Złośliwe oprogramowanie to nazwa nadana każdemu programowi, który ma na celu zakłócenie normalnego działania systemu komputerowego. Chociaż najbardziej znanymi formami złośliwego oprogramowania są wirusy, oprogramowanie szpiegujące i oprogramowanie reklamowe, szkody, jakie zamierzają wyrządzić, mogą obejmować kradzież prywatnych informacji, usuwanie danych osobowych i inne np przejęcie w celu uruchomienia botnetów w ataku DDoS.
Z tego powodu w tym artykule wyjaśnimy, jak zainstalować i skonfigurować Linux Malware Detect (w skrócie MalDet lub LMD ) wraz z ClamAV.
LMD nie jest dostępny w repozytoriach online, ale jest rozprowadzany jako paczka z witryny internetowej projektu. Paczka zawierająca kod źródłowy najnowszej wersji jest zawsze dostępna pod poniższym linkiem, skąd można ją pobrać za pomocą polecenia wget :
# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
Następnie musimy rozpakować archiwum i wejść do katalogu, do którego została wypakowana jego zawartość. Ponieważ aktualna wersja to 1.6.4 , katalog to maldetect-1.6.4 . Znajdziemy tam skrypt instalacyjny install.sh .
# tar -xvf maldetect-current.tar.gz # ls -l | grep maldetect # cd maldetect-1.6.4/ # ls
Jeśli sprawdzimy skrypt instalacyjny, który ma tylko 70 wierszy (łącznie z komentarzami), zobaczymy, że nie tylko instaluje on narzędzie, ale także przeprowadza wstępne sprawdzenie, czy domyślny katalog instalacyjny ( / usr / local / maldetect ) istnieje. Jeśli nie, skrypt utworzy katalog instalacyjny przed kontynuowaniem.
Na koniec, po zakończeniu instalacji, zaplanowane jest codzienne wykonywanie przez cron poprzez umieszczenie skryptu cron.daily (patrz obrazek powyżej) w /etc/cron.daily . Ten skrypt pomocniczy, między innymi, wyczyści stare tymczasowe dane, sprawdzi dostępność nowych wersji LMD i przeskanuje domyślne katalogi danych Apache i sieciowe.
Biorąc to pod uwagę, uruchom skrypt instalacyjny jak zwykle:
# ./install.sh
Konfiguracja LMD jest obsługiwana przez /usr/local/maldetect/conf.maldet, a wszystkie opcje są dobrze skomentowane. Jeśli utkniesz, możesz również zapoznać się z /maldetect-1.6.4/README, aby uzyskać dalsze instrukcje.
W pliku konfiguracyjnym znajdziesz następujące sekcje, zamknięte w nawiasach kwadratowych:
- POWIADOMIENIA EMAIL
- OPCJE KWARANTANNY
- OPCJE SKANOWANIA
- ANALIZA STATYSTYCZNA
- OPCJE MONITOROWANIA
Każda z tych sekcji zawiera kilka zmiennych, które wskazują, jak zachowa się LMD i jakie funkcje są dostępne.
- Ustaw email_alert = 1, jeśli chcesz otrzymywać powiadomienia e-mail o wynikach inspekcji złośliwego oprogramowania. Ze względu na zwięzłość przekażemy pocztę tylko do lokalnych użytkowników systemu, ale możesz także zbadać inne opcje, takie jak wysyłanie alertów pocztowych na zewnątrz.
- Ustaw email_subj = „Twój temat” oraz email_addr = nazwa_użytkownika @ localhost, jeśli wcześniej ustawiłeś email_alert = 1.
- W przypadku quar_hits , domyślnej akcji kwarantanny dla trafień złośliwego oprogramowania (0 = tylko alert, 1 = przejście do kwarantanny i alert).
- quar_clean pozwoli Ci zdecydować, czy chcesz wyczyścić wstrzyknięcia złośliwego oprogramowania opartego na ciągach. Należy pamiętać, że sygnatura ciągu to z definicji „ciągła sekwencja bajtów, która potencjalnie może pasować do wielu wariantów rodziny złośliwego oprogramowania”.
- quar_susp , domyślna akcja zawieszenia dla użytkowników którzy zostali zainfekowani, pozwoli ci wyłączyć konto, którego posiadane pliki zostały zidentyfikowane.
- clamav_scan = 1 powie LMD, aby spróbował wykryć obecność pliku binarnego ClamAV i użył go jako domyślnego silnika skanera. Zapewnia to nawet czterokrotnie szybsze skanowanie. Ta opcja używa ClamAV jako silnika skanera obok sygnatur LMD.
Podsumowując, wiersze z tymi zmiennymi powinny wyglądać następująco w /usr/local/maldetect/conf.maldet :
email_alert = 1 email_addr = gacanepa @ localhost email_subj = "Alerty o złośliwym oprogramowaniu dla $ HOSTNAME - $ (data +% Y-% m-% d)" quar_hits = 1 quar_clean = 1 quar_susp = 1 clam_av = 1
Aby zainstalować ClamAV , wykonaj następujące kroki:
# apt update && apt-get install clamav clamav-daemon -y
Czas przetestować naszą ostatnią instalację LMD z ClamAV . Zamiast używać prawdziwego złośliwego oprogramowania, będziemy używać plików testowych EICAR , które są dostępne do pobrania z witryny internetowej EICAR.
# cd /var/www/html # wget http://www.eicar.org/download/eicar.com # wget http://www.eicar.org/download/eicar.com.txt # wget http://www.eicar.org/download/eicar_com.zip # wget http://www.eicar.org/download/eicarcom2.zip
W tym momencie możesz albo poczekać na uruchomienie następnego zadania crona, albo samodzielnie wykonać maldet . Pójdziemy z drugą opcją:
# maldet --scan-all /var/www/
LMD akceptuje również symbole wieloznaczne, więc jeśli chcesz skanować tylko określony typ pliku (np. Pliki zip), możesz to zrobić:
# maldet --scan-all /var/www/*.zip
Po zakończeniu skanowania możesz sprawdzić wiadomość e-mail wysłaną przez LMD lub wyświetlić raport za pomocą:
# maldet --report 021018-1081.3569
Gdzie 021018-1081.3569 to SCANID (SCANID będzie nieco inny w twoim przypadku).
Ważne : należy pamiętać, że LMD znalazł 5 trafień od czasu dwukrotnego pobrania pliku eicar.com (w wyniku czego powstały eicar.com i eicar.com.1).
Jeśli sprawdzisz folder kwarantanny (właśnie zostawiłem jeden z plików), zobaczymy:
# ls -l
Następnie możesz usunąć wszystkie pliki poddane kwarantannie za pomocą:
# rm -rf /usr/local/maldetect/quarantine/ *
Oby nikt nie skopiowal tej komendy ktora pokazujecie 😉 proponuje usunac spacje 😉
# rm -rf /usr/local/maldetect/quarantine/ *