Kif Tinstalla u Uża Linux Malware Detect (LMD) ma ClamAV bħala Antivirus Engine

Malware, jew softwer malizzjuż, hija d-denominazzjoni mogħtija lil kwalunkwe programm li għandu l-għan li jfixkel it-tħaddim normali ta' sistema tal-kompjuter. Għalkemm l-aktar forom magħrufa ta’ malware huma viruses, spyware, u adware, il-ħsara li bi ħsiebhom jikkawżaw tista’ tvarja minn serq ta’ informazzjoni privata għal tħassir ta’ data personali, u kollox bejniethom, filwaqt li użu klassiku ieħor ta’ malware huwa li jikkontrolla l- sistema sabiex tużaha biex tniedi botnets f’attakk (D)DoS.

Fi kliem ieħor, ma tistax taffordja taħseb, \M'għandix għalfejn niżgura s-sistema(i) tiegħi kontra l-malware peress li m'iniex qed naħżen data sensittiva jew importanti, għax dawk mhumiex l-uniċi miri tal-malware. .

Għal dik ir-raġuni, f'dan l-artikolu, se nispjegaw kif tinstalla u tikkonfigura Linux Malware Detect (magħruf ukoll bħala MalDet jew LMD fil-qosor) flimkien ma' ClamAV (Magna Antivirus) f'RHEL 8/7/6 (fejn x huwa n-numru tal-verżjoni), CentOS 8/7/6 u Fedora 30-32 (l-istess istruzzjonijiet jaħdmu wkoll fuq is-sistemi Ubuntu u Debian) .

Skaner tal-malware rilaxxat taħt il-liċenzja GPL v2, iddisinjat apposta għal ambjenti li jospitaw. Madankollu, malajr tirrealizza li int se tibbenefika minn MalDet irrispettivament minn liema tip ta’ ambjent tkun qed taħdem fuqu.

Installazzjoni ta 'LMD fuq RHEL/CentOS u Fedora

LMD mhuwiex disponibbli mir-repożitorji onlajn iżda jitqassam bħala tarball mis-sit web tal-proġett. It-tarball li fih il-kodiċi tas-sors tal-aħħar verżjoni huwa dejjem disponibbli fil-link li ġej, fejn jista 'jitniżżel bil-kmand wget:

# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Imbagħad irridu nispakkjaw it-tarball u nidħlu fid-direttorju fejn il-kontenut tiegħu ġie estratt. Peress li l-verżjoni attwali hija 1.6.4, id-direttorju huwa maldetect-1.6.4. Hemmhekk insibu l-iskrittura tal-installazzjoni, install.sh.

# tar -xvf maldetect-current.tar.gz
# ls -l | grep maldetect
# cd maldetect-1.6.4/
# ls

Jekk nispezzjonaw l-iskrittura tal-installazzjoni, li hija twila biss 75 linja (inklużi l-kummenti), naraw li mhux biss tinstalla l-għodda iżda wkoll twettaq pre-check biex tara jekk id-direttorju tal-installazzjoni default ( /usr/local/maldetect) teżisti. Jekk le, l-iskrittura toħloq id-direttorju tal-installazzjoni qabel ma tipproċedi.

Fl-aħħarnett, wara li titlesta l-installazzjoni, eżekuzzjoni ta’ kuljum permezz ta’ cron hija skedata billi titqiegħed l-iskript cron.daily (irreferi għall-immaġni hawn fuq) fi /etc/ cron.kuljum. Din l-iskrittura helper se, fost affarijiet oħra, ċara data temporanja antika, tiċċekkja għal rilaxxi LMD ġodda, u tiskennja l-panewijiet tal-kontroll default Apache u web (jiġifieri, CPanel, DirectAdmin, biex insemmu xi ftit) direttorji tad-data default.

Meta ngħad, mexxi l-iskrittura tal-installazzjoni bħas-soltu:

# ./install.sh

Konfigurazzjoni tal-Linux Malware Detect

Il-konfigurazzjoni ta 'LMD hija mmaniġġjata permezz ta' /usr/local/maldetect/conf.maldet u l-għażliet kollha huma kkummentati tajjeb biex il-konfigurazzjoni ssir kompitu pjuttost faċli. F'każ li titwaħħal, tista' wkoll tirreferi għal /maldetect-1.6.4/README għal aktar istruzzjonijiet.

Fil-fajl tal-konfigurazzjoni ssib is-sezzjonijiet li ġejjin, magħluqa ġewwa parentesi kwadri:

  1. TWISSIJIET EMAIL
  2. GĦAŻLIET TA' KWARANTINA
  3. GĦAŻLIET TA' SKANJAR
  4. ANALIŻI STATISTIKA
  5. GĦAŻLIET TA' MONITORAĠĠ

Kull waħda minn dawn it-taqsimiet fiha diversi varjabbli li jindikaw kif LMD se jġib ruħu u liema karatteristiċi huma disponibbli.

  1. Issettja email_alert=1 jekk trid tirċievi notifiki bl-email tar-riżultati tal-ispezzjoni tal-malware. Għal raġunijiet ta' qosor, aħna se ngħaddu biss il-posta lill-utenti tas-sistema lokali, iżda tista' tesplora għażliet oħra bħal li tibgħat twissijiet bil-posta lil barra wkoll.
  2. Issettja email_subj=”Is-suġġett tiegħek hawn” u [email  jekk qabel issettjajt email_alert=1.
  3. B'quar_hits, l-azzjoni default ta' kwarantina għal hits malware (0 = twissija biss, 1 = timxi għall-kwarantina u twissija) inti tgħid lil LMD x'għandek tagħmel meta jinstab malware.
  4. quar_clean tħallik tiddeċiedi jekk tridx tnaddaf injezzjonijiet ta' malware bbażati fuq string. Żomm f'moħħok li firma ta' string hija, bħala definizzjoni, \sekwenza ta' byte kontigwa li potenzjalment tista' taqbel ma' ħafna varjanti ta' familja ta' malware.
  5. quar_susp, l-azzjoni ta' sospensjoni awtomatika għall-utenti b'hits, se tippermettilek li tiddiżattiva kont li l-fajls tiegħu jkunu ġew identifikati bħala hits.
  6. clamav_scan=1 jgħid lil LMD biex jipprova jiskopri l-preżenza ta' ClamAV binarju u juża bħala magna tal-iskaner default. Dan jagħti prestazzjoni ta' skanjar sa erba' darbiet aktar mgħaġġla u analiżi hex superjuri. Din l-għażla tuża biss ClamAV bħala l-magna tal-iskaner, u l-firem LMD għadhom il-bażi għall-iskoperta ta' theddid.

Fil-qosor, il-linji b'dawn il-varjabbli għandhom jidhru kif ġej f'/usr/local/maldetect/conf.maldet:

email_alert=1
[email 
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quar_hits=1
quar_clean=1
quar_susp=1
clam_av=1

Installazzjoni ta' ClamAV fuq RHEL/CentOS u Fedora

Biex tinstalla ClamAV sabiex tieħu vantaġġ mill-issettjar clamav_scan, segwi dawn il-passi:

Attiva r-repożitorju EPEL.

# yum install epel-release

Imbagħad agħmel:

# yum update && yum install clamd
# apt update && apt-get install clamav clamav-daemon  [Ubuntu/Debian]

Nota: Li dawn huma biss l-istruzzjonijiet bażiċi biex tinstalla ClamAV sabiex tintegrah ma 'LMD. Mhux se nidħlu fid-dettall f'dak li għandu x'jaqsam mas-settings ta' ClamAV peress li kif għidna qabel, il-firem LMD għadhom il-bażi għall-iskoperta u t-tindif tat-theddid.

Ittestjar Linux Malware Detect

Issa wasal iż-żmien li nittestjaw l-installazzjoni riċenti tagħna LMD/ClamAV. Minflok ma nużaw malware reali, se nużaw il-fajls tat-test EICAR, li huma disponibbli biex jitniżżlu mis-sit web tal-EICAR.

# cd /var/www/html
# wget http://www.eicar.org/download/eicar.com 
# wget http://www.eicar.org/download/eicar.com.txt 
# wget http://www.eicar.org/download/eicar_com.zip 
# wget http://www.eicar.org/download/eicarcom2.zip

F'dan il-punt, tista' jew tistenna li x-xogħol cron li jmiss jibda jew tesegwixxi maldet manwalment lilek innifsek. Immorru bit-tieni għażla:

# maldet --scan-all /var/www/

LMD jaċċetta wkoll wildcards, allura jekk trid tiskennja biss ċertu tip ta' fajl, (jiġifieri fajls zip, pereżempju), tista' tagħmel dan:

# maldet --scan-all /var/www/*.zip

Meta l-iskannjar ikun lest, tista' jew tiċċekkja l-email li ntbagħtet minn LMD jew tara r-rapport bi:

# maldet --report 021015-1051.3559

Fejn 021015-1051.3559 huwa l-SCANID (l-SCANID se jkun kemmxejn differenti fil-każ tiegħek).

Importanti: Jekk jogħġbok innota li LMD sab 5 hits peress li l-fajl eicar.com ġie mniżżel darbtejn (b'hekk irriżulta f'eicar.com u eicar.com.1).

Jekk tiċċekkja l-folder tal-kwarantina (għadni kemm ħallejt wieħed mill-fajls u ħassar il-bqija), naraw dan li ġej:

# ls -l

Imbagħad tista' tneħħi l-fajls kollha fil-kwarantina bi:

# rm -rf /usr/local/maldetect/quarantine/*

Fil-każ li,

# maldet --clean SCANID

Ma jwettaqx ix-xogħol għal xi raġuni. Tista' tirreferi għall-screencast li ġej għal spjegazzjoni pass pass tal-proċess ta' hawn fuq:

Peress li maldet jeħtieġ li jiġi integrat ma' cron, trid tissettja l-varjabbli li ġejjin fil-crontab tal-għeruq (ittajpja crontab -e bħala għerq u agħfas il- Daħħal) f'każ li tinnota li l-LMD mhux qed jaħdem sew fuq bażi ta' kuljum:

PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
SHELL=/bin/bash

Dan jgħin biex jipprovdi l-informazzjoni meħtieġa tad-debugging.

Konklużjoni

F'dan l-artikolu, iddiskutejna kif tinstalla u tikkonfigura Linux Malware Detect, flimkien ma 'ClamAV, alleat qawwi. Bl-għajnuna ta 'dawn iż-żewġ għodod, is-sejbien ta' malware għandu jkun kompitu pjuttost faċli.

Madankollu, tagħmel tajjeb lilek innifsek u sir familjari mal-fajl README kif spjegat qabel, u tkun tista' sserraħ rasek li s-sistema tiegħek qed tiġi kkunsidrata tajjeb u ġestita tajjeb.

Toqgħodx lura milli tħalli l-kummenti jew il-mistoqsijiet tiegħek, jekk ikun hemm, billi tuża l-formola hawn taħt.

Links ta' Referenza

Homepage LMD