Зловреден софтуер, или злонамерен софтуер, е обозначението, дадено на всяка програма, която има за цел да наруши нормалната работа на изчислителната система. Въпреки че най-известните форми на зловреден софтуер са вируси, шпионски софтуер и рекламен софтуер, вредата, която възнамеряват да причинят, може да варира от кражба на лична информация до изтриване на лични данни и всичко между тях, докато друга класическа употреба на зловреден софтуер е да контролира системата, за да я използва за стартиране на ботнети в (D) DoS атака.
С други думи, не можете да си позволите да мислите: „Не е нужно да защитавам системата (ите) си срещу злонамерен софтуер тъй като не съхранявам чувствителни или важни данни ”, защото това не са единствените цели на зловреден софтуер.
Поради тази причина в тази статия ще обясним как да инсталирате и конфигурирате Откриване на зловреден софтуер на Linux (известен още като MalDet или LMD за кратко) заедно с
ClamAV (Антивирусен двигател) в RHEL 8/7/6 (където x е номерът на версията), CentOS 8/7/6 и Fedora 30-32 (същите инструкции също работят Ubuntu и Debian системи).Скенер за злонамерен софтуер, издаден под лиценза GPL v2, специално проектиран за хостинг среди. Въпреки това бързо ще разберете, че ще се възползвате MalDet без значение в каква среда работите.
LMD не е наличен от онлайн хранилища, но се разпространява като архив от уеб сайта на проекта. Тарбалът, съдържащ изходния код на последната версия, винаги е достъпен на следната връзка, откъдето може да бъде изтеглен команда wget:
# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz.
След това трябва да разопаковаме tarball и да влезем в директорията, където е извлечено съдържанието му. Тъй като текущата версия е 1.6.4, директория е maldetect-1.6.4. Там ще намерим скрипта за инсталиране, install.sh.
# tar -xvf maldetect -current.tar.gz. # ls -l | grep maldetect. # cd maldetect-1.6.4/ # ls.
Ако проверим инсталационния скрипт, който е само 75 дълги редове (включително коментари), ще видим, че той не само инсталира инструмента, но и извършва предварителна проверка, за да види дали инсталационната директория по подразбиране (/usr/local/maldetect) съществува. Ако не, скриптът създава инсталационната директория, преди да продължи.
И накрая, след като инсталацията приключи, ежедневно изпълнение чрез cron се планира чрез поставяне на cron.daily скрипт (вижте изображението по -горе) в /etc/cron.daily. Този помощен скрипт, наред с други неща, ще изчисти стари временни данни, ще провери за нови версии на LMD и ще сканира стандартните Apache и уеб контролни панели (т.е. CPanel, DirectAdmin, за да назовем няколко) данни по подразбиране директории.
Като се има предвид това, стартирайте инсталационния скрипт както обикновено:
# ./install.sh.
Конфигурацията на LMD се обработва чрез /usr/local/maldetect/conf.maldet и всички опции са добре коментирани, за да направят конфигурацията доста лесна задача. В случай, че се забиете, можете също да се обърнете към /maldetect-1.6.4/README за допълнителни инструкции.
В конфигурационния файл ще намерите следните раздели, затворени в квадратни скоби:
Всеки от тези раздели съдържа няколко променливи, които показват как LMD ще се държи и какви функции са налични.
Важно: Моля, имайте предвид, че quar_clean и quar_susp изискват това quar_hits бъде активиран (=1).
Обобщавайки, редовете с тези променливи трябва да изглеждат както следва в /usr/local/maldetect/conf.maldet:
email_alert = 1. [защитен имейл]email_subj = "Сигнали за злонамерен софтуер за $ HOSTNAME-$ (дата +%Y-%m-%d)" quar_hits = 1. quar_clean = 1. quar_susp = 1. clam_av = 1.
Да инсталираш ClamAV за да се възползвате от clamav_scan настройка, изпълнете следните стъпки:
Активирайте хранилището на EPEL.
# yum инсталирайте epel-release.
След това направете:
# yum update && yum install clamd. # apt update && apt-get install clamav clamav-daemon [Ubuntu/Debian]
Забележка: Това са само основните инструкции за инсталиране на ClamAV с цел интегрирането му с LMD. Няма да навлизаме в подробности, що се отнася до настройките на ClamAV, тъй като, както казахме по -рано, подписите на LMD все още са основата за откриване и почистване на заплахи.
Сега е време да тестваме последните си LMD / ClamAV инсталация. Вместо да използваме истински зловреден софтуер, ще използваме Тестови файлове на EICAR, които са достъпни за изтегляне от уебсайта на EICAR.
# cd/var/www/html. # wget http://www.eicar.org/download/eicar.com # wget http://www.eicar.org/download/eicar.com.txt # wget http://www.eicar.org/download/eicar_com.zip # wget http://www.eicar.org/download/eicarcom2.zip
В този момент можете или да изчакате следващия cron работа за изпълнение или изпълнение малдет ръчно сами. Ще преминем към втория вариант:
# maldet --scan-all/var/www/
LMD също приема заместващи знаци, така че ако искате да сканирате само определен тип файл (например zip файлове, например), можете да направите това:
# maldet --scan-all /var/www/*.zip.
Когато сканирането приключи, можете или да проверите имейла, изпратен от LMD, или да видите отчета с:
# maldet-отчет 021015-1051.3559.
Където 021015-1051.3559 е SCANID (SCANID ще бъде малко по -различен във вашия случай).
Важно: Моля, обърнете внимание, че LMD намери 5 попадения, тъй като файлът eicar.com беше изтеглен два пъти (което доведе до eicar.com и eicar.com.1).
Ако проверите папката за карантина (току -що оставих един от файловете и изтрих останалите), ще видим следното:
# ls -l.
След това можете да премахнете всички файлове под карантина с:
# rm -rf/usr/local/maldetect/карантина/*
В случай, че,
# maldet --clean SCANID.
Не върши работата по някаква причина. Можете да се обърнете към следния скрийншот за поетапно обяснение на горния процес:
От малдет трябва да се интегрира с cron, трябва да зададете следните променливи в crontab на root (тип crontab -е като корен и натиснете Въведете ключ), в случай че забележите, че LMD не работи правилно ежедневно:
PATH =/sbin:/bin:/usr/sbin:/usr/bin. MAILTO = корен. ДОМА =/ SHELL =/bin/bash.
Това ще ви помогне да предоставите необходимата информация за отстраняване на грешки.
В тази статия обсъдихме как да инсталирате и конфигурирате Откриване на зловреден софтуер на Linux, заедно с ClamAV, мощен съюзник. С помощта на тези 2 инструмента откриването на зловреден софтуер трябва да бъде доста лесна задача.
Направи си обаче услуга и се запознай с ПРОЧЕТИ МЕ файл, както е обяснено по -рано, и ще бъдете сигурни, че вашата система се отчита добре и се управлява добре.
Не се колебайте да оставите вашите коментари или въпроси, ако има такива, като използвате формата по -долу.
Начална страница на LMD