Kuidas installida ja kasutada Linuxi pahavara tuvastamist (LMD) koos ClamAV-ga viirusetõrjemootorina

Pahavara ehk pahatahtlik tarkvara on tähistus, mis antakse igale programmile, mille eesmärk on arvutisüsteemi normaalse töö häirimine. Kuigi kõige tuntumad pahavara vormid on viirused, nuhkvara ja reklaamvara, võib kahju, mida nad kavatsevad tekitada, ulatudes erateabe varastamisest kuni isikuandmete kustutamiseni ja kõigest selleni, samal ajal kui pahavara teine klassikaline kasutusala on süsteemi, et seda kasutada robotivõrkude käivitamiseks (D) DoS-rünnakus.

Teisisõnu, te ei saa endale lubada mõelda: "" Ma ei pea oma süsteemi (d) turvama pahavara eest, kuna ma ei salvesta tundlikke ega olulisi andmeid ", sest need pole pahavara ainsad sihtmärgid .

Sel põhjusel selgitame selles artiklis, kuidas installida ja konfigureerida Linux Malware Detect (lühidalt ka MalDet või LMD ) koos ClamAV (viirusetõrjemootor) RHEL 8/7/6 (kus x on versiooni number), CentOS 8/7/6 ja Fedora 30-32 (samad juhised töötavad ka Ubuntu ja Debiani süsteemides) .

GPL v2 litsentsi alusel välja antud pahavara skanner, mis on spetsiaalselt loodud keskkondade majutamiseks. Kuid saate kiiresti aru, et saate MalDet -ist kasu, olenemata sellest, millises keskkonnas te töötate.

LMD installimine RHEL/CentOS ja Fedora

LMD pole veebihoidlatest saadaval, kuid seda levitatakse projekti veebisaidilt tarballina. Viimase versiooni lähtekoodi sisaldav tarball on alati saadaval järgmisel lingil, kust selle saab alla laadida käsuga wget:

# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Seejärel peame paki lahti pakkima ja sisestama kataloogi, kus selle sisu välja tõmmati. Kuna praegune versioon on 1.6.4 , on kataloog maldetect-1.6.4 . Sealt leiame installiskripti install.sh .

# tar -xvf maldetect-current.tar.gz
# ls -l | grep maldetect
# cd maldetect-1.6.4/
# ls

Kui kontrollime ainult 75 rea pikkust installiskripti (koos kommentaaridega), näeme, et see mitte ainult ei installi tööriista, vaid teeb ka eelkontrolli, et näha, kas installimise vaikekataloog ( /usr/local/maldetect ) on olemas. Kui ei, loob skript enne jätkamist installikataloogi.

Lõpuks, kui installimine on lõpule viidud, planeeritakse croni kaudu igapäevane täitmine, asetades skripti cron.daily (vt ülaltoodud pilti) kausta /etc/cron.daily . See abiskript kustutab muu hulgas vanad ajutised andmed, kontrollib uusi LMD väljaandeid ja skannib vaikimisi Apache'i ja veebi juhtpaneelid (s.t. CPanel, DirectAdmin, et nimetada mõnda) vaikedatakatalooge.

Sellest hoolimata käivitage installiskript nagu tavaliselt:

# ./install.sh

Linuxi pahavara tuvastamise seadistamine

LMD seadistamist käsitletakse saidil /usr/local/maldetect/conf.maldet ja kõiki valikuid on hästi kommenteeritud, et seadistamine oleks üsna lihtne ülesanne. Kui jänni jääte, võite täiendavate juhiste saamiseks vaadata ka jaotist /maldetect-1.6.4/README .

Konfiguratsioonifailist leiate järgmised jaotised nurksulgudes:

  1. MEILIPILDID
  2. KVARANTIINIVALIKUD
  3. SKANNIMISVALIKUD
  4. STATISTILINE ANALÜÜS
  5. JÄLGIMISVÕIMALUSED

Kõik need jaotised sisaldavad mitut muutujat, mis näitavad, kuidas LMD käitub ja millised funktsioonid on saadaval.

  1. Määrake email_alert = 1 , kui soovite saada pahatahtliku kontrolli tulemuste kohta meilisõnumeid. Lühiduse huvides edastame kirju ainult kohalikele süsteemikasutajatele, kuid võite uurida muid võimalusi, näiteks saata meiliteateid ka väljastpoolt.
  2. Valige email_subj = "Teie teema siin" ja [meiliga kaitstud] , kui olete varem seadistanud email_alert = 1.
  3. Valikuga quar_hits on pahavara tabamuste vaikekarantiinitoiming (0 = ainult hoiatus, 1 = liigu karantiini ja alarmi juurde) ütleb LMD-le, mida pahavara avastamisel teha.
  4. quar_clean laseb teil otsustada, kas soovite stringipõhiseid pahavara süste puhastada. Pidage meeles, et stringi allkiri on definitsiooni järgi\"külgnev baitide järjestus, mis võib sobida pahavara perekonna paljude variantidega".
  5. quar_susp , vaikimisi peatamise vaiketoiming tabamustega kasutajate jaoks, võimaldab teil keelata konto, mille omanduses olevad failid on tuvastatud kui tabamused.
  6. clamav_scan = 1 käsib LMD-l proovida tuvastada ClamAV-binaarsust ja kasutada seda vaikeskannerina. See annab kuni neli korda kiirema skannimisvõime ja suurepärase heksaanalüüsi. See valik kasutab skannerimootorina ainult ClamAV-i ja LMD-allkirjad on endiselt ohtude tuvastamise aluseks.

Kokkuvõttes peaksid nende muutujatega read dokumendis /usr/local/maldetect/conf.maldet välja nägema järgmised:

email_alert=1
[email 
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quar_hits=1
quar_clean=1
quar_susp=1
clam_av=1

ClamAV-i installimine RHEL/CentOS ja Fedora

ClamAV -i installimiseks, et kasutada seadistust clamav_scan , toimige järgmiselt.

Luba EPEL-hoidla.

# yum install epel-release

Seejärel tehke järgmist.

# yum update && yum install clamd
# apt update && apt-get install clamav clamav-daemon  [Ubuntu/Debian]

Märkus. Need on ainult põhijuhised ClamAV-i installimiseks, et seda LMD-ga integreerida. ClamAV-i sätete osas ei hakka me üksikasjalikult arutama, sest nagu me varem ütlesime, on LMD allkirjad endiselt ohtude avastamise ja puhastamise aluseks.

Linuxi pahavara tuvastamise testimine

Nüüd on aeg testida meie hiljutist LMD / ClamAV installimist. Päris pahavara asemel kasutame EICAR-i testfaile, mis on allalaadimiseks saadaval EICAR-i veebisaidilt.

# cd /var/www/html
# wget http://www.eicar.org/download/eicar.com 
# wget http://www.eicar.org/download/eicar.com.txt 
# wget http://www.eicar.org/download/eicar_com.zip 
# wget http://www.eicar.org/download/eicarcom2.zip

Sel hetkel võite kas oodata järgmise cron töö käivitamist või käivitada maldet ise käsitsi. Valime teise võimaluse:

# maldet --scan-all /var/www/

LMD aktsepteerib ka metamärke, nii et kui soovite skannida ainult teatud tüüpi faile (nt zip-faile), saate seda teha:

# maldet --scan-all /var/www/*.zip

Kui skannimine on lõpule jõudnud, saate kontrollida LMD saadetud e-posti aadressi või vaadata aruannet:

# maldet --report 021015-1051.3559

Kui 021015-1051.3559 on SCANID (teie puhul on SCANID erinev).

Tähtis: Pange tähele, et LMD leidis 5 tabamust, kuna eicar.com-faili laaditi alla kaks korda (tulemuseks olid eicar.com ja eicar.com.1).

Kui kontrollite karantiinikausta (jätsin lihtsalt ühe faili ja kustutasin ülejäänud), näeme järgmist:

# ls -l

Seejärel saate kõik karantiinis olevad failid eemaldada järgmisega:

# rm -rf /usr/local/maldetect/quarantine/*

Sel juhul

# maldet --clean SCANID

Ei saa millegipärast tööd tehtud. Ülaltoodud protsessi üksikasjalike selgituste saamiseks võite viidata järgmisele ekraanikuva:

Kuna maldet tuleb integreerida rakendusega cron , peate root crontab-is määrama järgmised muutujad (tippige juurena crontab -e ja vajutage Sisestage võti), kui märkate, et LMD ei tööta igapäevaselt õigesti:

PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
SHELL=/bin/bash

See aitab pakkuda vajalikku silumisteavet.

Järeldus

Selles artiklis oleme arutanud, kuidas installida ja konfigureerida Linux Malware Detect koos võimsa liitlasega ClamAV . Nende kahe tööriista abil peaks pahavara tuvastamine olema üsna lihtne ülesanne.

Tehke siiski endale kasuks ja õppige faili LUGEGE tundma, nagu varem selgitatud, ja võite olla kindel, et teie süsteemi on hästi arvestatud ja hästi hallatud.

Ärge jätke oma kommentaare või küsimusi, kui neid on, kasutades allolevat vormi.

Viited

LMD koduleht