Cara Menginstal dan Menggunakan Linux Malware Detect (LMD) dengan ClamAV sebagai Mesin Antivirus

Perangkat lunak perusak, atau perangkat lunak berbahaya, adalah sebutan yang diberikan untuk program apa pun yang bertujuan mengganggu operasi normal sistem komputasi. Meskipun bentuk malware yang paling terkenal adalah virus, spyware, dan adware, bahaya yang ditimbulkannya dapat berkisar dari mencuri informasi pribadi hingga menghapus data pribadi, dan segala sesuatu di antaranya, sementara penggunaan malware klasik lainnya adalah mengontrol sistem agar dapat menggunakannya untuk meluncurkan botnet dalam (D)DoS menyerang.

Baca Juga: Lindungi Apache dari Serangan Brute Force atau DDoS di Linux

Dengan kata lain, Anda tidak boleh berpikir, “Saya tidak perlu mengamankan sistem saya dari malware karena saya tidak menyimpan data sensitif atau penting apa pun”, karena itu bukan satu-satunya target perangkat lunak jahat.

Oleh karena itu, dalam artikel ini, kami akan menjelaskan cara menginstal dan mengkonfigurasi Deteksi Malware Linux (alias MalDet atau LMD singkatnya) bersama dengan ClamAV (Mesin Antivirus) di RHEL 8/7/6 (di mana x adalah nomor versi), CentOS 8/7/6 dan Fedora 30-32 (instruksi yang sama juga berfungsi pada Ubuntu dan Debian sistem).

Pemindai malware dirilis di bawah lisensi GPL v2, yang dirancang khusus untuk lingkungan hosting. Namun, Anda akan segera menyadari bahwa Anda akan mendapat manfaat dari MalDet tidak peduli apa jenis lingkungan yang Anda kerjakan.

Menginstal LMD di RHEL/CentOS dan Fedora

LMD tidak tersedia dari repositori online tetapi didistribusikan sebagai tarball dari situs web proyek. Tarball yang berisi kode sumber versi terbaru selalu tersedia di tautan berikut, yang dapat diunduh dengan perintah wget:

#wget http://www.rfxn.com/downloads/maldetect-current.tar.gz. 

Kemudian kita perlu membongkar tarball dan masuk ke direktori tempat isinya diekstraksi. Karena versi saat ini adalah 1.6.4, direktorinya adalah maldetect-1.6.4. Di sana kita akan menemukan skrip instalasi, install.sh.

# tar -xvf maldetect-current.tar.gz. # ls -l | kesalahan deteksi grep. # cd maldetect-1.6.4/ # ls.
Unduh Linux Malware Detect
Unduh Linux Malware Detect

Jika kita memeriksa skrip instalasi, yang hanya 75 baris panjang (termasuk komentar), kita akan melihat bahwa itu tidak hanya menginstal alat tetapi juga melakukan pra-pemeriksaan untuk melihat apakah direktori instalasi default (/usr/local/maldetect) ada. Jika tidak, skrip membuat direktori instalasi sebelum melanjutkan.

Akhirnya, setelah instalasi selesai, eksekusi harian melalui cron dijadwalkan dengan menempatkan cron.daily script (lihat gambar di atas) di /etc/cron.daily. Skrip pembantu ini akan, antara lain, menghapus data sementara lama, memeriksa rilis LMD baru, dan memindai panel kontrol Apache dan web default (yaitu, CPanel, DirectAdmin, untuk beberapa nama) data default direktori.

Karena itu, jalankan skrip instalasi seperti biasa:

# ./install.sh. 
Instal Linux Malware Detect di Linux
Instal Linux Malware Detect di Linux

Mengonfigurasi Deteksi Malware Linux

Konfigurasi LMD ditangani melalui /usr/local/maldetect/conf.maldet dan semua opsi dikomentari dengan baik untuk membuat konfigurasi menjadi tugas yang agak mudah. Jika Anda terjebak, Anda juga dapat merujuk ke /maldetect-1.6.4/README untuk instruksi lebih lanjut.

Dalam file konfigurasi Anda akan menemukan bagian berikut, terlampir di dalam tanda kurung siku:

  1. PERINGATAN EMAIL
  2. OPSI KARANTINA
  3. PILIHAN PINDAI
  4. ANALISIS STATISTIK
  5. OPSI PEMANTAUAN

Masing-masing bagian ini berisi beberapa variabel yang menunjukkan bagaimana LMD akan berperilaku dan fitur apa yang tersedia.

  1. Mengatur email_alert=1 jika Anda ingin menerima email pemberitahuan hasil pemeriksaan malware. Demi singkatnya, kami hanya akan menyampaikan email ke pengguna sistem lokal, tetapi Anda dapat menjelajahi opsi lain seperti mengirim peringatan email ke luar juga.
  2. Mengatur email_subj=”Subjek Anda di sini” dan [dilindungi email] jika sebelumnya Anda telah mengatur email_alert=1.
  3. Dengan quar_hits, tindakan karantina default untuk serangan malware (0 = hanya peringatan, 1 = pindah ke karantina & peringatan) Anda akan memberi tahu LMD apa yang harus dilakukan ketika malware terdeteksi.
  4. quar_clean akan membiarkan Anda memutuskan apakah Anda ingin membersihkan injeksi malware berbasis string. Perlu diingat bahwa tanda tangan string, menurut definisi, adalah "urutan byte yang berdekatan yang berpotensi cocok dengan banyak varian keluarga malware".
  5. quar_susp, tindakan penangguhan default untuk pengguna dengan klik, akan memungkinkan Anda menonaktifkan akun yang file miliknya telah diidentifikasi sebagai klik.
  6. clamav_scan=1 akan memberitahu LMD untuk mencoba mendeteksi keberadaan biner ClamAV dan digunakan sebagai mesin pemindai default. Ini menghasilkan hingga kinerja pemindaian empat kali lebih cepat dan analisis hex superior. Opsi ini hanya menggunakan ClamAV sebagai mesin pemindai, dan tanda tangan LMD masih menjadi dasar untuk mendeteksi ancaman.

Penting: Harap dicatat bahwa quar_clean dan quar_susp membutuhkan itu quar_hits diaktifkan (=1).

Kesimpulannya, garis dengan variabel-variabel ini akan terlihat sebagai berikut: /usr/local/maldetect/conf.maldet:

email_alert=1. [dilindungi email]email_subj="Peringatan malware untuk $HOSTNAME - $(tanggal +%Y-%m-%d)" quar_hits=1. quar_clean=1. quar_susp=1. kerang_av=1.

Menginstal ClamAV di RHEL/CentOS dan Fedora

Untuk memasang ClamAV untuk memanfaatkan clamav_scan pengaturan, ikuti langkah-langkah berikut:

Aktifkan repositori EPEL.

# yum install epel-release. 

Kemudian lakukan:

# yum perbarui && yum instal clamd. # apt update && apt-get install clamav clamav-daemon [Ubuntu/Debian]

Catatan: Bahwa ini hanya petunjuk dasar untuk menginstal ClamAV untuk mengintegrasikannya dengan LMD. Kami tidak akan merinci sejauh menyangkut pengaturan ClamAV karena seperti yang kami katakan sebelumnya, tanda tangan LMD masih menjadi dasar untuk mendeteksi dan membersihkan ancaman.

Menguji Deteksi Malware Linux

Sekarang saatnya untuk menguji terbaru kami LMD / ClamAV instalasi. Alih-alih menggunakan malware asli, kami akan menggunakan File tes EICAR, yang tersedia untuk diunduh dari situs web EICAR.

# cd /var/www/html. #wget http://www.eicar.org/download/eicar.com #wget http://www.eicar.org/download/eicar.com.txt #wget http://www.eicar.org/download/eicar_com.zip #wget http://www.eicar.org/download/eicarcom2.zip 

Pada titik ini, Anda bisa menunggu yang berikutnya cron pekerjaan untuk dijalankan atau dijalankan maldet sendiri secara manual. Kami akan menggunakan opsi kedua:

# maldet --scan-all /var/www/

LMD juga menerima wildcard, jadi jika Anda hanya ingin memindai jenis file tertentu, (misalnya file zip), Anda dapat melakukannya:

# maldet --scan-all /var/www/*.zip. 
Pindai Deteksi Malware Linux di Linux
Pindai Malware di Linux

Saat pemindaian selesai, Anda dapat memeriksa email yang dikirim oleh LMD atau melihat laporan dengan:

# maldet --laporan 021015-1051.3559. 
Laporan Pemindaian Malware Linux
Laporan Pemindaian Malware Linux

Di mana 021015-1051.3559 adalah SCANID (SCANID akan sedikit berbeda dalam kasus Anda).

Penting: Harap dicatat bahwa LMD menemukan 5 klik sejak file eicar.com diunduh dua kali (sehingga menghasilkan eicar.com dan eicar.com.1).

Jika Anda memeriksa folder karantina (saya baru saja meninggalkan salah satu file dan menghapus sisanya), kita akan melihat yang berikut:

# ls -l. 
Malware Linux Mendeteksi File Karantina
Malware Linux Mendeteksi File Karantina

Anda kemudian dapat menghapus semua file yang dikarantina dengan:

# rm -rf /usr/local/maldetect/karantina/*

Dalam hal itu,

# maldet --bersihkan SCANID. 

Tidak menyelesaikan pekerjaan karena alasan tertentu. Anda dapat merujuk ke screencast berikut untuk penjelasan langkah demi langkah dari proses di atas:

Pertimbangan Akhir

Sejak maldet perlu diintegrasikan dengan cron, Anda perlu mengatur variabel berikut di crontab root (ketik crontab -e sebagai root dan tekan Memasuki key) jika Anda melihat bahwa LMD tidak berjalan dengan benar setiap hari:

PATH=/sbin:/bin:/usr/sbin:/usr/bin. MAILTO = akar. RUMAH=/ SHELL=/bin/bash.

Ini akan membantu memberikan informasi debug yang diperlukan.

Kesimpulan

Pada artikel ini, kita telah membahas cara menginstal dan mengkonfigurasi Deteksi Malware Linux, bersama ClamAV, sekutu yang kuat. Dengan bantuan 2 alat ini, mendeteksi malware seharusnya menjadi tugas yang agak mudah.

Namun, bantulah diri Anda sendiri dan menjadi akrab dengan Baca aku file seperti yang dijelaskan sebelumnya, dan Anda akan dapat yakin bahwa sistem Anda diperhitungkan dengan baik dan dikelola dengan baik.

Jangan ragu untuk meninggalkan komentar atau pertanyaan Anda, jika ada, menggunakan formulir di bawah ini.

Tautan Referensi

Beranda LMD

Teachs.ru