Kā instalēt un izmantot Linux Malware Detect (LMD) ar ClamAV kā pretvīrusu dzinēju


Ļaunprātīga programmatūra vai ļaunprātīga programmatūra ir apzīmējums jebkurai programmai, kuras mērķis ir traucēt skaitļošanas sistēmas normālu darbību. Lai arī vispazīstamākās ļaunprātīgas programmatūras formas ir vīrusi, spiegprogrammatūra un reklāmprogrammatūra, kaitējums, ko tie nodomā nodarīt, var būt no privātas informācijas zādzības līdz personas datu dzēšanai un visam citam, kamēr vēl viena klasiska ļaunprogrammatūras izmantošana ir kontrolēt sistēmu, lai to izmantotu, lai palaistu robottīklus (D) DoS uzbrukumā.

Citiem vārdiem sakot, jūs nevarat atļauties domāt: "Man nav jāaizsargā mana (-ās) sistēma (-es) pret ļaunprātīgu programmatūru, jo es neglabāju nekādus sensitīvus vai svarīgus datus", jo tie nav vienīgie ļaunprogrammatūras mērķi.

Šī iemesla dēļ šajā rakstā mēs paskaidrosim, kā instalēt un konfigurēt Linux Malware Detect (saīsināti saīsināti MalDet vai LMD ) kopā ar ClamAV (Antivirus Engine) RHEL 8/7/6 (kur x ir versijas numurs), CentOS 8/7/6 un Fedora 30-32 (tās pašas instrukcijas darbojas arī Ubuntu un Debian sistēmās) .

Ļaunprātīgas programmatūras skeneris, kas izlaists saskaņā ar GPL v2 licenci, īpaši izstrādāts mitināšanas videi. Tomēr jūs ātri sapratīsit, ka jūs gūsiet labumu no MalDet neatkarīgi no tā, kādā vidē strādājat.

LMD instalēšana RHEL/CentOS un Fedora

LMD nav pieejams tiešsaistes krātuvēs, bet tiek izplatīts kā projekta vietne no projekta vietnes. Tarball, kurā ir jaunākās versijas avota kods, vienmēr ir pieejams šajā saitē, kur to var lejupielādēt ar komandu wget:

# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Tad mums ir jāizpako tarball un jāievada direktorijs, kurā tika izgūts tā saturs. Tā kā pašreizējā versija ir 1.6.4 , direktorija ir maldetect-1.6.4 . Tur mēs atradīsim instalēšanas skriptu install.sh .

# tar -xvf maldetect-current.tar.gz
# ls -l | grep maldetect
# cd maldetect-1.6.4/
# ls

Pārbaudot instalācijas skriptu, kas ir tikai 75 rindiņu garš (ieskaitot komentārus), redzēsim, ka tas ne tikai instalē rīku, bet arī veic iepriekšēju pārbaudi, lai redzētu, vai noklusējuma instalācijas direktorija ( /usr/local/maldetect ) pastāv. Ja nē, pirms turpināt, skripts izveido instalācijas direktoriju.

Visbeidzot, pēc instalēšanas pabeigšanas tiek ieplānota ikdienas izpilde, izmantojot cron , ievietojot skriptu cron.daily (skatiet iepriekš redzamo attēlu) /etc/cron.daily . Šis palīga skripts cita starpā notīrīs vecos pagaidu datus, pārbaudīs jaunus LMD laidienus un skenēs noklusējuma Apache un tīmekļa vadības paneļus (t.i., CPanel, DirectAdmin, lai nosauktu dažus) noklusējuma datu direktorijus.

To sakot, palaidiet instalēšanas skriptu kā parasti:

# ./install.sh

Linux Malware Detect konfigurēšana

LMD konfigurācija tiek veikta, izmantojot /usr/local/maldetect/conf.maldet , un visas opcijas ir labi komentētas, lai padarītu konfigurēšanu par diezgan vieglu uzdevumu. Ja jūs iestrēgstat, varat arī skatīt /maldetect-1.6.4/README papildu instrukcijas.

Konfigurācijas failā atradīsit šādas sadaļas, kas ievietotas kvadrātiekavās:

  1. EMAIL BRĪDINĀJUMI
  2. KVARANTĪNA IESPĒJAS
  3. SKENĒŠANAS IESPĒJAS
  4. STATISTISKĀ ANALĪZE
  5. UZRAUDZĪBAS IESPĒJAS

Katrā no šīm sadaļām ir vairāki mainīgie, kas norāda, kā LMD izturēsies un kādas funkcijas ir pieejamas.

  1. Iestatiet email_alert = 1 , ja vēlaties saņemt e-pasta paziņojumus par ļaunprātīgas programmatūras pārbaudes rezultātiem. Īsuma labad mēs pārsūtīsim pastu tikai vietējiem sistēmas lietotājiem, taču jūs varat izpētīt citas iespējas, piemēram, pasta brīdinājumu sūtīšanu arī uz ārpusi.
  2. Iestatiet email_subj = ”Jūsu tēma šeit” un [E-pasts aizsargāts] , ja iepriekš esat iestatījis e-pasta_alert = 1.
  3. Izmantojot quar_hits , noklusējuma karantīnas darbība ļaunprātīgas programmatūras trāpījumiem (0 = tikai brīdinājums, 1 = pāriet uz karantīnu un brīdinājumu) jūs LMD pateiksit, kā rīkoties, ja tiek konstatēta ļaunprātīga programmatūra.
  4. quar_clean ļaus jums izlemt, vai vēlaties notīrīt virknes balstītas ļaunprātīgas programmatūras injekcijas. Paturiet prātā, ka virknes paraksts pēc definīcijas ir “blakusesoša baitu secība, kas potenciāli var atbilst daudziem ļaunprogrammatūru saimes variantiem”.
  5. quar_susp - noklusējuma darbība apturēšanai lietotājiem ar trāpījumiem, ļaus atspējot kontu, kura īpašumā esošie faili ir identificēti kā trāpījumi.
  6. clamav_scan = 1 liks LMD mēģināt noteikt ClamAV binārā klātbūtni un izmantot kā noklusējuma skenera motoru. Tas nodrošina līdz pat četras reizes ātrākai skenēšanai un izcilai heksanalīzei. Šī opcija kā skenera motoru izmanto tikai ClamAV, un LMD paraksti joprojām ir pamats draudu noteikšanai.

Apkopojot, rindām ar šiem mainīgajiem lielumiem /usr/local/maldetect/conf.maldet vajadzētu izskatīties šādi:

email_alert=1
[email 
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quar_hits=1
quar_clean=1
quar_susp=1
clam_av=1

ClamAV instalēšana RHEL/CentOS un Fedora

Lai instalētu ClamAV , lai izmantotu iestatījuma clamav_scan priekšrocības, rīkojieties šādi:

Iespējot EPEL repozitoriju.

# yum install epel-release

Tad dariet:

# yum update && yum install clamd
# apt update && apt-get install clamav clamav-daemon  [Ubuntu/Debian]

Piezīme. Šie ir tikai galvenie norādījumi par ClamAV instalēšanu, lai to integrētu LMD. Mēs nepiedalīsimies sīkāk, ciktāl tas attiecas uz ClamAV iestatījumiem, jo, kā mēs teicām iepriekš, LMD paraksti joprojām ir pamats draudu atklāšanai un tīrīšanai.

Linux Malware Detect testēšana

Ir pienācis laiks pārbaudīt mūsu neseno LMD / ClamAV instalāciju. Tā vietā, lai izmantotu īstu ļaunprātīgu programmatūru, mēs izmantosim EICAR testa failus, kurus var lejupielādēt no EICAR vietnes.

# cd /var/www/html
# wget http://www.eicar.org/download/eicar.com 
# wget http://www.eicar.org/download/eicar.com.txt 
# wget http://www.eicar.org/download/eicar_com.zip 
# wget http://www.eicar.org/download/eicarcom2.zip 

Šajā brīdī varat vai nu gaidīt, kamēr tiks palaists nākamais cron darbs, vai arī pats izpildīt maldet . Mēs izmantosim otro iespēju:

# maldet --scan-all /var/www/

LMD pieņem arī aizstājējzīmes, tādēļ, ja vēlaties skenēt tikai noteikta veida failus (t.i., piemēram, ZIP failus), varat to izdarīt:

# maldet --scan-all /var/www/*.zip

Kad skenēšana ir pabeigta, varat vai nu pārbaudīt LMD nosūtīto e-pastu vai skatīt ziņojumu ar:

# maldet --report 021015-1051.3559

Kur 021015-1051.3559 ir SCANID (jūsu gadījumā SCANID nedaudz atšķirsies).

Svarīgi: Lūdzu, ņemiet vērā, ka LMD atrada 5 trāpījumus, jo eicar.com fails tika lejupielādēts divas reizes (tādējādi izveidojot eicar.com un eicar.com.1).

Ja pārbaudīsit karantīnas mapi (es tikko atstāju vienu no failiem un izdzēsu pārējos), mēs redzēsim:

# ls -l

Pēc tam jūs varat noņemt visus karantīnā ievietotos failus, izmantojot:

# rm -rf /usr/local/maldetect/quarantine/*

Gadījumā, ja

# maldet --clean SCANID

Kādu iemeslu dēļ darbs netiek paveikts. Soli pa solim izskaidrojot iepriekš minēto procesu, varat atsaukties uz šo ekrāna apraidi:

Tā kā maldet ir jāintegrē ar cron , saknes crontab ir jāiestata šādi mainīgie (ierakstiet crontab -e kā sakni un nospiediet Enter taustiņš), ja pamanāt, ka LMD ikdienā nedarbojas pareizi:

PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
SHELL=/bin/bash

Tas palīdzēs nodrošināt nepieciešamo atkļūdošanas informāciju.

Secinājums

Šajā rakstā mēs esam apsprieduši, kā instalēt un konfigurēt Linux Malware Detect kopā ar spēcīgu sabiedroto ClamAV . Izmantojot šos 2 rīkus, ļaunprātīgas programmatūras atklāšanai vajadzētu būt diezgan vienkāršam uzdevumam.

Tomēr dariet sev labu un iepazīstieties ar failu README , kā paskaidrots iepriekš, un jūs varēsiet būt drošs, ka jūsu sistēma tiek labi uzskaitīta un labi pārvaldīta.

Nevilcinieties atstāt komentārus vai jautājumus, ja tādi ir, izmantojot zemāk esošo veidlapu.

Atsauces saites

LMD mājas lapa