Vyhledávání na webu

Jak nainstalovat a používat Linux Malware Detect (LMD) s ClamAV jako antivirovým modulem

Malware neboli škodlivý software je označení pro jakýkoli program, jehož cílem je narušit normální provoz počítačového systému. Ačkoli nejznámějšími formami malwaru jsou viry, spyware a adware, škody, které mají v úmyslu způsobit, se mohou pohybovat od krádeže soukromých informací po smazání osobních údajů a vše mezi tím, zatímco dalším klasickým použitím malwaru je kontrola systému, aby jej bylo možné použít ke spuštění botnetů při (D)DoS útoku.

Jinými slovy, nemůžete si dovolit myslet si: „Nepotřebuji svůj systém (systémy) zabezpečit proti malwaru, protože neukládám žádná citlivá nebo důležitá data “, protože to nejsou jediné cíle malwaru.

Z tohoto důvodu v tomto článku vysvětlíme, jak nainstalovat a nakonfigurovat Linux Malware Detect (aka MalDet nebo zkráceně LMD) spolu s ClamAV (antivirový modul) v RHEL 8/7/6 (kde x je číslo verze), CentOS 8/7/6 a Fedora 30-32 (stejné pokyny fungují také na Ubuntu a Debian systémy).

Malwarový skener vydaný pod licencí GPL v2, speciálně navržený pro hostitelská prostředí. Rychle si však uvědomíte, že z MalDet budete mít prospěch bez ohledu na to, v jakém prostředí pracujete.

Instalace LMD na RHEL/CentOS a Fedoru

LMD není dostupné z online úložišť, ale je distribuováno jako tarball z webových stránek projektu. Tarball obsahující zdrojový kód nejnovější verze je vždy k dispozici na následujícím odkazu, odkud jej lze stáhnout příkazem wget:

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Poté musíme rozbalit tarball a vstoupit do adresáře, kde byl jeho obsah extrahován. Protože aktuální verze je 1.6.4, adresář je maldetect-1.6.4. Zde najdeme instalační skript install.sh.

tar -xvf maldetect-current.tar.gz
ls -l | grep maldetect
cd maldetect-1.6.4/
ls

Pokud zkontrolujeme instalační skript, který má pouze 75 řádků (včetně komentářů), uvidíme, že nejen nainstaluje nástroj, ale také provede předběžnou kontrolu, zda je výchozí instalační adresář ( /usr/local/maldetect) existuje. Pokud ne, skript před pokračováním vytvoří instalační adresář.

Nakonec, po dokončení instalace, je naplánováno každodenní spouštění přes cron umístěním skriptu cron.daily (viz obrázek výše) do /etc/ cron.daily. Tento pomocný skript mimo jiné vymaže stará dočasná data, zkontroluje nová vydání LMD a naskenuje výchozí adresáře dat Apache a webové ovládací panely (tj. CPanel, DirectAdmin, abychom jmenovali alespoň některé).

Jak již bylo řečeno, spusťte instalační skript jako obvykle:

./install.sh

Konfigurace Linux Malware Detect

Konfigurace LMD se provádí pomocí /usr/local/maldetect/conf.maldet a všechny možnosti jsou dobře komentovány, aby byla konfigurace poměrně snadná. V případě, že uvíznete, můžete se také podívat na /maldetect-1.6.4/README, kde najdete další pokyny.

V konfiguračním souboru najdete následující sekce, uzavřené v hranatých závorkách:

  1. EMAILOVÁ UPOZORNĚNÍ
  2. MOŽNOSTI KARANTÉNY
  3. MOŽNOSTI SKENOVÁNÍ
  4. STATISTICKÁ ANALÝZA
  5. MONITOROVACÍ MOŽNOSTI

Každá z těchto sekcí obsahuje několik proměnných, které udávají, jak se bude LMD chovat a jaké funkce jsou k dispozici.

  1. Pokud chcete dostávat e-mailová upozornění na výsledky kontroly malwaru, nastavte email_alert=1. Kvůli stručnosti budeme poštu předávat pouze uživatelům místního systému, ale můžete prozkoumat i další možnosti, jako je zasílání upozornění na e-maily ven.
  2. Nastavte email_subj=”Váš předmět zde” a email_addr=username@localhost, pokud jste dříve nastavili email_alert=1.
  3. Pomocí quar_hits, výchozí karanténní akce pro výskyt malwaru (0=pouze upozornění, 1=přesun do karantény a upozornění), sdělíte LMD, co má dělat, když je malware zjištěn.
  4. quar_clean vám umožní rozhodnout, zda chcete vyčistit injekce malwaru založeného na řetězcích. Mějte na paměti, že podpis řetězce je z definice „souvislá bajtová sekvence, která se potenciálně může shodovat s mnoha variantami rodiny malwaru“.
  5. quar_susp, výchozí akce pozastavení pro uživatele s požadavky na server, vám umožní deaktivovat účet, jehož vlastněné soubory byly identifikovány jako požadavky.
  6. clamav_scan=1 řekne LMD, aby se pokusilo detekovat přítomnost ClamAV binárního kódu a použít jej jako výchozí skenovací stroj. To přináší až čtyřikrát rychlejší výkon skenování a vynikající hexadecimální analýzu. Tato možnost používá pouze ClamAV jako skenovací jádro a signatury LMD jsou stále základem pro detekci hrozeb.

Shrneme-li to, řádky s těmito proměnnými by měly v /usr/local/maldetect/conf.maldet vypadat následovně:

email_alert=1
email_addr=gacanepa@localhost
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quar_hits=1
quar_clean=1
quar_susp=1
clam_av=1

Instalace ClamAV na RHEL/CentOS a Fedora

Chcete-li nainstalovat ClamAV, abyste mohli využívat výhod nastavení clamav_scan, postupujte takto:

Povolit úložiště EPEL.

yum install epel-release

Pak proveďte:


yum update && yum install clamd
apt update && apt-get install clamav clamav-daemon  [Ubuntu/Debian]

Poznámka: Toto jsou pouze základní pokyny k instalaci ClamAV za účelem integrace s LMD. Nebudeme zabíhat do podrobností, pokud jde o nastavení ClamAV, protože jak jsme řekli dříve, signatury LMD jsou stále základem pro detekci a čištění hrozeb.

Testování Linux Malware Detect

Nyní je čas otestovat naši nedávnou instalaci LMD/ClamAV. Namísto použití skutečného malwaru použijeme testovací soubory EICAR, které jsou k dispozici ke stažení z webových stránek EICAR.

cd /var/www/html
wget http://www.eicar.org/download/eicar.com 
wget http://www.eicar.org/download/eicar.com.txt 
wget http://www.eicar.org/download/eicar_com.zip 
wget http://www.eicar.org/download/eicarcom2.zip

V tomto okamžiku můžete buď počkat na spuštění další úlohy cron, nebo spustit maldet ručně sami. Přistoupíme k druhé možnosti:

maldet --scan-all /var/www/

LMD také přijímá zástupné znaky, takže pokud chcete skenovat pouze určitý typ souboru (např. soubory zip), můžete tak učinit:

maldet --scan-all /var/www/*.zip

Po dokončení skenování můžete zkontrolovat e-mail odeslaný společností LMD nebo zobrazit zprávu pomocí:

maldet --report 021015-1051.3559

Kde 021015-1051.3559 je SCANID (SCANID se ve vašem případě bude mírně lišit).

Důležité: Upozorňujeme, že LMD nalezlo 5 přístupů od doby, kdy byl soubor eicar.com stažen dvakrát (výsledkem jsou eicar.com a eicar.com.1).

Pokud zkontrolujete složku karantény (právě jsem nechal jeden ze souborů a zbytek smazal), uvidíme následující:

ls -l

Poté můžete odstranit všechny soubory v karanténě pomocí:

rm -rf /usr/local/maldetect/quarantine/*

V případě že,

maldet --clean SCANID

Z nějakého důvodu nedokončí práci. Můžete se podívat na následující screencast, kde najdete podrobné vysvětlení výše uvedeného procesu:

Závěrečné úvahy

Protože maldet musí být integrován s cronem, musíte v crontab uživatele root nastavit následující proměnné (jako root zadejte crontab -e a stiskněte klávesa Enter) v případě, že si všimnete, že LMD neběží každý den správně:

PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
SHELL=/bin/bash

To pomůže poskytnout potřebné informace pro ladění.

Závěr

V tomto článku jsme probrali, jak nainstalovat a nakonfigurovat Linux Malware Detect spolu s ClamAV, mocným spojencem. S pomocí těchto 2 nástrojů by měla být detekce malwaru poměrně snadným úkolem.

Udělejte si však laskavost a seznamte se se souborem README, jak bylo vysvětleno dříve, a budete si moci být jisti, že váš systém je dobře evidován a dobře spravován.

Neváhejte zanechat své připomínky nebo dotazy, pokud existují, pomocí formuláře níže.

Referenční odkazy

Domovská stránka LMD