كيفية فحص نظام Linux الخاص بك للبحث عن الفيروسات و Rootkits

How to Scan Your Linux Computer for Viruses and Rootkits

هل أنت قلق من أن جهاز الكمبيوتر الخاص بك الذي يعمل بمظام التشغيل Linux قد يكون مصاب بالبرامج الضارة؟ هل سبق لك أن فحصته؟ في حين أن أنظمة Linux تميل إلى أن تكون أقل عرضة للبرامج الضارة مقارنة بـ Windows ، إلا إنها لا تزال مهددة بالاصابة بالفيروسات المختلفة. في كثير من الأحيان نظام Linux أقل عرضة بعض الأخطار أيضًا.

كيفية فحص نظام Linux الخاص بك للبحث عن الفيروسات و Rootkits - لينكس
كيفية فحص كمبيوتر Linux الخاص بك للبحث عن الفيروسات والروتكيتس

هناك حفنة من الأدوات مفتوحة المصدر المُمتازة لمساعدتك على التحقق مما إذا كان نظام Linux الخاص بك ضحية البرمجيات الخبيثة أم لا. في حين لا يوجد تطبيق مثالي ، ولكن هذه التطبيقات الثلاثة لديها سمعة طيبة ويُمكن الوثوق بها للعثور على التهديدات الأكثر شهرة.

1. ClamAV

ClamAV هو تطبيق لمكافحة الفيروسات، وربما يكون التطبيق الأكثر دراية بها. هناك في الواقع نسخة لـ Windows من ClamAV أيضًا.

تثبيت ClamAV و ClamTK

ClamAV والواجهة الرسومية  الأمامية يتم تعبئتهما بشكل منفصل. وذلك لأن ClamAV يُمكن تشغيله من سطر الأوامر دون واجهة المستخدم الرسومية، إذا اخترت ذلك. وبغض الظر ، لا تزال الواجهة الرسومية هي أسهل للاستخدام بالنسبة لمعظم الناس. وفيما يلي كيفية تثبيتهما.

بالنسبة إلى التوزيعات المستندة على Debian و Ubuntu:

sudo apt install clamav clamtk

يمكنك أيضًا العثور على clamav و clamtk  في مدير حزم التوزيعة الخاص بك إذا كنت لا تستخدم توزيعة Ubuntu الأساسية.

بعد تثبيت كل من الأدوات ، يجب عليك عمل تحديث قاعدة بيانات الفيروسات. على عكس كل شيء مع ClamAV ، يجب عليك تشغيل هذا الأمر:

sudo freshclam

هناك فرصة أن يتم تشغيل freshclam كعملية خفية. لتشغيله يدويا، عليك إيقاف العملية الخفية مع systemctl. ثم، يمكنك تشغيله بشكل طبيعي.

sudo systemctl stop clamav-freshclam

سوف يستغرق بعض الوقت، لذلك يجب عليك السماح لـ ClamAV برعاية الأشياء.

تشغيل الفحص الخاص بك

كيفية فحص نظام Linux الخاص بك للبحث عن الفيروسات و Rootkits - لينكس

قبل تشغيل الفحص ، انقر فوق زر “إعدادات” وقم بإلغاء تحديد خيار “Scan files beginning with a dot” وخيار “Scan files larger than 20 MB” ، بالإضافة إلى “Scan directories recursively.”.

كيفية فحص نظام Linux الخاص بك للبحث عن الفيروسات و Rootkits - لينكس

ارجع إلى القائمة الرئيسية وانقر على “Scan A Directory.”. حدد الدليل الذي تُريد التحقق منه. إذا كنت ترغب في فحص الكمبيوتر بالكامل، حدد “Filesystem.” قد تحتاج إلى إعادة تشغيل ClamTK من سطر الأوامر مع Sudo من أجل عمله.

كيفية فحص نظام Linux الخاص بك للبحث عن الفيروسات و Rootkits - لينكس

بعد اكتمال الفحص، سيقدم لك ClamTK أي تهديدات يكون قد اكتشفها ويسمح لك باختيار ما يجب القيام به معها. ومن الواضح أن حذفها أفضل شيئ يُمكن التفكير فيه ، ولكن قد يؤدي إلى زعزعة استقرار النظام. هذا الأمر يعود الى قرارتك الأفضل والامر المناسب لك.

2. Chkrootkit

تطبيق الفحص التالي الذي قد ترغب في تثبيته هو Chkrootkit. فهو يقوم بفحص نوع من البرامج الضارة المحددة لأنظمة Unix مثل Linux و MacOS – rootkit. كما يوحي اسمه، فالهدف منه هو البحث عن ملفات rootkit المستخدمة لمساعدة المهاجمين للحفاظ على الوصول إلى النظام مع تجنب الكشف من طرف المستخدم أو أدوات المستخدم.

Chkrootkit يقوم بفحص ملفات النظام للبحث عن علامات من التعديلات الخبيثة والتحقق منها من خلال قاعدة بيانات من rootkit المعروفة.

Chkrootkit متوفر في معظم مستودعات مختلف التوزيعات. حيث يتم تثبيته من خلال مدير الحزم:

sudo apt install chkrootkit

تحقق من Rootkits

كيفية فحص نظام Linux الخاص بك للبحث عن الفيروسات و Rootkits - لينكس

هذا التطبيق من السهل جدا تشغيله. فقط عليك كتابة الأمر chkrootkit أو مع sudo.

sudo chkrootkit

حيث إنه سيتم تشغيل أسفل قائمة Rootkit المحتملة بسرعة كبيرة. قد يتوقف لفترة من الوقت حين يتم فحص ملفات النظام. يجب أن تتأكد من أنه تم الإشارة إلى “Not found” أو “Not infected” بجوار كل سطر.

التطبيق لا يعطي التقرير النهائي عند الانتهاء، لذلك ستعود من خلاله والتحقق يدويًا من النتائج.

الإيجابيات الكاذبة المعروفة

هناك علة غريبة مع Chkrootkit وهي التقارير الإيجابية الكاذبة: Linux/Ebury – عملية Wendigo. هذه المشكلة معروفة منذ فترة طويلة مع إدخال العلامة -g في Shell. هناك بضعة اختبارات يدوية يُمكنك تشغيلها للتحقق من الإيجابية الكاذبة.

أولا، قم بتشغيل ما يلي:

find /lib* -type f -name libns2.so

وينبغي أن لا يحصل أي شيء. بعد ذلك، تحقق من أن البرامج الضارة لا تستخدم مقبس مقبس نطاق Unix.

netstat -nap | grep "@/proc/udevd"

إذا لم يقم أي أمر بتشغيل أي نتائج، فإن النظام نظيف.

يبدو أن هناك أيضا إيجابية كاذبة جديدة إلى حد ما على Ubuntu. إذا لم يتم إرجاع النتيجة الإيجابية على النظام الخاص بك، فعليك التحقيق أكثر من ذلك ، ولكن كن على علم بأن النتيجة قد تكون غير صحيحة.

3. Rkhunter

Rkhunter هو تطبيق آخر للبحث عن التهديدات. انه جيد لفحص النظام بحثًا عن كل ما يقوم به Chkrootkit للتأكد من أنه لا شيء قد عاد من خلال الشقوق والتحقق من الايجابيات الكاذبة.

مرة أخرى، يجب أن يكون هذا التطبيق متوفر في مستودعات التوزيعة الخاصة بك.

sudo apt install rkhunter

تشغيل الفحص الخاص بك

كيفية فحص نظام Linux الخاص بك للبحث عن الفيروسات و Rootkits - لينكس

أولا، عليك تحديث قاعدة البيانات لـ Rkhunter.

sudo rkhunter --update

ثم قم بتشغيل الفحص.

sudo rkhunter --check

سوف يتوقف البرنامج بعد كل قسم. ربما ترى بعض التحذيرات. تنشأ العديد من بسبب تكوينات دون الأمثل. عند انتهاء الفحص، سيخبرك بإلقاء نظرة على سجل النشاط الكامل في /var/log/rkhunter.log. يمكنك أن ترى سبب كل تحذير هناك.

كما أنه يوفر لك ملخص كامل لنتائج الفحص.

إغلاق الأفكار

نأمل أن يتحول النظام الخاص بك الى نظام نظيف. كن حذرًا وتحقق من أي نتائج تتلقاها قبل القيام بأي شيء جذري.

إذا كان هناك شيء خاطئ بشكل مشروع، فزن خياراتك. إذا كان لديك Rootkit ، قم بعمل نسخة احتياطية من الملفات الخاصة بك وقم بتهيئة محرك الأقراص. لا توجد حقًا أي وسيلة أخرى.

عليك الحفاظ على تحديث هذه البرامج وفحص ملفات النظام بانتظام. الأمن يتطور دائما والتهديدات تأتي وتذهب. والامر متروك لك للبقاء مُحدثًا واليقظة. تعرف على أفضل برامج مكافحة فيروسات المجانية على Linux.

المصدر
زر الذهاب إلى الأعلى