ClamAV, ClamKt, RkHunter, Arch-Audit, Lynis.

https://www.clamav.net/

1. ClamAV :

ClamAV ® est un anti-virus open-source permettant de détecter :

- Les chevaux de Troie

- Les virus

- Les logiciels malveillants

- Autres menaces malveillantes.

Installation :

sudo pacman -S clamav

MAJ de la liste des virus :

sudo freshclam

- Si ce message d'erreur apparaît :

WARNING: Clamd was NOT notified

WARNING: Clamd was NOT notified: Can't connect to clamd through /var/lib/clamav/clamd.sock

connect(): No such file or directory

Alors, créer le fichier clamd.sock

sudo touch /var/lib/clamav/clamd.sock

sudo chown clamav:clamav /var/lib/clamav/clamd.sock

Ensuite, modifier en root, le fichier :

/etc/clamav/clamd.conf

Et ajouter cette ligne :

LocalSocket /var/lib/clamav/clamd.sock

ou bien décommenter (suppression du symbole #) cette ligne si déjà existante.

Enregistrez les modifications.

Passons maintenant, à l'utilisation de ClamAV :

- Lancer la MAJ de la liste des virus :

sudo freshclam

Lancement du scan :

- Pour scanner uniquement le dossier home/user :

sudo clamscan -r /home/user

- Pour scanner le disque en entier :

sudo clamscan -r /

L'option -r apporte une analyse récursive : arborescence complète de dossiers (sous-dossiers) et fichiers.

Le fichier journal du scann (log) se trouve dans :

/var/log/clamav/

Lors de certains résultats jugés comme positifs, Il peut (parfois) s'agir simplement d'un avertissement, d'un "faux positif".

Allez faire un tour sur : https://www.virustotal.com/fr/ pour vérifier :

Ne pas uploader de fichier à caractère sensible, car les fichiers soumis sont consultables.

Pour supprimer un fichier infecté :

sudo clamscan --remove "nom du fichier"

Pour déplacer les fichiers infectés dans un répertoire :

sudo clamscan --move="chemin du répertoire"

Configurer un scan automatique de ClamAV avec cron :

Ouvrir le fichier de configuration des crons :

vim /etc/crontab

Pour configurer, par exemple, un scan quotidien à 23H00 sur le home de l’user, ajoutez à la fin du fichier la ligne suivante :

00 23 * * * clamscan -i -r /home/"nom de l'user"

Rappel : Les règles s'écrivent de la manière qui suit :

* (minutes) * (heures) * (jour) * (mois) * (jour de la semaine) tâche.

L'option -i affiche uniquement les fichiers infectés.

2. ClamTk : ClamAV en GUI

ClamTk est une interface graphique pour ClamAV.

Il est conçu pour scanner facilement.

Installation :

sudo pacman -S clamtk

Résultat d'une analyse :

Lorsque le scan est terminé, une fenêtre va s'afficher pour présenter les résultats positifs :

Une fois que tous les fichiers sont détectés, vous devez les sélectionner et les mettre en quarantaine, ou les supprimer.

3. Rkunter : Chasseur de RootKit

http://rkhunter.sourceforge.net/

Rkhunter est un programme Unix qui permet de détecter les rootkits, portes dérobées et exploits. Pour cela, il compare les hash SHA-256, SHA-512, SHA1 et MD5 des fichiers importants avec les hash connus, qui sont accessibles à partir d'une base de données en ligne. Ainsi, il peut détecter les répertoires généralement utilisés par les rootkits, les permissions anormales, les fichiers cachés, les chaînes suspectes dans le kernel et peut effectuer des tests spécifiques.

Installer RkHunter :

sudo pacman -S rkhunter

Vérifier si dernière version :

sudo rkhunter --versioncheck

Mettre à jour le programme :

sudo rkhunter --update

Des fichiers peuvent être considérés comme suspects si la base de données n'est pas à jour.

Dans ce cas, lancez :

sudo rkhunter --propupd

Effectuer une vérification :

sudo rkhunter --checkall

Le fichier journal du scann (log) se trouve dans :

/var/log/rkhunter.log

Vérification avec juste les alertes importantes :

sudo rkhunter -c --rwo

Lister les différents tests effectués :

sudo rkhunter --list

De part l'exhaustivité des tests qu'il effectue, et à cause du nombre de systèmes sur lesquels il tourne, rkhunter renvoie généralement de nombreux avertissements.

L'analyse de ces avertissements (warnings) nécessite une bonne connaissance des systèmes Unix.

Dans une écrasante majorité des cas, ces avertissements son bénins et peuvent être ignorés.

4. Arch-Audit :

Outil de vérification des vulnérabilités logicielles pour Arch Linux. Arch-audit est un utilitaire pour Arch Linux et dérivés, qui permet d’identifier les paquets installés qui sont vulnérables à un problème de sécurité particulier.

Installation :

sudo pacman -S arch-audit

Utilisation :

lancer arch-audit

Source : https://memo-linux.com/arch-audit-outil-de-verification-de…/

Complément d'informations : https://www.ostechnix.com/find-vulnerable-packages-arch-li…/

5. Lynis :

Lynis est un utilitaire Open Source qui va auditer jusqu'au moindre recoin de votre machine et vous faire un gros résumé de toutes les préconisations pour améliorer la sécurité et les performances de celle-ci.

De plus Lynis détecte automatiquement les services installés et en fait l'audit (Apache2, Squid, etc).

A l’issue de l’analyse, un rapport est généré et permet aux administrateurs système de consulter les éventuelles failles de sécurité à résoudre pour garantir la sécurité du serveur.

Installation :

sudo pacman -S lynis

Lancer Lynis :

sudo lynis audit system

Vérifications :

Les chargeurs et services de démarrage

La configuration du noyau, les modules chargés, ceux en cours d’exécution

La mémoire et les processus

Les utilisateurs et les groupes

Les points de montage et le système de fichiers racine

Les services NFS et BIND

Les mises à jour et les référentiels de vos logiciels

Les règles Iptables et la configurations SELinux

Les serveurs Web Apache et nginx

La configurations SSH

Le mot de passe root, MySQL et les services LDAP

Les options PHP

Les options crontab / cron et ATD

Le démon NTP

L’expiration du certificat SSL

La présence de malwares

Les répertoires personnels.

Fichier log : var/log/lynis.log

Sources :

supinfo

cisofy

Morpheus.