Giunsa ang Pag-install ug Paggamit sa Linux Malware Detect (LMD) nga adunay ClamAV ingon Antivirus Engine


Malware, o malisyoso nga software, mao ang ngalan nga gihatag sa bisan unsang programa nga nagtumong sa pagsamok sa normal nga operasyon sa usa ka sistema sa kompyuter. Bisan kung ang labing inila nga mga porma sa malware mao ang mga virus, spyware, ug adware, ang kadaot nga ilang gitinguha nga ipahinabo mahimong gikan sa pagpangawat sa pribado nga kasayuran hangtod sa pagtangtang sa personal nga datos, ug tanan nga naa sa taliwala, samtang ang usa ka klasiko nga paggamit sa malware mao ang pagpugong sa sistema aron magamit kini sa paglansad sa mga botnet sa usa ka (D) DoS nga pag-atake.

Sa laing pagkasulti, dili nimo makaya ang paghunahuna, \Dili nako kinahanglan nga i-secure ang akong (mga) sistema batok sa malware tungod kay wala ako nagtipig bisan unsang sensitibo o hinungdanon nga datos, tungod kay dili ra kana ang mga target sa malware. .

Tungod niana nga hinungdan, niining artikuloha, among ipasabut kung giunsa ang pag-install ug pag-configure sa Linux Malware Detect (aka MalDet o LMD sa mubo) kauban ang ClamAV (Antivirus Engine) sa RHEL 8/7/6 (diin x ang numero sa bersyon), CentOS 8/7/6 ug Fedora 30-32 (parehas nga mga instruksyon magamit usab sa mga sistema sa Ubuntu ug Debian) .

Usa ka scanner sa malware nga gipagawas sa ilawom sa lisensya sa GPL v2, labi nga gidisenyo alang sa pag-host sa mga palibot. Bisan pa, makaamgo ka dayon nga makabenepisyo ka sa MalDet bisan unsa nga klase sa palibot ang imong gitrabaho.

Pag-instalar sa LMD sa RHEL/CentOS ug Fedora

Ang LMD dili makuha gikan sa mga online nga repositoryo apan giapod-apod isip tarball gikan sa web site sa proyekto. Ang tarball nga naglangkob sa source code sa pinakabag-o nga bersyon kanunay anaa sa mosunod nga link, diin kini ma-download gamit ang wget command:

# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Dayon kinahanglan natong i-unpack ang tarball ug isulod ang direktoryo diin ang mga sulod niini gikuha. Tungod kay ang kasamtangang bersyon kay 1.6.4, ang direktoryo kay maldetect-1.6.4. Didto atong makit-an ang script sa pag-install, install.sh.

# tar -xvf maldetect-current.tar.gz
# ls -l | grep maldetect
# cd maldetect-1.6.4/
# ls

Kon atong susihon ang script sa pag-install, nga 75 lang ang gitas-on sa mga linya (lakip ang mga komento), atong makita nga dili lang kini mag-install sa himan apan maghimo usab og pre-check aron makita kung ang default nga direktoryo sa pag-install ( /usr/local/maldetect) anaa. Kung dili, ang script maghimo sa direktoryo sa pag-install sa dili pa magpadayon.

Sa kataposan, human makompleto ang pag-instalar, ang adlaw-adlaw nga pagpatuman pinaagi sa cron gieskedyul pinaagi sa pagbutang sa cron.daily nga script (tan-awa ang hulagway sa ibabaw) sa /etc/ cron.adlaw-adlaw. Kini nga script sa katabang, lakip sa ubang mga butang, mag-clear sa daan nga temporaryo nga datos, susihon ang mga bag-ong gipagawas nga LMD, ug i-scan ang default nga Apache ug mga panel sa pagkontrol sa web (ie, CPanel, DirectAdmin, aron hinganlan ang pipila) mga default nga direktoryo sa datos.

Ingon niana, pagdagan ang script sa pag-install sama sa naandan:

# ./install.sh

Pag-configure sa Linux Malware Detect

Ang configuration sa LMD gidumala pinaagi sa /usr/local/maldetect/conf.maldetug ang tanang mga opsyon maayo nga gikomentaryo aron paghimo sa configuration nga usa ka sayon nga buluhaton. Kung ma-stuck ka, mahimo ka usab mag-refer sa /maldetect-1.6.4/README para sa dugang nga mga instruksyon.

Sa configuration file imong makita ang mosunod nga mga seksyon, nga gilakip sulod sa square bracket:

  1. EMAIL ALERTS
  2. MGA OPSYON SA KWARANTINA
  3. Scan OPTIONS
  4. STATISTICAL ANALYSIS
  5. MGA OPSYON SA PAG-monitor

Ang matag usa niini nga mga seksyon adunay daghang mga variable nga nagpakita kung giunsa ang LMD molihok ug kung unsang mga bahin ang magamit.

  1. Itakda ang email_alert=1 kung gusto nimo makadawat sa email nga mga pahibalo sa mga resulta sa pagsusi sa malware. Alang sa kamubo, mag-relay lang kami ug mail sa lokal nga mga tiggamit sa sistema, apan mahimo nimong susihon ang ubang mga kapilian sama sa pagpadala ug mga alerto sa mail sa gawas usab.
  2. Itakda ang email_subj=”Imong subject dinhi” ug [email  kon imo nang gitakda ang email_alert=1.
  3. Uban sa quar_hits, ang default nga aksyon sa quarantine para sa malware naigo (0 = alerto lang, 1 = mobalhin sa quarantine & alert) imong isulti sa LMD kung unsay buhaton kung ma-detect ang malware.
  4. Ang
  5. quar_clean magtugot kanimo sa pagdesisyon kung gusto nimo limpiyohan ang mga inject sa malware nga nakabase sa string. Hinumdumi nga ang usa ka string signature, pinaagi sa kahulugan, \usa ka magkadugtong nga byte sequence nga posibleng motakdo sa daghang mga variant sa usa ka malware nga pamilya.
  6. Ang
  7. quar_susp, ang default nga pagsuspenso nga aksyon alang sa mga tiggamit nga adunay mga hit, magtugot kanimo sa pag-disable sa usa ka account kansang gipanag-iya nga mga file giila nga mga hit.
  8. Ang
  9. clamav_scan=1 mosulti sa LMD sa pagsulay sa pag-ila sa presensya sa ClamAV binary ug gamiton isip default scanner engine. Naghatag kini og hangtod sa upat ka beses nga mas paspas nga performance sa pag-scan ug labaw nga hex analysis. Kini nga opsyon naggamit lang sa ClamAV isip scanner engine, ug ang mga pirma sa LMD mao gihapon ang basehan sa pag-ila sa mga hulga.

Sa pagsumaryo, ang mga linya nga adunay kini nga mga variable kinahanglan tan-awon sama sa mosunod sa /usr/local/maldetect/conf.maldet:

email_alert=1
[email 
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quar_hits=1
quar_clean=1
quar_susp=1
clam_av=1

Pag-instalar sa ClamAV sa RHEL/CentOS ug Fedora

Aron i-install ang ClamAV aron mapahimuslan ang clamav_scan setting, sunda kini nga mga lakang:

I-enable ang EPEL repository.

# yum install epel-release

Dayon buhata:

# yum update && yum install clamd
# apt update && apt-get install clamav clamav-daemon  [Ubuntu/Debian]

Mubo nga sulat: Nga kini mao lamang ang sukaranan nga mga panudlo sa pag-instalar sa ClamAV aron mahiusa kini sa LMD. Dili na nato hisgotan ang detalye kon bahin sa mga setting sa ClamAV tungod kay sama sa among giingon kaniadto, ang mga pirma sa LMD mao gihapon ang basehan sa pag-ila ug paglimpyo sa mga hulga.

Pagsulay sa Linux Malware Detect

Karon na ang panahon sa pagsulay sa among bag-o nga LMD/ClamAV instalasyon. Imbis nga mogamit ug tinuod nga malware, among gamiton ang mga file sa pagsulay sa EICAR, nga magamit aron ma-download gikan sa EICAR web site.

# cd /var/www/html
# wget http://www.eicar.org/download/eicar.com 
# wget http://www.eicar.org/download/eicar.com.txt 
# wget http://www.eicar.org/download/eicar_com.zip 
# wget http://www.eicar.org/download/eicarcom2.zip 

Niining puntoha, mahimo nimong hulaton ang sunod nga cron nga trabaho nga modagan o ipatuman ang maldet sa imong kaugalingon. Moadto kami sa ikaduha nga kapilian:

# maldet --scan-all /var/www/

Ang LMD modawat usab sa mga wildcard, busa kung gusto nimo nga i-scan lamang ang usa ka matang sa file, (pananglitan, zip file), mahimo nimo kini:

# maldet --scan-all /var/www/*.zip

Kung kompleto na ang pag-scan, mahimo nimong susihon ang email nga gipadala sa LMD o tan-awon ang taho gamit ang:

# maldet --report 021015-1051.3559

Diin ang 021015-1051.3559 mao ang SCANID (ang SCANID medyo lahi sa imong kaso).

Importante: Palihug timan-i nga ang LMD nakakaplag ug 5 ka hits sukad ang eicar.com file na-download kaduha (sa ingon niresulta sa eicar.com ug eicar.com.1).

Kung imong susihon ang folder sa quarantine (gibiyaan ra nako ang usa sa mga file ug gitangtang ang nahabilin), makita namon ang mosunod:

# ls -l

Mahimo nimong tangtangon ang tanan nga na-quarantine nga mga file nga adunay:

# rm -rf /usr/local/maldetect/quarantine/*

Sa kaso nga,

# maldet --clean SCANID

Dili mahuman ang trabaho sa usa ka hinungdan. Mahimo nimong i-refer ang mosunod nga screencast alang sa usa ka sunod-sunod nga pagpatin-aw sa proseso sa ibabaw:

Tungod kay ang maldet kinahanglan i-integrate sa cron, kinahanglan nimo nga itakda ang mosunod nga mga variable sa root's crontab (type crontab -e isip gamut ug i-hit ang Enter key) kung imong namatikdan nga ang LMD dili moandar sa husto kada adlaw:

PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
SHELL=/bin/bash

Makatabang kini sa paghatag sa gikinahanglan nga impormasyon sa pag-debug.

Konklusyon

Niining artikuloha, among nahisgutan kung unsaon pag-install ug pag-configure ang Linux Malware Detect, kauban ang ClamAV, usa ka kusgan nga kaalyado. Uban sa tabang niining 2 nga mga himan, ang pag-ila sa malware kinahanglan nga usa ka sayon nga buluhaton.

Bisan pa, buhata ang imong kaugalingon sa usa ka pabor ug pamilyar sa README file sama sa gipatin-aw sa sayo pa, ug makasalig ka nga ang imong sistema maayo nga gi-account ug maayo ang pagdumala.

Ayaw pagpanuko sa pagbilin sa imong mga komentaryo o mga pangutana, kon aduna man, gamit ang porma sa ubos.

Mga Reperensya nga Link

LMD Homepage