Kako namestiti in uporabiti Linux Malware Detect (LMD) z ClamAV kot protivirusnim mehanizmom

Zlonamerna programska oprema ali zlonamerna programska oprema je poimenovanje katerega koli programa, katerega namen je porušiti normalno delovanje računalniškega sistema. Čeprav so najbolj znane oblike zlonamerne programske opreme virusi, vohunska in oglaševalska programska oprema, lahko škoda, ki jo nameravajo povzročiti, od kraje zasebnih podatkov do brisanja osebnih podatkov in vsega vmes, medtem ko je druga klasična uporaba zlonamerne programske opreme nadzor nad sistem, da ga lahko uporabite za zagon botnetov v napadu (D) DoS.

Z drugimi besedami, ne morete si privoščiti razmišljanja:\"Ne rabim zaščititi svojih sistemov pred zlonamerno programsko opremo, ker ne shranjujem nobenih občutljivih ali pomembnih podatkov", ker to niso edini cilji zlonamerne programske opreme .

Iz tega razloga bomo v tem članku razložili, kako namestiti in konfigurirati Linux Malware Detect (aka MalDet ali LMD na kratko), skupaj z ClamAV (Antivirus Engine) v RHEL 8/7/6 (kjer je x številka različice), CentOS 8/7/6 in Fedora 30-32 (ista navodila delujejo tudi na sistemih Ubuntu in Debian) .

Optični bralnik, izdan pod licenco GPL v2, posebej zasnovan za gostovanje okolij. Vendar boste hitro ugotovili, da vam bo koristil MalDet ne glede na to, v kakšnem okolju delate.

Namestitev LMD na RHEL/CentOS in Fedora

LMD ni na voljo v spletnih repozitorijih, ampak se na spletni strani projekta distribuira kot tarball. Tarbol, ki vsebuje izvorno kodo najnovejše različice, je vedno na voljo na naslednji povezavi, kjer ga lahko prenesete z ukazom wget:

# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Nato moramo razpakirati tarball in vstopiti v imenik, kjer je bila izpisana njegova vsebina. Ker je trenutna različica 1.6.4 , je imenik maldetect-1.6.4 . Tam bomo našli namestitveni skript, install.sh .

# tar -xvf maldetect-current.tar.gz
# ls -l | grep maldetect
# cd maldetect-1.6.4/
# ls

Če pregledamo namestitveni skript, ki je dolg le 75 vrstic (vključno s komentarji), bomo videli, da orodje ne samo namesti, temveč tudi opravi predhodno preverjanje, ali je privzeti namestitveni imenik ( /usr/local/maldetect ) obstaja. V nasprotnem primeru skript ustvari namestitveni imenik, preden nadaljujete.

Nazadnje, po končani namestitvi je predvidena vsakodnevna izvedba prek cron tako, da v /etc/cron.daily . Ta pomožni skript bo med drugim počistil stare začasne podatke, preveril, ali obstajajo nove izdaje LMD, in skeniral privzete Apache in spletne nadzorne plošče (tj. CPanel, DirectAdmin, če naštejemo le nekatere) privzete imenike podatkov.

Kot rečeno, zaženite namestitveni skript kot običajno:

# ./install.sh

Konfiguriranje zaznavanja zlonamerne programske opreme Linux

Konfiguracija LMD poteka prek /usr/local/maldetect/conf.maldet in vse možnosti so dobro komentirane, da je konfiguracija precej enostavna naloga. Če se vam zatakne, lahko za nadaljnja navodila preberete tudi na /maldetect-1.6.4/README .

V konfiguracijski datoteki boste našli naslednje odseke, zaprte v oglatih oklepajih:

  1. OBVESTILA PO E-POŠTI
  2. KARANTINSKE MOŽNOSTI
  3. PREBERI MOŽNOSTI
  4. STATISTIČNA ANALIZA
  5. MOŽNOSTI NADZORA

Vsak od teh razdelkov vsebuje več spremenljivk, ki kažejo, kako se bo obnašal LMD in katere funkcije so na voljo.

  1. Če želite prejemati e-poštna obvestila o rezultatih preverjanja zlonamerne programske opreme, nastavite email_alert = 1 . Zaradi kratkosti bomo pošto pošiljali samo lokalnim uporabnikom sistema, lahko pa raziščete tudi druge možnosti, kot je pošiljanje opozoril po pošti tudi zunaj.
  2. Nastavite email_subj = "Vaša tema tukaj" in [email , če ste že nastavili email_alert = 1.
  3. Z quar_hits , privzetim dejanjem karantene za zadetke zlonamerne programske opreme (0 = samo opozorilo, 1 = premik v karanteno in opozorilo) boste LMD povedali, kaj naj stori, ko zazna zlonamerno programsko opremo.
  4. quar_clean vam omogoča, da se odločite, ali želite očistiti vbrizgavanje zlonamerne programske opreme na osnovi nizov. Upoštevajte, da je podpis niza po definiciji\"sosednje bajtno zaporedje, ki se lahko ujema z različicami družine zlonamerne programske opreme.
  5. quar_susp , privzeto dejanje začasne zaustavitve za uporabnike z zadetki, vam bo omogočilo, da onemogočite račun, katerega datoteke v lasti so bile prepoznane kot zadetki.
  6. clamav_scan = 1 bo naročil LMD, da poskuša zaznati prisotnost binarnega programa ClamAV in ga uporabiti kot privzeti motor optičnega bralnika. Tako dobite do štirikrat hitrejšo zmogljivost optičnega branja in vrhunsko šestnajstiško analizo. Ta možnost uporablja le ClamAV kot motor optičnega bralnika, podpisi LMD pa so še vedno osnova za odkrivanje groženj.

Če povzamemo, morajo biti vrstice s temi spremenljivkami v /usr/local/maldetect/conf.maldet videti tako:

email_alert=1
[email 
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quar_hits=1
quar_clean=1
quar_susp=1
clam_av=1

Namestitev ClamAV na RHEL/CentOS in Fedora

Če želite namestiti ClamAV , da izkoristite nastavitev clamav_scan , sledite tem korakom:

Omogoči repozitorij EPEL.

# yum install epel-release

Nato naredite:

# yum update && yum install clamd
# apt update && apt-get install clamav clamav-daemon  [Ubuntu/Debian]

Opomba: To so le osnovna navodila za namestitev ClamAV, da ga lahko integrirate z LMD. Kar zadeva nastavitve ClamAV, se ne bomo spuščali v podrobnosti, saj so, kot smo že omenili, podpisi LMD še vedno osnova za odkrivanje in čiščenje groženj.

Testiranje zaznavanja zlonamerne programske opreme Linux

Zdaj je čas, da preizkusite našo nedavno namestitev LMD / ClamAV . Namesto prave zlonamerne programske opreme bomo uporabili testne datoteke EICAR, ki jih je mogoče prenesti s spletnega mesta EICAR.

# cd /var/www/html
# wget http://www.eicar.org/download/eicar.com 
# wget http://www.eicar.org/download/eicar.com.txt 
# wget http://www.eicar.org/download/eicar_com.zip 
# wget http://www.eicar.org/download/eicarcom2.zip

Na tej točki lahko počakate, da se zažene naslednje opravilo cron , ali pa sami izvršite maldet ročno. Uporabili bomo drugo možnost:

# maldet --scan-all /var/www/

LMD sprejema tudi nadomestne znake, zato, če želite optično prebrati samo določeno vrsto datoteke (npr. datoteke zip), lahko to storite:

# maldet --scan-all /var/www/*.zip

Ko je skeniranje končano, lahko preverite e-poštno sporočilo, ki ga je poslala LMD, ali pa si ogledate poročilo s:

# maldet --report 021015-1051.3559

Kjer 021015-1051.3559 je SCANID (SCANID bo v vašem primeru nekoliko drugačen).

Pomembno: Upoštevajte, da je LMD našel 5 zadetkov, saj je bila datoteka eicar.com dvakrat prenesena (tako sta nastali eicar.com in eicar.com.1).

Če preverite mapo v karanteni (pravkar sem pustil eno od datotek, preostale pa izbrisal), bomo videli naslednje:

# ls -l

Nato lahko vse datoteke v karanteni odstranite z:

# rm -rf /usr/local/maldetect/quarantine/*

V primeru, da

# maldet --clean SCANID

Iz nekega razloga ne opravi dela. Za podrobno razlago zgornjega postopka se lahko obrnete na naslednji zaslon zaslona:

Ker je treba maldet integrirati z cron , morate v korenski crontab nastaviti naslednje spremenljivke (vnesite crontab -e kot root in pritisnite tipka Enter ), če opazite, da LMD ne deluje vsak dan pravilno:

PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
SHELL=/bin/bash

To vam bo pomagalo zagotoviti potrebne informacije o odpravljanju napak.

Zaključek

V tem članku smo razpravljali o tem, kako namestiti in konfigurirati Linux Malware Detect , skupaj z ClamAV , močnim zaveznikom. S pomočjo teh dveh orodij bi moralo biti odkrivanje zlonamerne programske opreme precej enostavna naloga.

Vendar si naredite uslugo in se seznanite z datoteko README , kot smo že pojasnili, in lahko boste prepričani, da je vaš sistem dobro voden in dobro voden.

Ne oklevajte in pustite svoje komentarje ali vprašanja, če obstajajo, z uporabo spodnjega obrazca.

Referenčne povezave

Domača stran LMD