Kako instalirati i koristiti Linux Malware Detect (LMD) s ClamAV-om kao antivirusnim motorom

Zlonamjerni softver ili zlonamjerni softver je oznaka koja se daje svakom programu koji ima za cilj ometanje normalnog rada računalnog sustava. Iako su najpoznatiji oblici zlonamjernog softvera virusi, špijunski softver i reklamni softver, šteta koju oni namjeravaju prouzročiti može varirati od krađe osobnih podataka do brisanja osobnih podataka i svega između, dok je još jedna klasična upotreba zlonamjernog softvera za kontrolu sustav kako bi ga upotrijebili za pokretanje botneta u (D)DoS napadu.

Drugim riječima, ne možete si dopustiti razmišljanje: "Ne trebam zaštititi svoje sustave od zlonamjernog softvera jer ne pohranjujem nikakve osjetljive ili važne podatke", jer to nisu jedine mete zlonamjernog softvera.

Iz tog razloga, u ovom ćemo članku objasniti kako instalirati i konfigurirati Linux Malware Detect (aka MalDet ili skraćeno LMD) zajedno s ClamAV (Antivirus Engine) u RHEL 8/7/6 (gdje je x broj verzije), CentOS 8/7/6 i Fedora 30-32 (iste upute rade i na Ubuntu ) i Debian sustavi).

Skener zlonamjernog softvera objavljen pod licencom GPL v2, posebno dizajniran za okruženja hostinga. Međutim, brzo ćete shvatiti da ćete imati koristi od MalDeta bez obzira na vrstu okruženja u kojem radite.

Instalacija LMD-a na RHEL/CentOS i Fedora

LMD nije dostupan u mrežnim spremištima, ali se distribuira kao tarball s web stranice projekta. Tarball koji sadrži izvorni kod najnovije verzije uvijek je dostupan na sljedećoj poveznici, gdje se može preuzeti naredbom wget:

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Zatim moramo raspakirati tarball i ući u direktorij u koji je izdvojen njegov sadržaj. Budući da je trenutna verzija 1.6.4, imenik je maldetect-1.6.4. Tamo ćemo pronaći instalacijsku skriptu, install.sh.

tar -xvf maldetect-current.tar.gz
ls -l | grep maldetect
cd maldetect-1.6.4/
ls

Ako pregledamo instalacijsku skriptu, koja je dugačka samo 75 redaka (uključujući komentare), vidjet ćemo da ne samo da instalira alat, već također izvodi prethodnu provjeru da vidi je li zadani instalacijski direktorij ( /usr/local/maldetect) postoji. Ako nije, skripta stvara instalacijski direktorij prije nastavka.

Konačno, nakon što je instalacija završena, dnevno izvršavanje putem cron je zakazano postavljanjem skripte cron.daily (pogledajte gornju sliku) u /etc/ cron.dnevno. Ova pomoćna skripta će, između ostalog, obrisati stare privremene podatke, provjeriti postoje li nova LMD izdanja i skenirati zadane Apache i web upravljačke ploče (tj. CPanel, DirectAdmin, da spomenemo samo neke) zadane direktorije podataka.

Uz to, pokrenite instalacijsku skriptu kao i obično:

./install.sh

Konfiguriranje Linux Detect zlonamjernog softvera

Konfiguracijom LMD-a upravlja se kroz /usr/local/maldetect/conf.maldet i sve opcije su dobro komentirane kako bi konfiguracija bila prilično lak zadatak. U slučaju da zapnete, također možete pogledati /maldetect-1.6.4/README za daljnje upute.

U konfiguracijskoj datoteci pronaći ćete sljedeće odjeljke unutar uglatih zagrada:

  1. UPOZORENJA E-POŠTOM
  2. OPCIJE KARANTENE
  3. OPCIJE SKENIRANJA
  4. STATISTIČKA ANALIZA
  5. OPCIJE NADZORA

Svaki od ovih odjeljaka sadrži nekoliko varijabli koje pokazuju kako će se LMD ponašati i koje su značajke dostupne.

  1. Postavite email_alert=1 ako želite primati obavijesti e-poštom o rezultatima provjere zlonamjernog softvera. Radi sažetosti, samo ćemo proslijediti poštu lokalnim korisnicima sustava, ali možete istražiti i druge opcije kao što je slanje upozorenja putem e-pošte i van.
  2. Postavite email_subj=”Vaš predmet ovdje” i email_addr=username@localhost ako ste prethodno postavili email_alert=1.
  3. Uz quar_hits, zadanu radnju u karanteni za pogotke zlonamjernog softvera (0=samo upozorenje, 1=prelazak u karantenu i upozorenje), reći ćete LMD-u što treba učiniti kada se otkrije zlonamjerni softver.
  4. quar_clean će vam omogućiti da odlučite želite li očistiti ubacivanje zlonamjernog softvera na temelju niza. Imajte na umu da je potpis niza, po definiciji, "neprekidni niz bajtova koji potencijalno može odgovarati mnogim varijantama obitelji zlonamjernog softvera".
  5. quar_susp, zadana radnja obustave za korisnike s pogocima, omogućit će vam da onemogućite račun čije su datoteke u vlasništvu identificirane kao pogoci.
  6. clamav_scan=1 reći će LMD-u da pokuša detektirati prisutnost binarnog ClamAV-a i koristiti ga kao zadani mehanizam za skeniranje. To daje do četiri puta bržu izvedbu skeniranja i vrhunsku heksadecimalnu analizu. Ova opcija koristi samo ClamAV kao motor skenera, a LMD potpisi i dalje su osnova za otkrivanje prijetnji.

Ukratko, linije s ovim varijablama trebale bi izgledati ovako u /usr/local/maldetect/conf.maldet:

email_alert=1
email_addr=gacanepa@localhost
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quar_hits=1
quar_clean=1
quar_susp=1
clam_av=1

Instaliranje ClamAV-a na RHEL/CentOS i Fedora

Da biste instalirali ClamAV kako biste iskoristili prednosti postavke clamav_scan, slijedite ove korake:

Omogući EPEL spremište.

yum install epel-release

Zatim učinite:


yum update && yum install clamd
apt update && apt-get install clamav clamav-daemon  [Ubuntu/Debian]

Napomena: Ovo su samo osnovne upute za instalaciju ClamAV-a kako biste ga integrirali s LMD-om. Nećemo ulaziti u detalje što se tiče ClamAV postavki jer kao što smo ranije rekli, LMD potpisi su još uvijek osnova za otkrivanje i čišćenje prijetnji.

Testiranje otkrivanja zlonamjernog softvera za Linux

Sada je vrijeme da testiramo našu nedavnu instalaciju LMD/ClamAV. Umjesto korištenja pravog zlonamjernog softvera, koristit ćemo testne datoteke EICAR-a koje su dostupne za preuzimanje s web stranice EICAR-a.

cd /var/www/html
wget http://www.eicar.org/download/eicar.com 
wget http://www.eicar.org/download/eicar.com.txt 
wget http://www.eicar.org/download/eicar_com.zip 
wget http://www.eicar.org/download/eicarcom2.zip

U ovom trenutku možete pričekati da se pokrene sljedeći cron posao ili sami ručno izvršiti maldet. Ići ćemo s drugom opcijom:

maldet --scan-all /var/www/

LMD također prihvaća zamjenske znakove, pa ako želite skenirati samo određenu vrstu datoteke (tj. zip datoteke, na primjer), to možete učiniti:

maldet --scan-all /var/www/*.zip

Kada skeniranje završi, možete provjeriti e-poštu koju je poslao LMD ili pogledati izvješće pomoću:

maldet --report 021015-1051.3559

Gdje je 021015-1051.3559 SCANID (SCANID će biti malo drugačiji u vašem slučaju).

Važno: Imajte na umu da je LMD pronašao 5 pogodaka budući da je datoteka eicar.com preuzeta dva puta (što rezultira eicar.com i eicar.com.1).

Ako provjerite mapu karantene (upravo sam ostavio jednu od datoteka i izbrisao ostale), vidjet ćemo sljedeće:

ls -l

Zatim možete ukloniti sve datoteke u karanteni pomoću:

rm -rf /usr/local/maldetect/quarantine/*

U slučaju da,

maldet --clean SCANID

Ne obavlja posao iz nekog razloga. Možete pogledati sljedeći screencast za objašnjenje gore navedenog postupka korak po korak:

Završna razmatranja

Budući da maldet treba integrirati s cronom, trebate postaviti sljedeće varijable u rootov crontab (upišite crontab -e kao root i pritisnite Tipka Enter) u slučaju da primijetite da LMD ne radi ispravno na dnevnoj bazi:

PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
SHELL=/bin/bash

To će pomoći u pružanju potrebnih informacija za uklanjanje pogrešaka.

Zaključak

U ovom smo članku raspravljali o tome kako instalirati i konfigurirati Linux Malware Detect, zajedno s ClamAV, moćnim saveznikom. Uz pomoć ova 2 alata, otkrivanje zlonamjernog softvera trebalo bi biti prilično lak zadatak.

Međutim, učinite si uslugu i upoznajte se s datotekom README kao što je ranije objašnjeno, i moći ćete biti sigurni da se vaš sustav dobro vodi računa i da se njime dobro upravlja.

Ne ustručavajte se ostaviti svoje komentare ili pitanja, ako ih ima, koristeći donji obrazac.

Referentne veze

Početna stranica LMD-a