Malware ve Rootkit Taraması (ClamAV & Rkhunter)

Linux güvenliğinde "Antivirüs gereksizdir" efsanesi, modern tehditler karşısında geçerliliğini yitirmiştir. Sunucunuzda Windows virüsleri çalışmasa bile, zararlı yazılımları barındırıp ağdaki diğer cihazlara yayabilir veya Rootkit denen sinsi araçlarla ele geçirilebilir.

Lynis, malware tarayıcısı bulamazsa güvenlik puanınızı düşürür. Bu rehberde en iyi ikili kombinasyonu kuracağız: ClamAV + Rkhunter.

1. Hangi Aracı Neden Seçtik?

Tek bir araç yetmez, çünkü odak noktaları farklıdır:

Araç	Odak	Ne Yapar?	Kaynak Tüketimi
ClamAV	Virüs & Malware	Dosya sistemindeki bilinen zararlıları (trojan, mine scriptleri, Windows virüsleri) tarar.	Orta (Tarama sırasında)
Rkhunter	Rootkit	Sistem dosyalarının değiştirilip değiştirilmediğini (checksum) ve backdoor (arka kapı) belirtilerini kontrol eder.	Çok Düşük

Öneri: İkisini birlikte kullanın. Birbirlerini tamamlarlar.

2. ClamAV Kurulumu (Antivirüs)

En popüler açık kaynaklı antivirüs motorudur.

Kurulum

sudo apt update
sudo apt install clamav clamav-daemon -y

Veritabanı Güncelleme

Kurulumdan sonra virüs veritabanını güncelleyin. Eğer freshclam servisi çalışıyorsa önce durdurun:

sudo systemctl stop clamav-freshclam
sudo freshclam
sudo systemctl start clamav-freshclam

Manuel Tarama

Tüm sistemi taramak uzun sürer ve CPU kullanır. Önce kritik dizinleri tarayın:

# Sadece Home dizinini tara, enfekte dosyaları göster (-i), öterek uyar (--bell)
sudo clamscan -r -i --bell /home

# Tüm sistemi tara (Uzun sürer!)
# sudo clamscan -r -i / --exclude-dir="^/sys" --exclude-dir="^/proc" --exclude-dir="^/dev"

3. Rkhunter Kurulumu (Rootkit Avcısı)

Rootkit'ler, kendilerini gizleyen ve sistemin çekirdeğine sızan zararlılardır. Rkhunter, sistem dosyalarının (ls, ps, top gibi) değiştirilip değiştirilmediğini kontrol eder.

Kurulum

sudo apt install rkhunter -y

İlk Ayar (Önemli!)

Rkhunter kurulduktan sonra sisteme "Şu anki halim temizdir, bunun fotoğrafını çek" demelisiniz. Buna Snapshot denir.

# Mevcut dosya özelliklerini veritabanına kaydet
sudo rkhunter --propupd

Tarama Yapma

# Taramayı başlat (Enter'a basmadan geçmek için --sk)
sudo rkhunter --check --sk

Logları incelemek için:

sudo cat /var/log/rkhunter.log | grep -i warning

Not: Rkhunter bazen "Hidden file found" gibi yanlış alarmlar (False Positive) verebilir. Örneğin /usr/bin/wp (WordPress CLI) gibi scriptleri şüpheli bulabilir. Loglardan kontrol edip güvenliyse rkhunter.conf dosyasına ekleyebilirsiniz.

4. Otomasyon (Gece Taraması)

Her gün manuel tarama yapmak zordur. Bunu otomatize edelim.

Günlük Cron Job Oluşturma

Haftanın her günü gece 03:00'te çalışacak bir script ayarlayalım.

Cron dosyasını açın:
```
sudo crontab -e
```

En alta şu satırı ekleyin:

# Her gece 03:00'te ClamAV taraması (Sadece /home ve /var/www)
0 3 * * * /usr/bin/clamscan -r -i /home /var/www > /var/log/clamav-daily.log 2>&1

# Her gece 03:30'da Rkhunter taraması (Sadece güncelleme ve kontrol)
30 3 * * * /usr/bin/rkhunter --update --propupd --check --sk > /var/log/rkhunter-daily.log 2>&1

bu sayede sabah kalktığınızda logları kontrol edebilirsiniz.

5. Özet

Bu iki aracı kurarak:

Lynis Puanınızı Arttırdınız: Lynis artık "Malware scanner found" diyecek.
Dosya Güvenliği: Sunucunuza yüklenen zararlı dosyaları (ClamAV) fark edeceksiniz.
Sistem Bütünlüğü: Eğer bir hacker ls komutunu değiştirip kendi dosyalarını gizlerse (Rootkit), Rkhunter bunu yakalayacak.

6. Kurulumu Nasıl Test Ederim?

Her şeyi kurduk ama çalışıyor mu? Hemen test edelim.

ClamAV Testi (EICAR Dosyası)

Antivirüs sistemlerini test etmek için kullanılan zararsız bir test dosyası vardır (EICAR).

Test dosyasını indirin:

wget https://secure.eicar.org/eicar.com.txt

Taramayı çalıştırın:
```
clamscan eicar.com.txt
```
Sonuç: Çıktıda eicar.com.txt: Win.Test.EICAR_HDB-1 FOUND yazısını görüyorsanız ClamAV çalışıyor demektir! (Test dosyasını silebilirsiniz).

Rkhunter Testi

Rkhunter'ın versiyonunu ve veritabanı durumunu kontrol edin.

sudo rkhunter --versioncheck

Eğer hata vermiyorsa ve versiyon numarasını görüyorsanız kurulum başarılıdır.