析和软件利用等任务。它推荐用于对二进制数据进行任何类型的研究。

openvas

open vulnerability assessment system，或称为openvas，是一个用于扫描漏洞和管理漏洞的托管系统。它为各种规模的企业设计，帮助它们发现隐藏在基础设施中的安全问题。最初，该产品被称为gnessus，直到其当前所有者greenbone networks将其更名为openvas。

自4.0版本以来，openvas允许持续更新其网络漏洞测试（nvt）数据库-通常在少于24小时的时间内。截至2016年6月，它拥有超过47,000个nvt。

安全专家使用openvas，因为它具有快速扫描的能力。它还具有出色的可配置性。openvas程序可以从一个自包含的虚拟机中使用，用于进行安全的恶意软件研究。

它的源代码可在gnu gpl许可下获得。许多其他漏洞检测工具依赖于openvas，这就是为什么它被视为linux基础平台上的一款必备程序。

remnux

remnux使用逆向工程方法来分析恶意软件。它可以检测到许多隐藏在javascript混淆代码片段和flash应用程序中的基于浏览器的问题。它还可以扫描pdf文件和执行内存取证。该工具有助于检测无法轻易使用其他病毒检测程序扫描的文件夹和文件中的恶意程序。

它由于其解码和逆向工程能力而非常有效。它可以确定可疑程序的属性，并且由于其轻巧性，聪明的恶意程序几乎无法检测到它。它可以在linux和windows上使用，并且借助其他扫描工具可以提高其功能。

tiger

1992年，德克萨斯农工大学开始着手开发tiger以提高他们校园计算机的安全性。现在，它是unix-like平台上的一款热门程序。该工具的独特之处在于它不仅是一款安全审计工具，而且还是一款入侵检测系统。

该工具可在gpl许可下免费使用。它依赖于posix工具，它们可以一起创建一个完美的框架，可显著增强服务器的安全性。tiger完全使用shell语言编写，这是其效果出色的原因之一。它适用于检查系统状态和配置，其多用途的功能使其在使用posix工具的人群中非常受欢迎。

maltrail

maltrail是一款流量检测系统，能够保持服务器的流量干净，帮助其避免任何恶意威胁。它通过将流量来源与在线发布的黑名单网站进行比较来执行该任务。

除了检查黑名单网站外，它还使用高级启发式机制来检测不同类型的威胁。尽管这是一个可选功能，但当您认为服务器已经遭受攻击时，它会非常方便。

它具有一种传感器，能够检测服务器接收到的流量并将信息发送到maltrail服务器。检测系统会验证流量是否足够好，以便服务器和源之间的数据交换。

yara

yara（yet another ridiculous acronym）适用于linux、windows和macos，是用于研究和检测恶意程序的最重要工具之一。它使用文本或二进制模式来简化和加快检测过程，从而实现快速而简单的任务。

yara确实具有一些额外的功能，但您需要使用openssl库来使用它们。即使您没有该库，您也可以通过基于规则的引擎使用yara进行基本的恶意软件研究。它还可以在cuckoo sandbox中使用，这是一个基于python的沙箱，非常适合安全地研究恶意软件。

vuls

vuls是一款专为linux和freebsd系统设计的高级开源漏洞扫描器。它是一款无需在目标机器上安装任何软件的无主机扫描器。它可以部署在云平台、本地系统和docker容器上。

vuls使用多个漏洞数据库，如nvd、oval、freebsd-sa和changelog进行高质量的扫描。最好的是，它甚至可以检测到尚未由分发商发布补丁的漏洞。

它支持远程和本地扫描模式。在远程扫描模式下-您设置一个连接到目标服务器的中央vuls服务器通过ssh连接的服务器。但是，如果您不希望从中央服务器建立ssh连接，则可以在本地扫描模式下使用vuls。

vuls还可以检测非操作系统软件包中的漏洞。这包括您自己编译的软件包、语言库、框架等，只要它们在通用平台枚举（cpe）中注册。

它有一个教程，可以帮助您开始使用该工具，并支持电子邮件和slack通知，以便您可以接收有关扫描结果或其他信息的警报。

如何选择最佳工具？

我们上面提到的所有工具都非常好用，当一个工具在linux环境中很受欢迎时，您可以相当确信有成千上万的有经验的用户在使用它。系统管理员应记住的一件事是，每个应用程序通常依赖于其他程序。例如，clamav和openvas就是这种情况。

您需要了解您的系统需要什么以及可能存在哪些漏洞。首先，使用轻量级工具研究需要注意的部分。然后使用适当的工具解决问题。