Kuinka asentaa ja käyttää Linux Malware Detect (LMD) -sovellusta ClamAV: n kanssa virustentorjuntaohjelmana

Haittaohjelma tai haittaohjelma on nimitys kaikille ohjelmille, joiden tarkoituksena on häiritä tietojenkäsittelyjärjestelmän normaalia toimintaa. Vaikka tunnetuimmat haittaohjelmat ovat virukset, vakoiluohjelmat ja mainosohjelmat, vahingot, joita ne aikovat aiheuttaa, voivat vaihdella yksityisten tietojen varastamisesta henkilökohtaisten tietojen poistamiseen ja kaikkeen siltä väliltä. järjestelmää, jotta sitä voidaan käyttää käynnistämään botnet-verkot (D) DoS-hyökkäyksessä.

Toisin sanoen, sinulla ei ole varaa ajatella: "Minun ei tarvitse suojata järjestelmääni (järjestelmiä) haittaohjelmilta, koska en tallenna mitään arkaluontoisia tai tärkeitä tietoja", koska nämä eivät ole ainoat haittaohjelmien kohteet.

Tästä syystä tässä artikkelissa selitämme, miten Linux Malware Detect (alias MalDet tai LMD lyhyesti) asennetaan ja määritetään yhdessä ClamAV (virustorjuntaohjelma) RHEL 8/7/6: ssa (missä x on versionumero), CentOS 8/7/6 ja Fedora 30-32 (samat ohjeet toimivat myös Ubuntu- ja Debian-järjestelmissä) .

GPL v2 -lisenssillä julkaistu haittaohjelmien skanneri, joka on erityisesti suunniteltu isäntäympäristöihin. Huomaat kuitenkin nopeasti, että hyödyt MalDetista riippumatta siitä, minkälaisessa ympäristössä työskentelet.

LMD: n asentaminen RHEL/CentOS: een ja Fedoraan

LMD ei ole saatavana online-arkistoista, mutta se jaetaan projektina Web-sivustona. Viimeisimmän version lähdekoodin sisältävä tarball on aina saatavilla seuraavasta linkistä, josta se voidaan ladata wget-komennolla:

# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Sitten meidän on purettava paketti pakkauksesta ja syötettävä hakemisto, josta sen sisältö purettiin. Koska nykyinen versio on 1.6.4 , hakemisto on maldetect-1.6.4 . Sieltä löydät asennuskoodin install.sh .

# tar -xvf maldetect-current.tar.gz
# ls -l | grep maldetect
# cd maldetect-1.6.4/
# ls

Jos tarkastamme asennusohjelman, joka on vain 75 riviä pitkä (mukaan lukien kommentit), huomaamme, että se ei vain asenna työkalua, vaan myös suorittaa ennakkotarkistuksen nähdäkseen onko oletusasennushakemisto ( /usr/local/maldetect ) on olemassa. Jos ei, komentosarja luo asennushakemiston ennen jatkamista.

Lopuksi, kun asennus on valmis, päivittäinen suoritus cron : n kautta ajoitetaan asettamalla komento cron.daily (katso yllä oleva kuva) kansioon /etc/cron.daily . Tämä auttajaskripti muun muassa tyhjentää vanhat tilapäiset tiedot, tarkistaa uudet LMD-julkaisut ja skannaa oletusarvoiset Apache- ja web-ohjauspaneelit (ts. CPanel, DirectAdmin muutamaksi).

Suorita asennusskripti tavalliseen tapaan:

# ./install.sh

Linux-haittaohjelmatunnistuksen määrittäminen

LMD: n määritykset hoidetaan /usr/local/maldetect/conf.maldet -palvelun kautta, ja kaikkia vaihtoehtoja on kommentoitu hyvin, jotta kokoonpanosta tulisi melko helppo tehtävä. Jos juutut jumiin, voit myös katso lisätietoja kohdasta /maldetect-1.6.4/README .

Kokoonpanotiedostosta löydät seuraavat osat hakasulkeissa:

  1. SÄHKÖHÄLYTYKSET
  2. KVARANTIINIVAIHTOEHDOT
  3. Skannausvaihtoehdot
  4. STATISTINEN ANALYYSI
  5. VALVONTAVAIHTOEHDOT

Kukin näistä osista sisältää useita muuttujia, jotka osoittavat, kuinka LMD käyttäytyy ja mitkä ominaisuudet ovat käytettävissä.

  1. Määritä email_alert = 1 , jos haluat saada sähköposti-ilmoituksia haittaohjelmien tarkastustuloksista. Lyhyyden vuoksi välitämme postin vain paikallisille järjestelmän käyttäjille, mutta voit tutkia muita vaihtoehtoja, kuten lähettää sähköpostihälytyksiä myös ulkopuolelle.
  2. Aseta email_subj = ”Aiheesi täällä” ja [Sähköposti suojattu] , jos olet aiemmin asettanut email_alert = 1.
  3. Kohdassa quar_hits haittaohjelmien osumien oletuskaranteenitoiminto (0 = vain hälytys, 1 = siirry karanteeniin ja hälytys) kertoo LMD: lle, mitä tehdä, kun haittaohjelma havaitaan.
  4. quar_clean antaa sinun päättää, haluatko puhdistaa merkkijonopohjaiset haittaohjelmien injektiot. Muista, että merkkijonon allekirjoitus on määritelmänsä mukaan "vierekkäinen tavusarja, joka mahdollisesti vastaa useita haittaohjelmaperheen muunnelmia".
  5. quar_susp , oletusten keskeyttämistoiminto käyttäjille, joilla on osumia, antaa sinun poistaa tilin käytöstä, jonka omistamat tiedostot on tunnistettu osumiksi.
  6. clamav_scan = 1 käskee LMD: n yrittämään havaita ClamAV-binaarin ja käyttää sitä oletusskannerina. Tämä tuottaa jopa neljä kertaa nopeamman skannaustehon ja erinomaisen heksanalyysin. Tämä vaihtoehto käyttää vain ClamAV-skannerimoottoria, ja LMD-allekirjoitukset ovat edelleen perusta uhkien havaitsemiselle.

Yhteenvetona voidaan todeta, että näiden muuttujien rivien tulisi näyttää seuraavalta /usr/local/maldetect/conf.maldet :

email_alert=1
[email 
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quar_hits=1
quar_clean=1
quar_susp=1
clam_av=1

ClamAV: n asentaminen RHEL/CentOS: een ja Fedoraan

Asenna ClamAV clamav_scan -asetuksen hyödyntämiseksi seuraavasti:

Ota EPEL-arkisto käyttöön.

# yum install epel-release

Tee sitten:

# yum update && yum install clamd
# apt update && apt-get install clamav clamav-daemon  [Ubuntu/Debian]

Huomaa: Nämä ovat vain perusohjeet ClamAV: n asentamiseen sen integroimiseksi LMD: hen. Emme mene yksityiskohtiin ClamAV-asetusten suhteen, koska kuten aiemmin sanoimme, LMD-allekirjoitukset ovat edelleen perusta uhkien havaitsemiselle ja puhdistamiselle.

Linux-haittaohjelmatunnistuksen testaaminen

Nyt on aika testata äskettäinen LMD / ClamAV -asennuksemme. Todellisen haittaohjelman käyttämisen sijaan käytämme EICAR-testitiedostoja, jotka ovat ladattavissa EICAR-verkkosivustolta.

# cd /var/www/html
# wget http://www.eicar.org/download/eicar.com 
# wget http://www.eicar.org/download/eicar.com.txt 
# wget http://www.eicar.org/download/eicar_com.zip 
# wget http://www.eicar.org/download/eicarcom2.zip

Tässä vaiheessa voit joko odottaa seuraavan cron -työn suorittamista tai suorittaa maldet itse. Valitsemme toisen vaihtoehdon:

# maldet --scan-all /var/www/

LMD hyväksyy myös jokerimerkit, joten jos haluat skannata vain tietyntyyppisiä tiedostoja (esim. zip-tiedostoja), voit tehdä niin:

# maldet --scan-all /var/www/*.zip

Kun skannaus on valmis, voit joko tarkistaa LMD: n lähettämän sähköpostin tai tarkastella raporttia:

# maldet --report 021015-1051.3559

Missä 021015-1051.3559 on SCANID (SCANID eroaa hieman tapauksessasi).

Tärkeää: Huomaa, että LMD löysi 5 osumaa, koska eicar.com-tiedosto ladattiin kahdesti (tuloksena olivat eicar.com ja eicar.com.1).

Jos tarkistat karanteenikansion (jätin juuri yhden tiedostosta ja poistin loput), näemme seuraavan:

# ls -l

Tämän jälkeen voit poistaa kaikki karanteeniin asetetut tiedostot seuraavilla tavoilla:

# rm -rf /usr/local/maldetect/quarantine/*

Siinä tapauksessa, että,

# maldet --clean SCANID

Ei saa työtä valmiiksi jostain syystä. Voit viitata seuraavaan kuvaruutuun saadaksesi vaiheittaisen selityksen yllä olevasta prosessista:

Koska maldet on integroitava cron -ohjelmaan, sinun on määritettävä seuraavat muuttujat juuren crontab-tiedostoon (kirjoita juureksi crontab -e ja paina Enter -näppäin), jos huomaat, että LMD ei toimi oikein päivittäin:

PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
SHELL=/bin/bash

Tämä auttaa toimittamaan tarvittavat virheenkorjaustiedot.

Johtopäätös

Tässä artikkelissa olemme keskustelleet Linux Malware Detect -sovelluksen asentamisesta ja määrittämisestä yhdessä tehokkaan liittolaisen ClamAV -palvelun kanssa. Näiden kahden työkalun avulla haittaohjelmien havaitsemisen pitäisi olla melko helppo tehtävä.

Tee kuitenkin itsellesi palvelus ja tutustu README -tiedostoon, kuten aiemmin on selitetty, ja voit olla varma, että järjestelmääsi hoidetaan hyvin ja sitä hoidetaan hyvin.

Älä epäröi jättää kommentteja tai kysymyksiä, jos sellaisia on, käyttämällä alla olevaa lomaketta.

Viitelinkit

LMD: n kotisivu