멀웨어, 또는 악성 소프트웨어는 컴퓨팅 시스템의 정상적인 작동을 방해하는 것을 목표로 하는 모든 프로그램에 지정된 명칭입니다. 맬웨어의 가장 잘 알려진 형태는 바이러스, 스파이웨어 및 애드웨어이지만 이들이 야기하려는 피해는 개인 정보 도용에서 개인 데이터와 그 사이의 모든 것을 삭제하는 반면, 멀웨어의 또 다른 고전적인 사용은 시스템을 제어하여 (D)DoS에서 봇넷을 실행하는 것입니다. 공격.
다시 말해, "내 시스템을 맬웨어로부터 보호할 필요가 없습니다. 민감하거나 중요한 데이터를 저장하지 않기 때문에" 멀웨어.
따라서 이 기사에서는 설치 및 구성 방법을 설명합니다. Linux 맬웨어 감지 (일명 말뎃 또는 LMD 줄여서)와 함께 ClamAV (바이러스 백신 엔진) RHEL 8/7/6 (여기서 x는 버전 번호), 센트OS 8/7/6 그리고 페도라 30-32 (동일한 지침이 작동합니다. 우분투 그리고 데비안 시스템).
호스팅 환경을 위해 특별히 설계된 GPL v2 라이선스에 따라 출시된 맬웨어 스캐너입니다. 그러나 다음과 같은 이점이 있음을 곧 깨닫게 될 것입니다. 말뎃 어떤 환경에서 작업하든 상관 없습니다.
LMD 온라인 리포지토리에서는 사용할 수 없지만 프로젝트 웹 사이트에서 tarball로 배포됩니다. 최신 버전의 소스 코드가 포함된 tarball은 다음 링크에서 항상 사용할 수 있으며 다음 링크에서 다운로드할 수 있습니다. wget 명령:
# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz.
그런 다음 tarball의 압축을 풀고 내용이 추출된 디렉토리를 입력해야 합니다. 현재 버전이 있기 때문에 1.6.4, 디렉토리는 maldetect-1.6.4. 거기에서 설치 스크립트를 찾을 수 있습니다. 설치.sh.
# tar -xvf maldetect-current.tar.gz. # ls -l | grep maldetect. # cd maldetect-1.6.4/ # ls.
설치 스크립트를 검사하면 75 행(주석 포함)이 길면 도구를 설치할 뿐만 아니라 기본 설치 디렉토리(/usr/local/maldetect)이 존재합니다. 그렇지 않은 경우 스크립트는 계속하기 전에 설치 디렉토리를 만듭니다.
마지막으로 설치가 완료된 후 다음을 통해 매일 실행합니다. 크론 를 배치하여 일정이 잡힙니다. cron.daily 스크립트(위 이미지 참조) /etc/cron.daily. 이 도우미 스크립트는 무엇보다도 오래된 임시 데이터를 지우고 새 LMD 릴리스를 확인하고 기본 Apache 및 웹 제어판(예: CPanel, DirectAdmin 등) 기본 데이터 디렉토리.
즉, 평소와 같이 설치 스크립트를 실행하십시오.
# ./install.sh.
LMD의 구성은 다음을 통해 처리됩니다. /usr/local/maldetect/conf.maldet 구성을 다소 쉽게 할 수 있도록 모든 옵션이 잘 설명되어 있습니다. 막힌 경우 다음을 참조할 수도 있습니다. /maldetect-1.6.4/README 추가 지침.
구성 파일에서 대괄호로 묶인 다음 섹션을 찾을 수 있습니다.
각 섹션에는 방법을 나타내는 여러 변수가 포함되어 있습니다. LMD 작동하고 어떤 기능을 사용할 수 있습니다.
중요한: 점에 유의하시기 바랍니다 quar_clean 그리고 quar_susp ~을 요구한다 quar_hit 활성화되다 (=1).
요약하면, 이러한 변수가 있는 행은 다음과 같아야 합니다. /usr/local/maldetect/conf.maldet:
email_alert=1. [이메일 보호됨]email_subj="$HOSTNAME에 대한 맬웨어 경고 - $(날짜 +%Y-%m-%d)" quar_hit=1. quar_clean=1. quar_susp=1. clam_av=1.
설치하기 위해서 ClamAV 을 이용하기 위해 clamav_scan 설정하려면 다음 단계를 따르세요.
EPEL 저장소를 활성화합니다.
# yum은 epel-release를 설치합니다.
그런 다음 다음을 수행합니다.
# yum update && yum install clamd. # apt update && apt-get install clamav clamav-daemon [Ubuntu/Debian]
메모: LMD와 통합하기 위해 ClamAV를 설치하기 위한 기본 지침일 뿐입니다. 앞서 말했듯이 LMD 서명은 여전히 위협을 탐지하고 치료하는 기반이기 때문에 ClamAV 설정에 대해서는 자세히 설명하지 않겠습니다.
이제 우리의 최근 LMD / ClamAV 설치. 실제 맬웨어를 사용하는 대신 EICAR 테스트 파일EICAR 웹 사이트에서 다운로드할 수 있습니다.
# cd /var/www/html. # wget http://www.eicar.org/download/eicar.com # wget http://www.eicar.org/download/eicar.com.txt # wget http://www.eicar.org/download/eicar_com.zip # wget http://www.eicar.org/download/eicarcom2.zip
이 시점에서 다음을 기다릴 수 있습니다. 크론 실행하거나 실행할 작업 말데트 수동으로 자신을. 두 번째 옵션을 사용하겠습니다.
# maldet --scan-all /var/www/
LMD 와일드카드도 허용하므로 특정 유형의 파일(예: zip 파일)만 검사하려면 다음을 수행할 수 있습니다.
# maldet --scan-all /var/www/*.zip.
스캔이 완료되면 LMD에서 보낸 이메일을 확인하거나 다음을 사용하여 보고서를 볼 수 있습니다.
# 말데트 --보고서 021015-1051.3559.
어디에 021015-1051.3559 이다 스캔 (SCANID는 귀하의 경우에 약간 다를 것입니다).
중요한: eicar.com 파일이 두 번 다운로드된 이후(따라서 eicar.com 및 eicar.com.1이 생성됨) LMD에서 5개의 조회수를 찾았습니다.
격리 폴더를 확인하면(파일 중 하나만 남겨두고 나머지는 삭제함) 다음을 볼 수 있습니다.
# ls -l.
그런 다음 다음을 사용하여 격리된 모든 파일을 제거할 수 있습니다.
# rm -rf /usr/local/maldetect/quarantine/*
그런 경우에,
# maldet --clean SCANID.
어떤 이유로 작업을 완료하지 않습니다. 위의 프로세스에 대한 단계별 설명은 다음 스크린캐스트를 참조하십시오.
부터 말데트 와 통합해야 합니다. 크론, 루트의 crontab에서 다음 변수를 설정해야 합니다(유형 crontab -e 루트로 명중 입력하다 키) LMD가 매일 올바르게 실행되지 않는 경우:
경로=/sbin:/bin:/usr/sbin:/usr/bin. MAILTO=루트. 홈=/ 쉘=/bin/bash.
이렇게 하면 필요한 디버깅 정보를 제공하는 데 도움이 됩니다.
이 기사에서는 설치 및 구성 방법에 대해 논의했습니다. Linux 맬웨어 감지, 와 함께 ClamAV, 강력한 동맹. 이 2가지 도구의 도움으로 맬웨어를 탐지하는 것은 다소 쉬운 작업이 될 것입니다.
그러나 자신에게 호의를 베풀고 읽어보기 앞에서 설명한 대로 파일을 작성하면 시스템이 잘 설명되고 잘 관리되고 있음을 확신할 수 있습니다.
주저하지 말고 아래 양식을 사용하여 의견이나 질문을 남겨주세요.
엘엠디 홈페이지