Introduction
Les serveurs voient un niveau constant d’attaques et d’analyses de port à tout moment, alors qu’un pare-feu et des mises à jour régulières du système sont une bonne première couche de défense pour assurer la sécurité du système, mais vous devez également vérifier régulièrement si quelqu’un y entre !. Les outils décrits dans ce didacticiel sont conçus pour ces contrôles de sécurité et permettent de détecter les comportements malveillants, les virus, les rootkits et les comportements malveillants. Vous pouvez les faire fonctionner régulièrement, par exemple toutes les nuits, et vous envoyer des rapports par courrier électronique.
1 – Chkrootkit – Un scanner de rootkits Linux
Chkrootkit est un scanner de rootkit classique. Il vérifie sur votre serveur les processus de rootkit suspects et la liste des fichiers de rootkit connus. Vous pouvez installer Chkrootkit à partir du source ou du référentiel officiel Ubuntu. Dans ce tutoriel, nous allons l’installer via un package de référentiel car c’est très simple:
apt-get install chkrootkit
Pour vérifier votre serveur avec Chkrootkit, exécutez la commande ci-dessous:
chkrootkit
Il va commencer à vérifier votre système pour les malwares et les rootkits et une fois le processus terminé, vous pouvez voir le rapport. Par conséquent, si vous souhaitez que votre système soit régulièrement analysé par Chkrootkit, vous pouvez créer un travail Cron à l’aide des instructions suivantes. Dans cette section, nous allons créer un travail Cron pour que Chkrootkit analyse votre système une fois par semaine et vous envoie les rapports par courrier électronique. Tout d’abord, ouvrez votre configuration Cron avec la commande suivante
crontab -e
Collez maintenant la ligne suivante dans le fichier, puis enregistrez et quittez (Assurez-vous de remplacer les parties rouges par votre propre adresse électronique):
0 0 * * 6 /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of my server" you@yourmail.com
Maintenant, votre serveur sera analysé tous les vendredis à minuit et les résultats vous seront envoyés par courrier électronique.
2 – Lynis – Outil d’audit de sécurité universel et scanner Rootkit
Lynis (anciennement rkhunter) est un outil d’audit de sécurité destiné aux systèmes Linux et BSD. Il effectue un audit scrupuleux de nombreux aspects de la sécurité et des configurations de votre système. Nous allons installer Lynis en utilisant le source. Au moment de la rédaction de ce tutoriel, la dernière version stable est «2.5.7», mais vous pouvez toujours obtenir le lien de téléchargement de la dernière version sur son site officiel: https://cisofy.com/downloads/lynis/ Basculez vers le répertoire “opt” pour télécharger le fichier “tar”:
cd /opt/
Exécutez les commandes suivantes pour télécharger, extraire et déplacer les fichiers vers un emplacement approprié:
wget https://cisofy.com/files/lynis-2.7.4-100.tar.gz
tar xvzf lynis-2.7.4-100.tar.gz
mv lynis /usr/local/
Créez un lien symbolique du fichier binaire vers un chemin d’accès exécutable pour un accès facile:
ln -s /usr/local/lynis/lynis /usr/local/bin/lynis
Maintenant, vous pouvez commencer à analyser votre système avec la commande ci-dessous:
lynis audit system
Lynis effectuera une analyse complète et vous en montrera un résumé à la fin. Vous pouvez également ajouter un travail Cron pour lynis à l’aide des instructions suivantes: ouvrez votre configuration Cron avec la commande suivante:
crontab -e
Collez maintenant la ligne suivante dans le fichier, puis enregistrez et quittez (Assurez-vous de remplacer les parties rouges par votre propre adresse électronique):
0 0 * * 6 /usr/local/bin/lynis 2>&1 | mail -s "Lynis Reports of my server" you@yourmail.com
Maintenant, votre serveur sera analysé tous les vendredis à minuit et les résultats vous seront envoyés par courrier électronique.
ou
apt-get install lynis
Puis : https://cisofy.com/documentation/lynis/get-started/
3 – ISPProtect – Analyseur de programmes malveillants pour sites Web
ISPProtect est un scanner de logiciels malveillants pour serveurs Web. Il recherche les logiciels malveillants présents dans les fichiers de sites Web et les systèmes de gestion de contenu tels que WordPress, Joomla, Drupal, etc. Si vous exécutez un serveur d’hébergement Web, les sites Web hébergés constituent la partie la plus attaquée de votre serveur. recommandé de faire des contrôles de santé sur eux régulièrement. ISPProtect contient 5 moteurs d’analyse: Analyseur de logiciels malveillants basé sur les signatures. Scanner heuristique de malware. Un scanner pour afficher les répertoires d’installation des systèmes CMS obsolètes. Un scanner qui vous montre tous les plugins WordPress obsolètes sur l’ensemble du serveur. Un analyseur de contenu de base de données qui vérifie le contenu potentiellement malveillant des bases de données MySQL. ISPProtect n’est pas un logiciel gratuit, mais il existe un essai gratuit que vous pouvez utiliser sans enregistrement pour le tester ou nettoyer un système infecté. En outre, ISPProtect nécessite l’installation de PHP sur le serveur. Si vous ne l’avez pas déjà installé, vous pouvez l’installer à l’aide de la commande suivante:
apt-get install php php-cli
Après avoir installé PHP, vous pouvez installer ISPProtect en exécutant une à une les commandes suivantes:
mkdir -p /usr/local/ispprotect
cd /usr/local/ispprotect
wget http://www.ispprotect.com/download/ispp_scan.tar.gz
tar xzf ispp_scan.tar.gz
chown -R root:root /usr/local/ispprotect
chmod -R 750 /usr/local/ispprotect
Maintenant, vous pouvez créer un lien symbolique vers votre chemin d’exécutable pour un accès facile:
ln -s /usr/local/ispprotect/ispp_scan /usr/local/bin/ispp_scan
Exécutez la commande suivante pour démarrer ISPProtect:
ispp_scan
Le scanner vérifie automatiquement les mises à jour, puis demande la clé dans laquelle vous pouvez saisir le mot «ESSAI». Ensuite, il vous sera demandé le chemin de votre site Web, par exemple “/ var / www /” Après cela, l’analyseur commencera à analyser et à vous montrer les éléments infectés. À la fin de l’analyse, les résultats seront stockés dans le répertoire d’installation d’ISPProtect. Pour exécuter ISPProtect en tant que tâche Cron hebdomadaire, vous pouvez suivre les instructions suivantes:
crontab -e
Ajoutez la ligne suivante au fichier puis enregistrez et quittez (Assurez-vous de remplacer les parties rouges par vos propres valeurs)
0 0 * * 6 /usr/local/ispprotect/ispp_scan --update && /usr/local/ispprotect/ispp_scan --path= /var/www --email-results= you@yourmail.com --non-i
4 – Bannir des IP avec fail2ban
Fail2ban est une application qui analyse les logs de divers services (SSH, Apache, FTP…) en cherchant des correspondances entre des motifs définis dans ses filtres et les entrées des logs. Lorsqu’une correspondance est trouvée une ou plusieurs actions sont exécutées. Typiquement, fail2ban cherche des tentatives répétées de connexions infructueuses dans les fichiers journaux et procède à un bannissement en ajoutant une règle au pare-feu iptables pour bannir l’adresse IP de la source.
apt-get install fail2ban
DROP silencieux au lieux d’un REJECT
sudo printf "[Init]\nblocktype = DROP" > /etc/fail2ban/action.d/iptables-blocktype.local
sudo service fail2ban restart