Sådan installeres og bruges Linux Malware Detect (LMD) med ClamAV som Antivirus Engine

Malware eller ondsindet software er betegnelsen for ethvert program, der sigter mod at forstyrre den normale drift af et computersystem. Selvom de mest kendte former for malware er vira, spyware og adware, kan den skade, de agter at forårsage, spænde fra at stjæle private oplysninger til at slette personlige data og alt imellem, mens en anden klassisk anvendelse af malware er at kontrollere system for at bruge det til at starte botnets i et (D) DoS-angreb.

Med andre ord har du ikke råd til at tænke, "Jeg har ikke brug for at sikre mine system (er) mod malware, da jeg ikke gemmer nogen følsomme eller vigtige data", fordi det ikke er de eneste mål for malware.

Af denne grund forklarer vi i denne artikel, hvordan man installerer og konfigurerer Linux Malware Detect (aka MalDet eller LMD for kort) sammen med ClamAV (Antivirus Engine) i RHEL 8/7/6 (hvor x er versionsnummeret), CentOS 8/7/6 og Fedora 30-32 (samme instruktioner fungerer også på Ubuntu og Debian-systemer) .

En malware-scanner frigivet under GPL v2-licensen, specielt designet til hostingmiljøer. Du vil dog hurtigt indse, at du vil drage fordel af MalDet uanset hvilken slags miljø du arbejder på.

Installation af LMD på RHEL/CentOS og Fedora

LMD er ikke tilgængelig fra online arkiver, men distribueres som en tarball fra projektets websted. Tarball indeholdende kildekoden til den nyeste version er altid tilgængelig på følgende link, hvor den kan downloades med wget-kommandoen:

# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Derefter er vi nødt til at pakke tarball ud og komme ind i den mappe, hvor dens indhold blev ekstraheret. Da den nuværende version er 1.6.4 , er biblioteket maldetect-1.6.4 . Der finder vi installationsskriptet, install.sh .

# tar -xvf maldetect-current.tar.gz
# ls -l | grep maldetect
# cd maldetect-1.6.4/
# ls

Hvis vi inspicerer installationsscriptet, der kun er 75 linjer langt (inklusive kommentarer), vil vi se, at det ikke kun installerer værktøjet, men også udfører en forudgående kontrol for at se, om standardinstallationsmappen ( /usr/local/maldetect ) findes. Hvis ikke, opretter scriptet installationsmappen, inden du fortsætter.

Når installationen er afsluttet, planlægges en daglig udførelse via cron ved at placere cron.daily scriptet (se billedet ovenfor) i /etc/cron.daily . Dette hjælper-script vil blandt andet rydde gamle midlertidige data, kontrollere for nye LMD-udgivelser og scanne standard Apache- og webkontrolpaneler (dvs. CPanel, DirectAdmin, for at nævne nogle få) standarddatakataloger.

Når det er sagt, skal du køre installationsskriptet som normalt:

# ./install.sh

Konfiguration af Linux Malware Detect

Konfigurationen af LMD håndteres via /usr/local/maldetect/conf.maldet , og alle indstillinger er godt kommenteret for at gøre konfigurationen til en ret let opgave. Hvis du sidder fast, kan du også henvise til /maldetect-1.6.4/README for yderligere instruktioner.

I konfigurationsfilen finder du følgende sektioner, lukket inden for firkantede parenteser:

  1. E-POSTVARSLER
  2. KARANTINEMULIGHEDER
  3. SCANMULIGHEDER
  4. STATISTISK ANALYSE
  5. OVERVÅGNINGSMULIGHEDER

Hver af disse sektioner indeholder flere variabler, der indikerer, hvordan LMD opfører sig, og hvilke funktioner der er tilgængelige.

  1. Indstil email_alert = 1 , hvis du vil modtage e-mail-underretninger om malwareinspektionsresultater. Af kortheds skyld videresender vi kun mail til lokale systembrugere, men du kan også undersøge andre muligheder, såsom at sende mailadvarsler også udefra.
  2. Indstil email_subj = ”Dit emne her” og [e-mailbeskyttet] hvis du tidligere har angivet email_alert = 1.
  3. Med quar_hits vil standardkarantænehandling for malware-hits (0 = kun alarm, 1 = gå til karantæne og alarm) fortælle LMD, hvad de skal gøre, når malware opdages.
  4. quar_clean giver dig mulighed for at beslutte, om du vil rense strengbaserede malware-injektioner. Husk, at en strengesignatur pr. Definition er "en sammenhængende bytesekvens, der potentielt kan matche mange varianter af en malware-familie".
  5. quar_susp , standard suspenderingshandling for brugere med hits, giver dig mulighed for at deaktivere en konto, hvis ejede filer er blevet identificeret som hits.
  6. clamav_scan = 1 vil bede LMD om at forsøge at opdage tilstedeværelsen af ClamAV binær og bruge som standard scannermotor. Dette giver op til fire gange hurtigere scanningsydelse og overlegen hexanalyse. Denne mulighed bruger kun ClamAV som scannermotor, og LMD-signaturer er stadig grundlaget for at opdage trusler.

Sammenfattende skal linjerne med disse variabler se ud som følger i /usr/local/maldetect/conf.maldet :

email_alert=1
[email 
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quar_hits=1
quar_clean=1
quar_susp=1
clam_av=1

Installation af ClamAV på RHEL/CentOS og Fedora

Følg disse trin for at installere ClamAV for at drage fordel af indstillingen clamav_scan :

Aktivér EPEL-lager.

# yum install epel-release

Gør derefter:

# yum update && yum install clamd
# apt update && apt-get install clamav clamav-daemon  [Ubuntu/Debian]

Bemærk: At dette kun er de grundlæggende instruktioner til installation af ClamAV for at integrere det med LMD. Vi vil ikke gå i detaljer, hvad ClamAV-indstillinger angår, da LMD-signaturer, som vi sagde tidligere, stadig er grundlaget for at opdage og rense trusler.

Test af Linux Malware Detect

Nu er det tid til at teste vores nylige LMD / ClamAV installation. I stedet for at bruge ægte malware bruger vi EICAR-testfilerne, som kan downloades fra EICAR-webstedet.

# cd /var/www/html
# wget http://www.eicar.org/download/eicar.com 
# wget http://www.eicar.org/download/eicar.com.txt 
# wget http://www.eicar.org/download/eicar_com.zip 
# wget http://www.eicar.org/download/eicarcom2.zip

På dette tidspunkt kan du enten vente på, at det næste cron job kører eller udfører maldet manuelt. Vi går med den anden mulighed:

# maldet --scan-all /var/www/

LMD accepterer også jokertegn, så hvis du kun vil scanne en bestemt type fil (f.eks. zip-filer), kan du gøre det:

# maldet --scan-all /var/www/*.zip

Når scanningen er afsluttet, kan du enten kontrollere den e-mail, der blev sendt af LMD eller se rapporten med:

# maldet --report 021015-1051.3559

Hvor 021015-1051.3559 er SCANID (SCANID vil være lidt anderledes i dit tilfælde).

Vigtigt: Bemærk, at LMD fandt 5 hits, da eicar.com-filen blev downloadet to gange (hvilket resulterede i eicar.com og eicar.com.1).

Hvis du tjekker karantænemappen (jeg har lige efterladt en af filerne og slettet resten), ser vi følgende:

# ls -l

Du kan derefter fjerne alle filer i karantæne med:

# rm -rf /usr/local/maldetect/quarantine/*

I tilfælde af at

# maldet --clean SCANID

Får ikke jobbet gjort af en eller anden grund. Du kan henvise til følgende screencast for en trinvis forklaring af ovenstående proces:

Da maldet skal integreres med cron , skal du indstille følgende variabler i rodens crontab (skriv crontab -e som root og tryk på Indtast nøgle) i tilfælde af at du bemærker, at LMD ikke kører korrekt dagligt:

PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
SHELL=/bin/bash

Dette hjælper med at give de nødvendige fejlretningsoplysninger.

Konklusion

I denne artikel har vi diskuteret, hvordan man installerer og konfigurerer Linux Malware Detect sammen med ClamAV , en stærk allieret. Ved hjælp af disse 2 værktøjer bør det være en ret let opgave at opdage malware.

Gør dig selv en tjeneste, og bliv fortrolig med README -filen som forklaret tidligere, og du vil være sikker på, at dit system er godt regnskabsmæssigt og godt administreret.

Tøv ikke med at efterlade dine kommentarer eller spørgsmål, hvis nogen, ved hjælp af nedenstående formular.

Reference Links

LMD-hjemmeside