Злонамерних програма, или злонамерни софтвер, ознака је која се даје сваком програму чији је циљ нарушавање нормалног рада рачунарског система. Иако су најпознатији облици злонамерног софтвера вируси, шпијунски софтвер и огласни софтвер, штета коју намеравају да нанесу може се кретати од крађе приватних података до брисање личних података и свега између, док је друга класична употреба злонамерног софтвера контрола система како би се користила за покретање ботнетова у (Д) ДоС -у напад.
Другим речима, не можете себи приуштити да мислите: „Не морам да штитим своје системе од злонамерног софтвера пошто не чувам никакве осетљиве или важне податке ”, јер то нису једине мете злонамерних програма.
Из тог разлога ћемо у овом чланку објаснити како инсталирати и конфигурирати Откривање Линук злонамерног софтвера (ака МалДет или ЛМД на кратко) заједно са ЦламАВ (Антивирус Енгине) у РХЕЛ 8/7/6 (где је к број верзије), ЦентОС 8/7/6 и Федора 30-32 (иста упутства такође функционишу Убунту и Дебиан система).
Скенер злонамерног софтвера објављен под лиценцом ГПЛ в2, посебно дизајниран за хостинг окружења. Међутим, брзо ћете схватити да ћете имати користи МалДет без обзира у каквом окружењу радите.
ЛМД није доступан из мрежних складишта, али се дистрибуира као архива са веб локације пројекта. Тарбалл који садржи изворни код најновије верзије увек је доступан на следећој вези, са које се може преузети вгет команда:
# вгет http://www.rfxn.com/downloads/maldetect-current.tar.gz.
Затим морамо распакирати тарбалл и ући у директориј у који је издвојен његов садржај. Пошто је тренутна верзија 1.6.4, директоријум је малдетецт-1.6.4. Тамо ћемо пронаћи инсталацијску скрипту, инсталл.сх.
# тар -квф малдетецт -цуррент.тар.гз. # лс -л | греп малдетецт. # цд малдетецт-1.6.4/ # лс.
Ако прегледамо инсталацијску скрипту, која је само 75 редове дугачке (укључујући коментаре), видећемо да не само да инсталира алат, већ и врши претходну проверу да види да ли је подразумевани инсталациони директоријум (/usr/local/maldetect) постоји. Ако није, скрипта креира инсталацијски директориј прије него што наставите.
Коначно, након довршетка инсталације, свакодневно извршавање путем црон заказује се постављањем црон.даили скрипта (погледајте горњу слику) у /etc/cron.daily. Ова помоћна скрипта ће, између осталог, обрисати старе привремене податке, проверити да ли постоје нова издања ЛМД -а и скенирати подразумевани Апацхе и веб контролни панели (тј. ЦПанел, ДирецтАдмин, да наведемо само неке) подразумевани подаци именике.
С обзиром на то, покрените инсталацијску скрипту као и обично:
# ./инсталл.сх.
Обрађује се конфигурација ЛМД -а /usr/local/maldetect/conf.maldet и све опције су добро коментарисане како би конфигурација била прилично лак задатак. У случају да заглавите, такође се можете обратити на /maldetect-1.6.4/README за даља упутства.
У конфигурацијској датотеци ћете пронаћи следеће одељке затворене у угластим заградама:
Сваки од ових одељака садржи неколико променљивих које указују на то како ЛМД ће се понашати и које су функције доступне.
Важно: Имајте на уму да куар_цлеан и куар_сусп захтевају то куар_хитс бити омогућен (=1).
Сумирајући, линије са овим променљивим треба да изгледају на следећи начин /usr/local/maldetect/conf.maldet:
емаил_алерт = 1. [заштићена е -пошта]емаил_субј = "Упозорења о злонамерном софтверу за $ ХОСТНАМЕ-$ (датум +%И-%м-%д)" куар_хитс = 1. куар_цлеан = 1. куар_сусп = 1. цлам_ав = 1.
За инсталацију ЦламАВ како би искористили предности цламав_сцан подешавања, следите ове кораке:
Омогући спремиште ЕПЕЛ -а.
# иум инсталл епел-релеасе.
Онда:
# иум упдате && иум инсталл цламд. # апт упдате && апт-гет инсталл цламав цламав-даемон [Убунту/Дебиан]
Белешка: Да су ово само основна упутства за инсталирање ЦламАВ -а ради његове интеграције са ЛМД -ом. Нећемо улазити у детаље што се тиче поставки ЦламАВ -а јер, као што смо раније рекли, ЛМД потписи су и даље основа за откривање и чишћење претњи.
Сада је време да тестирамо наше најновије ЛМД / ЦламАВ инсталација. Уместо правог злонамерног софтвера, користићемо ЕИЦАР тест датотеке, који су доступни за преузимање са веб странице ЕИЦАР -а.
# цд/вар/ввв/хтмл. # вгет http://www.eicar.org/download/eicar.com # вгет http://www.eicar.org/download/eicar.com.txt # вгет http://www.eicar.org/download/eicar_com.zip # вгет http://www.eicar.org/download/eicarcom2.zip
У овом тренутку можете или сачекати следећи црон посао који треба покренути или извршити малдет сами ручно. Идемо на другу опцију:
# малдет --сцан-алл/вар/ввв/
ЛМД такође прихвата џокер знакове, па ако желите да скенирате само одређену врсту датотеке (нпр. зип датотеке, на пример), можете то учинити:
# малдет --сцан-алл /вар/ввв/*.зип.
Када се скенирање заврши, можете проверити е -пошту коју је послао ЛМД или погледати извештај са:
# малдет --репорт 021015-1051.3559.
Где 021015-1051.3559 је СЦАНИД (СЦАНИД ће се у вашем случају мало разликовати).
Важно: Имајте на уму да је ЛМД пронашао 5 погодака пошто је датотека еицар.цом два пута преузета (што је резултирало еицар.цом и еицар.цом.1).
Ако проверите мапу карантина (само сам оставио једну датотеку, а остатак избрисао), видећемо следеће:
# лс -л.
Затим можете уклонити све датотеке у карантину помоћу:
# рм -рф/уср/лоцал/малдетецт/куарантине/*
У случају да,
# малдет --цлеан СЦАНИД.
Не обавља посао из неког разлога. За детаљно објашњење горенаведеног процеса, можете се обратити на следећи снимак екрана:
Од малдет треба интегрисати са црон, морате поставити следеће променљиве у роот -ову цронтаб (типе цронтаб -е као роот и погодио Ентер кључ) у случају да приметите да ЛМД не ради правилно свакодневно:
ПАТХ =/сбин:/бин:/уср/сбин:/уср/бин. МАИЛТО = корен. ХОМЕ =/ СХЕЛЛ =/бин/басх.
Ово ће помоћи у пружању потребних информација о отклањању грешака.
У овом чланку смо разговарали о томе како инсталирати и конфигурирати Откривање Линук злонамерног софтвера, упоредо са ЦламАВ, моћног савезника. Уз помоћ ова 2 алата, откривање злонамерног софтвера требало би да буде прилично лак задатак.
Ипак, учините себи услугу и упознајте се са РЕАДМЕ датотеку како је раније објашњено и бићете сигурни да је ваш систем добро обрачунат и да се њиме добро управља.
Не устручавајте се оставити своје коментаре или питања, ако их има, користећи доњи образац.
ЛМД почетна страница