Weboldal keresés

A Linux Malware Detect (LMD) telepítése és használata ClamAV víruskereső motorként

A rosszindulatú program vagy rosszindulatú szoftver minden olyan program megjelölése, amelynek célja a számítógépes rendszer normál működésének megzavarása. Bár a rosszindulatú programok legismertebb formái a vírusok, kémprogramok és reklámprogramok, az általuk okozott kár a személyes adatok ellopásától a személyes adatok törléséig terjedhet, míg a rosszindulatú programok másik klasszikus felhasználási módja a rendszert, hogy botneteket indítson el egy (D)DoS támadás során.

Más szavakkal, nem engedheti meg magának, hogy azt gondolja, hogy „nem kell megvédenem a rendszeremet a rosszindulatú programok ellen, mivel nem tárolok semmilyen érzékeny vagy fontos adatot”, mert nem ezek a rosszindulatú programok egyetlen célpontja.

Ezért ebben a cikkben elmagyarázzuk, hogyan kell telepíteni és konfigurálni a Linux Malware Detect (más néven MalDet vagy röviden LMD), valamint ClamAV (Víruskereső motor) RHEL 8/7/6-ban (ahol x a verziószám), CentOS 8/7/6 és Fedora 30-32 (ugyanaz az utasítás működik az Ubuntun is > és Debian rendszerek).

A GPL v2 licenc alatt kiadott rosszindulatú programkereső, amelyet kifejezetten tárhelykörnyezetekhez terveztek. Azonban gyorsan rájön, hogy a MalDet előnyeit élvezheti, függetlenül attól, hogy milyen környezetben dolgozik.

LMD telepítése RHEL/CentOS és Fedora rendszeren

Az LMD nem érhető el online adattárakból, de a projekt webhelyéről tarballként terjesztik. A legújabb verzió forráskódját tartalmazó tarball mindig elérhető az alábbi linken, ahonnan wget paranccsal tölthető le:

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Ezután ki kell csomagolnunk a tarballt, és be kell lépnünk abba a könyvtárba, ahonnan a tartalma ki lett bontva. Mivel a jelenlegi verzió 1.6.4, a könyvtár a maldetect-1.6.4. Ott találjuk a telepítő szkriptet, az install.sh.

tar -xvf maldetect-current.tar.gz
ls -l | grep maldetect
cd maldetect-1.6.4/
ls

Ha megvizsgáljuk a telepítő szkriptet, amely csak 75 sor hosszú (beleértve a megjegyzéseket), látni fogjuk, hogy nem csak telepíti az eszközt, hanem előzetes ellenőrzést is végez, hogy megnézze, hogy az alapértelmezett telepítési könyvtár ( /usr/local/maldetect) létezik. Ha nem, a szkript létrehozza a telepítési könyvtárat a folytatás előtt.

Végül a telepítés befejezése után a cron-on keresztüli napi végrehajtás ütemezése a cron.daily szkript (lásd a fenti képet) elhelyezésével a /etc/ mappába. cron.napit. Ez a segédszkript többek között törli a régi ideiglenes adatokat, ellenőrzi az új LMD-kiadásokat, és átvizsgálja az alapértelmezett Apache- és webvezérlőpultokat (pl. CPanel, DirectAdmin, hogy csak néhányat említsünk) alapértelmezett adatkönyvtárak.

Ennek ellenére futtassa a telepítő szkriptet a szokásos módon:

./install.sh

A Linux Malware Detect konfigurálása

Az LMD konfigurálása a /usr/local/maldetect/conf.maldet-en keresztül történik, és minden opció jól meg van írva, hogy a beállítás meglehetősen egyszerű feladat legyen. Abban az esetben, ha elakad, a /maldetect-1.6.4/README címen további utasításokat találhat.

A konfigurációs fájlban a következő szakaszok találhatók szögletes zárójelben:

  1. E-MAIL-FIGYELMEZTETÉSEK
  2. KARANTÉN LEHETŐSÉGEK
  3. SZKENNELÉSI OPCIÓK
  4. STATISZTIKAI ANALÍZIS
  5. MONITORING LEHETŐSÉGEK

Ezen szakaszok mindegyike több változót tartalmaz, amelyek jelzik, hogyan fog viselkedni az LMD, és milyen funkciók állnak rendelkezésre.

  1. Állítsa be az email_alert=1 beállítást, ha e-mailben szeretne értesítést kapni a rosszindulatú programok vizsgálatának eredményeiről. A rövidség kedvéért a leveleket csak a helyi rendszerfelhasználóknak továbbítjuk, de más lehetőségeket is felfedezhet, például e-mail-riasztások küldését kívülre is.
  2. Állítsa be az email_subj=”Your subject here” és az email_addr=username@localhost értéket, ha korábban beállította az email_alert=1 értéket.
  3. A quar_hits, a rosszindulatú programtalálatok alapértelmezett karanténművelete (0=csak figyelmeztetés, 1=átlépés karanténba és figyelmeztetésbe) megmondja az LMD-nek, hogy mit kell tennie, ha rosszindulatú programokat észlel.
  4. A quar_clean segítségével eldöntheti, hogy szeretné-e megtisztítani a karakterlánc-alapú rosszindulatú programokat. Ne feledje, hogy a karakterlánc-aláírás definíció szerint „egy összefüggő bájtsorozat, amely potenciálisan megfelelhet egy rosszindulatú programcsalád számos változatának”.
  5. A quar_susp, a találatokkal rendelkező felhasználók alapértelmezett felfüggesztési művelete, lehetővé teszi, hogy letiltson egy olyan fiókot, amelynek a tulajdonában lévő fájlokat találatként azonosították.
  6. A clamav_scan=1 utasítja az LMD-t, hogy próbálja meg észlelni a ClamAV bináris jelenlétét, és használja azt alapértelmezett szkennermotorként. Ez akár négyszer gyorsabb vizsgálati teljesítményt és kiváló hexadecimális elemzést eredményez. Ez az opció csak a ClamAV-t használja szkennermotorként, és továbbra is az LMD aláírások képezik a fenyegetések észlelésének alapját.

Összegezve, az ezeket a változókat tartalmazó soroknak a következőképpen kell kinézniük a /usr/local/maldetect/conf.maldet fájlban:

email_alert=1
email_addr=gacanepa@localhost
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quar_hits=1
quar_clean=1
quar_susp=1
clam_av=1

A ClamAV telepítése RHEL/CentOS és Fedora rendszeren

A ClamAV telepítéséhez, hogy kihasználhassa a clamav_scan beállítás előnyeit, kövesse az alábbi lépéseket:

Az EPEL adattár engedélyezése.

yum install epel-release

Akkor csináld:


yum update && yum install clamd
apt update && apt-get install clamav clamav-daemon  [Ubuntu/Debian]

Megjegyzés: Ezek csak az alapvető utasítások a ClamAV telepítéséhez az LMD-vel való integrálása érdekében. A ClamAV beállításait illetően nem térünk ki a részletekbe, mivel mint korábban említettük, az LMD aláírások továbbra is a fenyegetések észlelésének és tisztításának alapját képezik.

A Linux Malware Detect tesztelése

Itt az ideje, hogy teszteljük legutóbbi LMD/ClamAV telepítésünket. Valódi rosszindulatú programok használata helyett az EICAR tesztfájlokat fogjuk használni, amelyek letölthetők az EICAR webhelyéről.

cd /var/www/html
wget http://www.eicar.org/download/eicar.com 
wget http://www.eicar.org/download/eicar.com.txt 
wget http://www.eicar.org/download/eicar_com.zip 
wget http://www.eicar.org/download/eicarcom2.zip

Ezen a ponton vagy megvárhatja a következő cron feladat futtatását, vagy saját maga hajthatja végre a maldet parancsot. A második lehetőséggel fogunk élni:

maldet --scan-all /var/www/

Az LMD a helyettesítő karaktereket is elfogadja, így ha csak egy bizonyos típusú fájlt (például zip fájlokat) szeretne vizsgálni, megteheti:

maldet --scan-all /var/www/*.zip

Amikor a szkennelés befejeződött, ellenőrizheti az LMD által küldött e-mailt, vagy megtekintheti a jelentést a következővel:

maldet --report 021015-1051.3559

Ahol a 021015-1051.3559 a SCANID (a SCANID kissé eltér az Ön esetében).

Fontos: Kérjük, vegye figyelembe, hogy az LMD 5 találatot talált az eicar.com fájl kétszeri letöltése óta (így az eicar.com és az eicar.com.1).

Ha ellenőrzi a karantén mappát (az egyik fájlt elhagytam, a többit pedig töröltem), a következőket fogjuk látni:

ls -l

Ezután eltávolíthatja az összes karanténba helyezett fájlt:

rm -rf /usr/local/maldetect/quarantine/*

Ebben az esetben,

maldet --clean SCANID

Valamiért nem végzi el a munkát. A fenti folyamat lépésről lépésre történő magyarázatához tekintse meg a következő képernyőképet:

Végső megfontolások

Mivel a maldet-et integrálni kell a cron-val, be kell állítania a következő változókat a root crontabjában (írja be a crontab -e parancsot rootként, és nyomja meg a Enter billentyű) arra az esetre, ha azt észleli, hogy az LMD napi rendszerességgel nem működik megfelelően:

PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
SHELL=/bin/bash

Ez segít megadni a szükséges hibakeresési információkat.

Következtetés

Ebben a cikkben a Linux Malware Detect és a ClamAV, egy hatékony szövetséges telepítésének és konfigurálásának módját tárgyaltuk. A két eszköz segítségével a rosszindulatú programok felderítése meglehetősen egyszerű feladat.

Tegyen azonban magának egy szívességet, és ismerje meg a README fájlt a korábban leírtak szerint, és biztos lehet benne, hogy rendszerét megfelelően elszámolják és jól kezelik.

Ne habozzon, tegye meg észrevételeit vagy kérdéseit, ha van ilyen, az alábbi űrlap segítségével.

Referencia hivatkozások

LMD Honlap