Jak nainstalovat a používat Linux Malware Detect (LMD) s ClamAV jako antivirovým modulem
Malware neboli škodlivý software je označení pro jakýkoli program, jehož cílem je narušit normální provoz počítačového systému. Ačkoli nejznámějšími formami malwaru jsou viry, spyware a adware, škody, které mají v úmyslu způsobit, se mohou pohybovat od krádeže soukromých informací po smazání osobních údajů a vše mezi tím, zatímco dalším klasickým použitím malwaru je kontrola systému, aby jej bylo možné použít ke spuštění botnetů při (D)DoS útoku.
Jinými slovy, nemůžete si dovolit myslet si: „Nepotřebuji svůj systém (systémy) zabezpečit proti malwaru, protože neukládám žádná citlivá nebo důležitá data “, protože to nejsou jediné cíle malwaru.
Z tohoto důvodu v tomto článku vysvětlíme, jak nainstalovat a nakonfigurovat Linux Malware Detect (aka MalDet nebo zkráceně LMD) spolu s ClamAV (antivirový modul) v RHEL 8/7/6 (kde x je číslo verze), CentOS 8/7/6 a Fedora 30-32 (stejné pokyny fungují také na Ubuntu a Debian systémy).
Malwarový skener vydaný pod licencí GPL v2, speciálně navržený pro hostitelská prostředí. Rychle si však uvědomíte, že z MalDet budete mít prospěch bez ohledu na to, v jakém prostředí pracujete.
Instalace LMD na RHEL/CentOS a Fedoru
LMD není dostupné z online úložišť, ale je distribuováno jako tarball z webových stránek projektu. Tarball obsahující zdrojový kód nejnovější verze je vždy k dispozici na následujícím odkazu, odkud jej lze stáhnout příkazem wget:
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
Poté musíme rozbalit tarball a vstoupit do adresáře, kde byl jeho obsah extrahován. Protože aktuální verze je 1.6.4, adresář je maldetect-1.6.4. Zde najdeme instalační skript install.sh.
tar -xvf maldetect-current.tar.gz
ls -l | grep maldetect
cd maldetect-1.6.4/
ls
Pokud zkontrolujeme instalační skript, který má pouze 75 řádků (včetně komentářů), uvidíme, že nejen nainstaluje nástroj, ale také provede předběžnou kontrolu, zda je výchozí instalační adresář ( /usr/local/maldetect) existuje. Pokud ne, skript před pokračováním vytvoří instalační adresář.
Nakonec, po dokončení instalace, je naplánováno každodenní spouštění přes cron umístěním skriptu cron.daily (viz obrázek výše) do /etc/ cron.daily. Tento pomocný skript mimo jiné vymaže stará dočasná data, zkontroluje nová vydání LMD a naskenuje výchozí adresáře dat Apache a webové ovládací panely (tj. CPanel, DirectAdmin, abychom jmenovali alespoň některé).
Jak již bylo řečeno, spusťte instalační skript jako obvykle:
./install.sh
Konfigurace Linux Malware Detect
Konfigurace LMD se provádí pomocí /usr/local/maldetect/conf.maldet a všechny možnosti jsou dobře komentovány, aby byla konfigurace poměrně snadná. V případě, že uvíznete, můžete se také podívat na /maldetect-1.6.4/README, kde najdete další pokyny.
V konfiguračním souboru najdete následující sekce, uzavřené v hranatých závorkách:
- EMAILOVÁ UPOZORNĚNÍ
- MOŽNOSTI KARANTÉNY
- MOŽNOSTI SKENOVÁNÍ
- STATISTICKÁ ANALÝZA
- MONITOROVACÍ MOŽNOSTI
Každá z těchto sekcí obsahuje několik proměnných, které udávají, jak se bude LMD chovat a jaké funkce jsou k dispozici.
- Pokud chcete dostávat e-mailová upozornění na výsledky kontroly malwaru, nastavte email_alert=1. Kvůli stručnosti budeme poštu předávat pouze uživatelům místního systému, ale můžete prozkoumat i další možnosti, jako je zasílání upozornění na e-maily ven.
- Nastavte email_subj=”Váš předmět zde” a email_addr=username@localhost, pokud jste dříve nastavili email_alert=1.
- Pomocí quar_hits, výchozí karanténní akce pro výskyt malwaru (0=pouze upozornění, 1=přesun do karantény a upozornění), sdělíte LMD, co má dělat, když je malware zjištěn.
- quar_clean vám umožní rozhodnout, zda chcete vyčistit injekce malwaru založeného na řetězcích. Mějte na paměti, že podpis řetězce je z definice „souvislá bajtová sekvence, která se potenciálně může shodovat s mnoha variantami rodiny malwaru“.
- quar_susp, výchozí akce pozastavení pro uživatele s požadavky na server, vám umožní deaktivovat účet, jehož vlastněné soubory byly identifikovány jako požadavky.
- clamav_scan=1 řekne LMD, aby se pokusilo detekovat přítomnost ClamAV binárního kódu a použít jej jako výchozí skenovací stroj. To přináší až čtyřikrát rychlejší výkon skenování a vynikající hexadecimální analýzu. Tato možnost používá pouze ClamAV jako skenovací jádro a signatury LMD jsou stále základem pro detekci hrozeb.
Shrneme-li to, řádky s těmito proměnnými by měly v /usr/local/maldetect/conf.maldet vypadat následovně:
email_alert=1
email_addr=gacanepa@localhost
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quar_hits=1
quar_clean=1
quar_susp=1
clam_av=1
Instalace ClamAV na RHEL/CentOS a Fedora
Chcete-li nainstalovat ClamAV, abyste mohli využívat výhod nastavení clamav_scan, postupujte takto:
Povolit úložiště EPEL.
yum install epel-release
Pak proveďte:
yum update && yum install clamd
apt update && apt-get install clamav clamav-daemon [Ubuntu/Debian]
Poznámka: Toto jsou pouze základní pokyny k instalaci ClamAV za účelem integrace s LMD. Nebudeme zabíhat do podrobností, pokud jde o nastavení ClamAV, protože jak jsme řekli dříve, signatury LMD jsou stále základem pro detekci a čištění hrozeb.
Testování Linux Malware Detect
Nyní je čas otestovat naši nedávnou instalaci LMD/ClamAV. Namísto použití skutečného malwaru použijeme testovací soubory EICAR, které jsou k dispozici ke stažení z webových stránek EICAR.
cd /var/www/html
wget http://www.eicar.org/download/eicar.com
wget http://www.eicar.org/download/eicar.com.txt
wget http://www.eicar.org/download/eicar_com.zip
wget http://www.eicar.org/download/eicarcom2.zip
V tomto okamžiku můžete buď počkat na spuštění další úlohy cron, nebo spustit maldet ručně sami. Přistoupíme k druhé možnosti:
maldet --scan-all /var/www/
LMD také přijímá zástupné znaky, takže pokud chcete skenovat pouze určitý typ souboru (např. soubory zip), můžete tak učinit:
maldet --scan-all /var/www/*.zip
Po dokončení skenování můžete zkontrolovat e-mail odeslaný společností LMD nebo zobrazit zprávu pomocí:
maldet --report 021015-1051.3559
Kde 021015-1051.3559 je SCANID (SCANID se ve vašem případě bude mírně lišit).
Důležité: Upozorňujeme, že LMD nalezlo 5 přístupů od doby, kdy byl soubor eicar.com stažen dvakrát (výsledkem jsou eicar.com a eicar.com.1).
Pokud zkontrolujete složku karantény (právě jsem nechal jeden ze souborů a zbytek smazal), uvidíme následující:
ls -l
Poté můžete odstranit všechny soubory v karanténě pomocí:
rm -rf /usr/local/maldetect/quarantine/*
V případě že,
maldet --clean SCANID
Z nějakého důvodu nedokončí práci. Můžete se podívat na následující screencast, kde najdete podrobné vysvětlení výše uvedeného procesu:
Závěrečné úvahy
Protože maldet musí být integrován s cronem, musíte v crontab uživatele root nastavit následující proměnné (jako root zadejte crontab -e a stiskněte klávesa Enter) v případě, že si všimnete, že LMD neběží každý den správně:
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
SHELL=/bin/bash
To pomůže poskytnout potřebné informace pro ladění.
Závěr
V tomto článku jsme probrali, jak nainstalovat a nakonfigurovat Linux Malware Detect spolu s ClamAV, mocným spojencem. S pomocí těchto 2 nástrojů by měla být detekce malwaru poměrně snadným úkolem.
Udělejte si však laskavost a seznamte se se souborem README, jak bylo vysvětleno dříve, a budete si moci být jisti, že váš systém je dobře evidován a dobře spravován.
Neváhejte zanechat své připomínky nebo dotazy, pokud existují, pomocí formuláře níže.
Referenční odkazy
Domovská stránka LMD