Вредоносное ПО, или вредоносное программное обеспечение, - это обозначение, данное любой программе, которая направлена на нарушение нормальной работы вычислительной системы. Хотя наиболее известными формами вредоносных программ являются вирусы, шпионское и рекламное ПО, вред, который они намереваются причинить, может варьироваться от кражи частной информации до удаление личных данных и всего, что между ними, в то время как еще одно классическое использование вредоносных программ - это управление системой, чтобы использовать ее для запуска ботнетов в (D) DoS атака.
Другими словами, вы не можете позволить себе думать: «Мне не нужно защищать свои системы от вредоносных программ. поскольку я не храню какие-либо конфиденциальные или важные данные », потому что это не единственные цели вредоносное ПО.
По этой причине в этой статье мы объясним, как установить и настроить Обнаружение вредоносных программ Linux (он же МальДет или
LMD для краткости) вместе с ClamAV (Антивирусное ядро) в RHEL 8/7/6 (где x - номер версии), CentOS 8/7/6 и Fedora 30-32 (те же инструкции также работают на Ubuntu и Debian системы).Сканер вредоносных программ, выпущенный под лицензией GPL v2, специально разработанный для хостинговых сред. Однако вы быстро поймете, что выиграете от МальДет независимо от того, в какой среде вы работаете.
LMD недоступен в онлайн-репозиториях, но распространяется в виде архива с веб-сайта проекта. Архив, содержащий исходный код последней версии, всегда доступен по следующей ссылке, откуда его можно скачать с помощью команда wget:
# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz.
Затем нам нужно распаковать архив и войти в каталог, в который было извлечено его содержимое. Поскольку текущая версия 1.6.4, каталог maldetect-1.6.4. Там найдем скрипт установки, install.sh.
# tar -xvf maldetect-current.tar.gz. # ls -l | grep maldetect. # cd maldetect-1.6.4 / # ls.
Если мы проверим сценарий установки, который только 75 строк (включая комментарии), мы увидим, что он не только устанавливает инструмент, но также выполняет предварительную проверку, чтобы увидеть, является ли каталог установки по умолчанию (/usr/local/maldetect) существует. В противном случае сценарий создает каталог установки перед продолжением.
Наконец, после завершения установки ежедневное выполнение через cron планируется путем размещения cron.daily скрипт (см. изображение выше) в /etc/cron.daily. Этот вспомогательный сценарий, среди прочего, очистит старые временные данные, проверит наличие новых выпусков LMD и просканирует данные по умолчанию для Apache и веб-панелей управления (например, CPanel, DirectAdmin) по умолчанию каталоги.
При этом запустите сценарий установки как обычно:
# ./install.sh.
Конфигурация LMD осуществляется через /usr/local/maldetect/conf.maldet и все параметры хорошо прокомментированы, чтобы сделать настройку довольно простой задачей. Если вы застряли, вы также можете обратиться к /maldetect-1.6.4/README для дальнейших инструкций.
В файле конфигурации вы найдете следующие разделы, заключенные в квадратные скобки:
Каждый из этих разделов содержит несколько переменных, указывающих, как LMD будет себя вести и какие функции доступны.
Важный: Обратите внимание, что qu_clean и qu_susp требовать, чтобы qu_hits быть включенным (=1).
Подводя итог, строки с этими переменными должны выглядеть на /usr/local/maldetect/conf.maldet:
email_alert = 1. [электронная почта защищена]email_subj = "Оповещения о вредоносном ПО для $ HOSTNAME - $ (date +% Y-% m-% d)" qu_hits = 1. qu_clean = 1. qu_susp = 1. clam_av = 1.
Установить ClamAV чтобы воспользоваться clamav_scan настройки выполните следующие действия:
Включите репозиторий EPEL.
# yum install epel-release.
Затем сделайте:
# yum update && yum install clamd. # apt update && apt-get install clamav clamav-daemon [Ubuntu / Debian]
Примечание: Это только основные инструкции по установке ClamAV, чтобы интегрировать его с LMD. Мы не будем вдаваться в подробности относительно настроек ClamAV, поскольку, как мы уже говорили ранее, сигнатуры LMD по-прежнему являются основой для обнаружения и устранения угроз.
Пришло время проверить наши недавние LMD / ClamAV монтаж. Вместо использования настоящего вредоносного ПО мы будем использовать Тестовые файлы EICAR, которые доступны для загрузки с веб-сайта EICAR.
# cd / var / www / html. # wget http://www.eicar.org/download/eicar.com # wget http://www.eicar.org/download/eicar.com.txt # wget http://www.eicar.org/download/eicar_com.zip # wget http://www.eicar.org/download/eicarcom2.zip
На этом этапе вы можете дождаться следующего cron задание для запуска или выполнения мальдет вручную самостоятельно. Мы выберем второй вариант:
# maldet --scan-all / var / www /
LMD также принимает подстановочные знаки, поэтому, если вы хотите сканировать только определенный тип файла (например, zip-файлы), вы можете сделать это:
# maldet --scan-all /var/www/*.zip.
Когда сканирование будет завершено, вы можете проверить электронную почту, отправленную LMD, или просмотреть отчет с помощью:
# maldet --report 021015-1051.3559.
Где 021015-1051.3559 это СКАНИД (В вашем случае SCANID будет немного другим).
Важный: Обратите внимание, что LMD обнаружила 5 совпадений, так как файл eicar.com был загружен дважды (в результате были получены eicar.com и eicar.com.1).
Если вы проверите папку карантина (я просто оставил один из файлов, а остальные удалил), мы увидим следующее:
# ls -l.
Затем вы можете удалить все файлы в карантине с помощью:
# rm -rf / usr / local / maldetect / quarantine / *
В случае, если
# maldet --clean SCANID.
По какой-то причине не выполняет свою работу. Вы можете обратиться к следующему скринкасту для пошагового объяснения вышеуказанного процесса:
С мальдет необходимо интегрировать с cron, вам необходимо установить следующие переменные в корневом каталоге crontab (введите crontab -e как корень и нажмите Войти key), если вы заметили, что LMD не работает правильно каждый день:
ПУТЬ = / sbin: / bin: / usr / sbin: / usr / bin. MAILTO = корень. ГЛАВНАЯ = / ОБОЛОЧКА = / bin / bash.
Это поможет предоставить необходимую отладочную информацию.
В этой статье мы обсудили, как установить и настроить Обнаружение вредоносных программ Linux, вместе с ClamAV, мощный союзник. С помощью этих двух инструментов обнаружение вредоносных программ должно быть довольно простой задачей.
Однако сделайте себе одолжение и ознакомьтесь с ПРОЧТИ МЕНЯ файл, как объяснялось ранее, и вы можете быть уверены, что ваша система хорошо отслеживается и управляется.
Не стесняйтесь оставлять свои комментарии или вопросы, если таковые имеются, используя форму ниже.
Домашняя страница LMD