Linuxin Malware Detectin (LMD) asentaminen ja käyttäminen ClamAV:n kanssa virustorjuntamoottorina

Haittaohjelmat eli haittaohjelmat ovat ohjelmia, jotka pyrkivät häiritsemään tietokonejärjestelmän normaalia toimintaa. Vaikka tunnetuimpia haittaohjelmien muotoja ovat virukset, vakoiluohjelmat ja mainosohjelmat, niiden aiheuttama vahinko voi vaihdella yksityisten tietojen varastamisesta henkilötietojen poistamiseen ja kaikkea siltä väliltä, kun taas toinen klassinen haittaohjelmien käyttötapa on hallita haittaohjelmia. järjestelmä käyttääkseen sitä bottiverkkojen käynnistämiseen (D)DoS-hyökkäyksessä.

Toisin sanoen sinulla ei ole varaa ajatella: "Minun ei tarvitse suojata järjestelmääni haittaohjelmilta, koska en tallenna mitään arkaluonteisia tai tärkeitä tietoja", koska ne eivät ole ainoita haittaohjelmien kohteita.

Tästä syystä tässä artikkelissa selitämme, kuinka Linux Malware Detect (alias MalDet tai LMD) asennetaan ja määritetään. ClamAV (Antivirus Engine) RHEL 8/7/6 (jossa x on versionumero), CentOS 8/7/6 ja Fedora 30-32 (samat ohjeet toimivat myös Ubuntussa > ja Debian-järjestelmät).

GPL v2 -lisenssillä julkaistu haittaohjelmatarkistus, joka on suunniteltu erityisesti isännöintiympäristöihin. Huomaat kuitenkin nopeasti, että hyödyt MalDetistä riippumatta siitä, millaisessa ympäristössä työskentelet.

LMD:n asentaminen RHEL/CentOS:ään ja Fedoraan

LMD ei ole saatavilla online-varastoista, mutta sitä jaetaan tarballina projektin verkkosivustolta. Uusimman version lähdekoodin sisältävä tarball on aina saatavilla seuraavasta linkistä, josta se voidaan ladata wget-komennolla:

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Sitten meidän on purettava tarball ja syötettävä hakemistoon, josta sen sisältö purettiin. Koska nykyinen versio on 1.6.4, hakemisto on maldetect-1.6.4. Sieltä löydämme asennusohjelman install.sh.

tar -xvf maldetect-current.tar.gz
ls -l | grep maldetect
cd maldetect-1.6.4/
ls

Jos tarkastamme asennuskomentosarjan, joka on vain 75 riviä pitkä (kommentit mukaan lukien), huomaamme, että se ei vain asenna työkalua, vaan myös suorittaa esitarkistuksen nähdäkseen, onko oletusasennushakemistossa ( /usr/local/maldetect) on olemassa. Jos ei, komentosarja luo asennushakemiston ennen jatkamista.

Lopuksi, kun asennus on valmis, päivittäinen suoritus cronin kautta ajoitetaan asettamalla cron.daily-skripti (katso yllä olevaa kuvaa) kansioon /etc/ cron.daily. Tämä apuohjelma poistaa muun muassa vanhat väliaikaiset tiedot, tarkistaa uudet LMD-julkaisut ja skannaa oletusarvoiset Apache- ja web-ohjauspaneelit (esim. CPanel, DirectAdmin muutaman mainitakseni) oletustietohakemistot.

Suorita asennusskripti tavalliseen tapaan:

./install.sh

Linuxin Malware Detectin määrittäminen

LMD:n asetukset käsitellään /usr/local/maldetect/conf.maldet -sovelluksen kautta, ja kaikki vaihtoehdot on kommentoitu hyvin, mikä tekee määrityksestä melko helppoa. Jos jäät jumiin, voit myös katsoa lisäohjeita osoitteesta /maldetect-1.6.4/README.

Asetustiedostosta löydät seuraavat osiot hakasulkeiden sisällä:

  1. SÄHKÖPOSTIVÄLYTYKSET
  2. KARANTEENIN VAIHTOEHDOT
  3. SKANNAUSASETUKSET
  4. TILASTOLLINEN ANALYYSI
  5. SEURANTAVAIHTOEHDOT

Jokainen näistä osioista sisältää useita muuttujia, jotka osoittavat, miten LMD toimii ja mitä ominaisuuksia on saatavilla.

  1. Aseta email_alert=1, jos haluat saada sähköposti-ilmoituksia haittaohjelmien tarkastuksen tuloksista. Lyhytyyden vuoksi välitämme postin vain paikallisille järjestelmän käyttäjille, mutta voit myös tutustua muihin vaihtoehtoihin, kuten lähettää sähköpostihälytyksiä myös ulkopuolelle.
  2. Aseta email_subj=”Sinun aiheesi” ja email_addr=username@localhost, jos olet aiemmin määrittänyt email_alert=1.
  3. quar_hits-toiminnolla, joka on oletuskaranteenitoiminto haittaohjelmien osumille (0=vain varoitus, 1=siirry karanteeniin ja hälytys), kerrot LMD:lle, mitä tehdä, kun haittaohjelma havaitaan.
  4. quar_clean antaa sinun päättää, haluatko poistaa merkkijonopohjaiset haittaohjelmaruiskeet. Muista, että merkkijonoallekirjoitus on määritelmän mukaan "viereinen tavusekvenssi, joka mahdollisesti vastaa useita haittaohjelmaperheen muunnelmia".
  5. quar_susp, oletusarvoinen jäädytystoiminto käyttäjille, joilla on osumia. Sen avulla voit poistaa käytöstä tilin, jonka omistamat tiedostot on tunnistettu osumiksi.
  6. clamav_scan=1 käskee LMD:tä yrittämään havaita ClamAV-binaarin ja käyttää sitä oletusskannerimoottorina. Tämä tuottaa jopa neljä kertaa nopeamman skannaussuorituskyvyn ja erinomaisen heksa-analyysin. Tämä vaihtoehto käyttää vain ClamAV:ia skannerimoottorina, ja LMD-allekirjoitukset ovat edelleen uhkien havaitsemisen perusta.

Yhteenvetona voidaan todeta, että näitä muuttujia sisältävien rivien pitäisi näyttää seuraavalta tiedostossa /usr/local/maldetect/conf.maldet:

email_alert=1
email_addr=gacanepa@localhost
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quar_hits=1
quar_clean=1
quar_susp=1
clam_av=1

ClamAV:n asentaminen RHEL/CentOS:ään ja Fedoraan

Asenna ClamAV ja hyödynnä clamav_scan-asetusta seuraavasti:

Ota EPEL-arkisto käyttöön.

yum install epel-release

Tee sitten:


yum update && yum install clamd
apt update && apt-get install clamav clamav-daemon  [Ubuntu/Debian]

Huomaa: nämä ovat vain perusohjeet ClamAV:n asentamiseen, jotta se voidaan integroida LMD:hen. Emme mene ClamAV-asetusten yksityiskohtiin, koska kuten aiemmin totesimme, LMD-allekirjoitukset ovat edelleen uhkien havaitsemisen ja puhdistamisen perusta.

Testataan Linuxin haittaohjelmien tunnistusta

Nyt on aika testata äskettäistä LMD/ClamAV-asennustamme. Oikeiden haittaohjelmien sijaan käytämme EICAR-testitiedostoja, jotka ovat ladattavissa EICAR-verkkosivustolta.

cd /var/www/html
wget http://www.eicar.org/download/eicar.com 
wget http://www.eicar.org/download/eicar.com.txt 
wget http://www.eicar.org/download/eicar_com.zip 
wget http://www.eicar.org/download/eicarcom2.zip

Tässä vaiheessa voit joko odottaa seuraavan cron-työn suorittamista tai suorittaa maldet manuaalisesti itse. Valitsemme toisen vaihtoehdon:

maldet --scan-all /var/www/

LMD hyväksyy myös jokerimerkit, joten jos haluat skannata vain tietyn tyyppiset tiedostot (esimerkiksi zip-tiedostot), voit tehdä niin:

maldet --scan-all /var/www/*.zip

Kun skannaus on valmis, voit joko tarkistaa LMD:n lähettämän sähköpostin tai tarkastella raporttia:

maldet --report 021015-1051.3559

Missä 021015-1051.3559 on SCANID (SCANID on hieman erilainen sinun tapauksessasi).

Tärkeää: Huomaa, että LMD löysi 5 osumaa, koska eicar.com-tiedosto ladattiin kahdesti (jolloin tuloksena oli eicar.com ja eicar.com.1).

Jos tarkistat karanteenikansion (jätin juuri yhden tiedostoista ja poistin loput), näemme seuraavan:

ls -l

Voit sitten poistaa kaikki karanteenissa olevat tiedostot seuraavasti:

rm -rf /usr/local/maldetect/quarantine/*

Siinä tapauksessa, että,

maldet --clean SCANID

Ei jostain syystä saa työtä tehtyä. Voit katsoa seuraavaa näyttölähetystä saadaksesi vaiheittaisen selityksen yllä olevasta prosessista:

Viimeiset huomiot

Koska maldet on integroitava cronin kanssa, sinun on asetettava seuraavat muuttujat pääkäyttäjän crontabissa (kirjoita crontab -e rootiksi ja paina Enter-näppäin), jos huomaat, että LMD ei toimi oikein päivittäin:

PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
SHELL=/bin/bash

Tämä auttaa tarjoamaan tarvittavat virheenkorjaustiedot.

Johtopäätös

Tässä artikkelissa olemme keskustelleet Linux Malware Detectin ja tehokkaan liittolaisen ClamAV:n asentamisesta ja määrittämisestä. Näiden kahden työkalun avulla haittaohjelmien havaitsemisen pitäisi olla melko helppoa.

Tee kuitenkin itsellesi palvelus ja tutustu README-tiedostoon aiemmin selitetyllä tavalla, niin voit olla varma, että järjestelmästäsi huolehditaan ja sitä hallitaan hyvin.

Älä epäröi jättää kommentteja tai kysymyksiä, jos sellaisia on, käyttämällä alla olevaa lomaketta.

Viitelinkit

LMD:n kotisivut