Linuxi pahavara tuvastamise (LMD) installimine ja kasutamine koos ClamAV -i viirusetõrje mootoriga

instagram story viewer

Pahavaravõi pahatahtlik tarkvara on mis tahes programmile määratud tähis, mille eesmärk on häirida arvutisüsteemi normaalset tööd. Kuigi kõige tuntumad pahavara vormid on viirused, nuhkvara ja reklaamvara, võib nende tekitatud kahju ulatuda privaatse teabe varastamisest kuni isikuandmete kustutamine ja kõik vahepealne, samas kui teine ​​klassikaline pahavara kasutusviis on süsteemi juhtimine, et kasutada seda botivõrkude käivitamiseks (D) DoS -is rünnak.

Loe ka: Kaitske Apache'i julma jõu või DDoS -rünnakute eest Linuxis

Teisisõnu, te ei saa endale lubada mõelda: „Ma ei pea oma süsteemi (sid) pahavara eest kaitsma kuna ma ei salvesta tundlikke ega olulisi andmeid ”, sest need pole ainsad sihtmärgid pahavara.

Sel põhjusel selgitame selles artiklis, kuidas installida ja konfigureerida Linuxi pahavara tuvastamine (aka MalDet või LMD lühidalt) koos ClamAV (Viirusetõrjemootor) RHEL 7/7/6 (kus x on versiooni number), CentOS 8/7/6 ja Fedora 30-32 (samad juhised töötavad ka Ubuntu ja Debian süsteemid).

GPL v2 litsentsi alusel välja antud pahavara skanner, mis on spetsiaalselt loodud keskkondade hostimiseks. Siiski saate kiiresti aru, et saate sellest kasu MalDet olenemata sellest, millises keskkonnas te töötate.

LMD installimine RHEL/CentOS ja Fedora

LMD ei ole veebipõhistest hoidlatest saadaval, kuid seda levitatakse tarbijana projekti veebisaidilt. Viimase versiooni lähtekoodi sisaldav tarball on alati saadaval järgmisel lingil, kust selle saab alla laadida wget käsk:

# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz. 

Seejärel peame pakendi lahti pakkima ja sisestama kataloogi, kust selle sisu ekstraheeriti. Kuna praegune versioon on 1.6.4, kataloog on valesti tuvastada-1.6.4. Sealt leiame installiskripti, install.sh.

# tar -xvf maldetect -current.tar.gz. # ls -l | grep valesti. # cd maldetect-1.6.4/ # ls.
Laadige alla Linuxi pahavara tuvastamine
Laadige alla Linuxi pahavara tuvastamine

Kui kontrollime installiskripti, mis on ainult 75 read (sh kommentaarid), näeme, et see mitte ainult ei installi tööriista, vaid teeb ka eelkontrolli, et näha, kas vaikimisi installikataloog (/usr/local/maldetect) on olemas. Kui ei, siis loob skript enne jätkamist installikataloogi.

Lõpuks, pärast installimise lõpetamist, igapäevane täitmine cron on planeeritud, paigutades cron.daily skript (vt ülaltoodud pilti) /etc/cron.daily. See abistaja skript kustutab muu hulgas vanad ajutised andmed, kontrollib uute LMD väljaannete olemasolu ja skannib vaikimisi Apache ja veebi juhtpaneelid (nt CPanel, DirectAdmin) kataloogid.

Nagu öeldud, käivitage installiskript nagu tavaliselt:

# ./install.sh. 
Installige Linuxi pahavara tuvastamine Linuxisse
Installige Linuxi pahavara tuvastamine Linuxisse

Linuxi pahavara tuvastamise seadistamine

LMD seadistamisega tegeletakse /usr/local/maldetect/conf.maldet ja kõik valikud on hästi kommenteeritud, et muuta seadistamine üsna lihtsaks ülesandeks. Juhul kui jänni jääd, võid viidata ka /maldetect-1.6.4/README edasiste juhiste saamiseks.

Konfiguratsioonifailis leiate järgmised jaotised, mis on suletud nurksulgudes:

  1. EMAIL HOIATUSED
  2. Karantiini valikud
  3. SKANNAVALIKUD
  4. STATISTILINE ANALÜÜS
  5. JÄRELEVALIKUD

Kõik need jaotised sisaldavad mitmeid muutujaid, mis näitavad, kuidas LMD käitub ja millised funktsioonid on saadaval.

  1. Määra email_alert = 1 kui soovite saada e -posti teel märguandeid pahavara kontrollimise tulemuste kohta. Lühiduse huvides edastame e -kirju ainult kohalikele süsteemikasutajatele, kuid saate uurida ka teisi võimalusi, näiteks saata meiliteateid väljastpoolt.
  2. Määra email_subj = ”Sinu teema siin” ja [e -post kaitstud] kui olete varem seadistanud email_alert = 1.
  3. Koos quar_hits, pahavara tabamuste vaikimisi karantiinitoiming (0 = ainult hoiatus, 1 = karantiini liikumine ja hoiatus), ütlete LMD -le, mida pahavara avastamisel teha.
  4. quar_clean võimaldab teil otsustada, kas soovite puhastada stringipõhiseid pahavara süste. Pidage meeles, et stringi allkiri on oma olemuselt „külgnev baitjärjestus, mis võib sobida pahavara perekonna paljude variantidega”.
  5. quar_susp, vaikimisi peatamistoiming tabamustega kasutajatele, võimaldab teil keelata konto, mille omandatud failid on tabamustena tuvastatud.
  6. clamav_scan = 1 käsib LMD -l proovida tuvastada ClamAV binaarset olemasolu ja kasutada seda vaikimisi skannerimootorina. See annab kuni neli korda kiirem skaneerimine ja suurepärane heksanalüüs. See suvand kasutab skannerimootorina ainult ClamAV -i ja LMD allkirjad on endiselt ohtude tuvastamise aluseks.

Oluline: Pange tähele, et quar_clean ja quar_susp nõuda seda quar_hits olema lubatud (=1).

Kokkuvõttes peaksid nende muutujatega read välja nägema järgmiselt /usr/local/maldetect/conf.maldet:

email_alert = 1. [e -post kaitstud]email_subj = "Pahavarahoiatused kasutajale $ HOSTNAME-$ (kuupäev +%Y-%m-%d)" quar_hits = 1. quar_clean = 1. quar_susp = 1. clam_av = 1.

ClamAV installimine RHEL/CentOS ja Fedora

Paigaldama ClamAV selleks, et ära kasutada clamav_scan seadistamiseks järgige neid samme:

Luba EPEL -hoidla.

# yum install epel-release. 

Seejärel tehke järgmist.

# yum update && yum install clamd. # apt update && apt-get install clamav clamav-daemon [Ubuntu/Debian]

Märge: Need on ainult põhijuhised ClamAVi installimiseks, et see integreerida LMD -ga. Me ei lähe ClamAV -i seadete üksikasjadesse, sest nagu me varem ütlesime, on LMD allkirjad endiselt ohtude tuvastamise ja puhastamise aluseks.

Linuxi pahavara tuvastamise testimine

Nüüd on aeg testida meie hiljutist LMD / ClamAV paigaldamine. Tõelise pahavara kasutamise asemel kasutame EICARi testfailid, mille saate alla laadida EICARi veebisaidilt.

# cd/var/www/html. # wget http://www.eicar.org/download/eicar.com # wget http://www.eicar.org/download/eicar.com.txt # wget http://www.eicar.org/download/eicar_com.zip # wget http://www.eicar.org/download/eicarcom2.zip 

Sel hetkel võite kas oodata järgmist cron töö käivitamiseks või täitmiseks maldet ise käsitsi. Läheme teise variandi juurde:

# maldet --scan-all/var/www/

LMD aktsepteerib ka metamärke, nii et kui soovite skannida ainult teatud tüüpi faile (nt zip -faile), saate seda teha järgmiselt.

# maldet --scan-all /var/www/*.zip. 
Skaneerige Linuxi pahavara tuvastamine Linuxis
Skaneerige pahavara Linuxis

Kui skannimine on lõpule jõudnud, saate kontrollida LMD saadetud e -kirja või vaadata aruannet järgmiselt:

# maldet-aruanne 021015-1051.3559. 
Linuxi pahavara skannimise aruanne
Linuxi pahavara skannimise aruanne

Kus 021015-1051.3559 on SCANID (SCANID on teie puhul veidi erinev).

Oluline: Pange tähele, et pärast eicar.com faili kaks korda allalaadimist leidis LMD 5 tabamust (tulemuseks saidi eicar.com ja eicar.com.1).

Kui kontrollite karantiinikausta (jätsin ühe faili alles ja ülejäänud kustutasin), näeme järgmist:

# ls -l. 
Linuxi pahavara tuvastab karantiinifailid
Linuxi pahavara tuvastab karantiinifailid

Seejärel saate kõik karantiinis olevad failid eemaldada järgmiselt.

# rm -rf/usr/local/maldetect/karantiin/*

Juhul, kui

# maldet -puhas SCANID. 

Ei saa mingil põhjusel tööd tehtud. Ülaltoodud protsessi samm-sammult selgitamiseks võite vaadata järgmist ekraanisaadet:

Lõplikud kaalutlused

Kuna maldet tuleb integreerida cron, peate root crontab (tüüp määrama järgmised muutujad crontab -e root ja vajuta Sisenema võti), kui märkate, et LMD ei tööta igapäevaselt õigesti:

PATH =/sbin:/bin:/usr/sbin:/usr/bin. MAILTO = juur. KODU =/ KOOR =/bin/bash.

See aitab pakkuda vajalikku silumisteavet.

Järeldus

Selles artiklis oleme arutanud, kuidas installida ja konfigureerida Linuxi pahavara tuvastamine, koos ClamAV, võimas liitlane. Nende kahe tööriista abil peaks pahavara tuvastamine olema üsna lihtne ülesanne.

Tehke siiski endale teene ja tutvuge LUGEGE faili, nagu varem selgitatud, ja võite olla kindel, et teie süsteem on hästi arvestatud ja hästi hallatud.

Ärge kartke jätta oma kommentaarid või küsimused, kui neid on, kasutades allolevat vormi.

Viite lingid

LMD koduleht

Teachs.ru