Kenkėjiška programaarba kenkėjiška programinė įranga - tai bet kuriai programai skirtas tikslas, kuriuo siekiama sutrikdyti įprastą kompiuterinės sistemos veikimą. Nors labiausiai žinomos kenkėjiškų programų formos yra virusai, šnipinėjimo programos ir reklaminės programos, jų ketinama padaryti žala gali būti įvairi-nuo asmeninės informacijos vagystės iki ištrinti asmeninius duomenis ir viską, kas tarp jų, o kitas klasikinis kenkėjiškų programų naudojimas yra sistemos valdymas, siekiant ją panaudoti robotų tinklams paleisti (D) DoS ataka.
Kitaip tariant, jūs negalite sau leisti galvoti: „Man nereikia apsaugoti savo sistemos (-ų) nuo kenkėjiškų programų nes aš nesaugoju jokių neskelbtinų ar svarbių duomenų “, nes tai nėra vieninteliai tikslai kenkėjiška programa.
Dėl šios priežasties šiame straipsnyje paaiškinsime, kaip įdiegti ir konfigūruoti „Linux“ kenkėjiškų programų aptikimas (dar žinomas kaip MalDet arba
LMD trumpai) kartu su ClamAV (Antivirusinis variklis) RHEL 8/7/6 (kur x yra versijos numeris), „CentOS“ 8/7/6 ir Fedora 30-32 (veikia tos pačios instrukcijos Ubuntu ir Debian sistemos).Kenkėjiškų programų skaitytuvas, išleistas pagal GPL v2 licenciją, specialiai sukurtas prieglobos aplinkai. Tačiau greitai suprasite, kad jums bus naudinga MalDet nesvarbu, kokioje aplinkoje dirbate.
LMD nėra prieinama iš internetinių saugyklų, tačiau yra platinama kaip projekto sąsaja iš projekto svetainės. Vartotoją, kuriame yra naujausios versijos šaltinio kodas, visada galite rasti šioje nuorodoje, kur ją galima atsisiųsti naudojant wget komanda:
# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz.
Tada turime išpakuoti tarą ir įvesti katalogą, kuriame buvo išgautas jo turinys. Kadangi dabartinė versija yra 1.6.4, katalogas yra klaidingai aptikti-1.6.4. Ten rasite diegimo scenarijų, įdiegti.sh.
# tar -xvf maldetect -current.tar.gz. # ls -l | grep netinkamai aptikti. # cd maldetect-1.6.4/ # ls.
Jei apžiūrėsime diegimo scenarijų, kuris yra tik 75 eilučių (įskaitant komentarus), pamatysime, kad jis ne tik įdiegia įrankį, bet ir iš anksto patikrina, ar numatytasis diegimo katalogas (/usr/local/maldetect) egzistuoja. Jei ne, scenarijus sukuria diegimo katalogą prieš tęsdamas.
Galiausiai, baigus diegimą, kasdien vykdoma per cron suplanuotas įdėjus cron.dienos scenarijų (žr. paveikslėlį aukščiau) /etc/cron.daily. Šis pagalbinis scenarijus, be kita ko, išvalys senus laikinus duomenis, patikrins, ar nėra naujų LMD leidimų, ir nuskaito numatytieji „Apache“ ir žiniatinklio valdymo skydai (t. y. „CPanel“, „DirectAdmin“) katalogus.
Be to, paleiskite diegimo scenarijų kaip įprasta:
# ./install.sh.
Tvarkoma LMD konfigūracija /usr/local/maldetect/conf.maldet ir visos parinktys yra gerai pakomentuotos, kad konfigūracija taptų gana lengva užduotimi. Jei įstrigsite, taip pat galite kreiptis į /maldetect-1.6.4/README dėl tolesnių nurodymų.
Konfigūracijos faile rasite šiuos skyrius, esančius laužtiniuose skliaustuose:
Kiekviename iš šių skyrių yra keletas kintamųjų, kurie nurodo, kaip LMD elgsis ir kokios funkcijos yra prieinamos.
Svarbu: Prašau Pasižymėk tai quar_clean ir quar_susp to reikalauti quar_hits būti įjungtas (=1).
Apibendrinant, eilutės su šiais kintamaisiais turėtų atrodyti taip /usr/local/maldetect/conf.maldet:
pašto_rašas = 1. [apsaugotas el. paštas]email_subj = "Įspėjimai apie kenkėjiškas programas $ HOSTNAME-$ (data +%Y-%m-%d)" quar_hits = 1. quar_clean = 1. quar_susp = 1. clam_av = 1.
Instaliuoti ClamAV norėdami pasinaudoti clamav_scan nustatymą, atlikite šiuos veiksmus:
Įgalinti EPEL saugyklą.
# yum install epel-release.
Tada atlikite:
# yum update && yum install clamd. # apt update && apt-get install clamav clamav-daemon [Ubuntu/Debian]
Pastaba: Tai tik pagrindinės instrukcijos, kaip įdiegti „ClamAV“, kad būtų galima jį integruoti su LMD. Mes nesigilinsime į „ClamAV“ nustatymus, nes, kaip minėjome anksčiau, LMD parašai vis dar yra grėsmių aptikimo ir valymo pagrindas.
Dabar atėjo laikas išbandyti mūsų naujausius LMD / ClamAV montavimas. Užuot naudojęsi tikra kenkėjiška programa, naudosime EICAR bandymo failai, kuriuos galima atsisiųsti iš EICAR svetainės.
# cd/var/www/html. # wget http://www.eicar.org/download/eicar.com # wget http://www.eicar.org/download/eicar.com.txt # wget http://www.eicar.org/download/eicar_com.zip # wget http://www.eicar.org/download/eicarcom2.zip
Šiuo metu galite arba laukti kito cron darbas paleisti ar vykdyti maldet rankiniu būdu patys. Mes pereisime prie antro varianto:
# maldet --scan-all/var/www/
LMD taip pat priima pakaitos simbolius, taigi, jei norite nuskaityti tik tam tikro tipo failus (pvz., ZIP failus), galite tai padaryti:
# maldet --scan-all /var/www/*.zip.
Kai nuskaitymas bus baigtas, galite patikrinti el. Laišką, kurį atsiuntė LMD, arba peržiūrėti ataskaitą naudodami:
# maldet-ataskaita 021015-1051.3559.
Kur 021015-1051.3559 yra SCANID (SCANID jūsų atveju bus šiek tiek kitoks).
Svarbu: Atkreipkite dėmesį, kad LMD rado 5 įvykius, nes failas eicar.com buvo atsisiųstas du kartus (todėl atsirado eicar.com ir eicar.com.1).
Jei patikrinsite karantino aplanką (aš ką tik palikau vieną failą, o likusius ištryniau), pamatysime šiuos dalykus:
# ls -l.
Tada galite pašalinti visus karantine esančius failus naudodami:
# rm -rf/usr/local/maldetect/karantinas/*
Tuo atveju,
# maldet -švarus SCANID.
Dėl tam tikrų priežasčių neatlieka darbo. Jei norite žingsnis po žingsnio paaiškinti aukščiau aprašytą procesą, galite žiūrėti šią ekrano kopiją:
Nuo maldet reikia integruoti su cron, „root“ crontab (tipas) turite nustatyti šiuos kintamuosius crontab -e kaip šaknis ir paspauskite Įveskite raktas), jei pastebite, kad LMD kasdien neveikia tinkamai:
PATH =/sbin:/bin:/usr/sbin:/usr/bin. MAILTO = šaknis. NAMAI =/ SHELL =/bin/bash.
Tai padės pateikti reikiamą derinimo informaciją.
Šiame straipsnyje mes aptarėme, kaip įdiegti ir konfigūruoti „Linux“ kenkėjiškų programų aptikimas, kartu su ClamAV, galingas sąjungininkas. Naudojant šiuos 2 įrankius kenkėjiškų programų aptikimas turėtų būti gana lengva užduotis.
Tačiau padarykite sau paslaugą ir susipažinkite su SKAITYK MANE failą, kaip paaiškinta anksčiau, ir galėsite būti tikri, kad jūsų sistema yra gerai apskaityta ir gerai valdoma.
Nesivaržykite palikti savo komentarus ar klausimus, jei tokių yra, naudodami žemiau esančią formą.
LMD pagrindinis puslapis