Bii o ṣe le Fi sii ati Lo Linux Malware Detect (LMD) pẹlu ClamAV bi Ẹrọ Antivirus

Malware , tabi sọfitiwia irira, jẹ orukọ ti a fun si eyikeyi eto ti o ni ero lati dabaru iṣẹ deede ti eto iširo kan. Botilẹjẹpe awọn fọọmu ti a mọ daradara julọ ti malware jẹ awọn ọlọjẹ, spyware, ati adware, ipalara ti wọn pinnu lati fa le jẹ lati jiji alaye ikọkọ si pipaarẹ data ti ara ẹni, ati ohun gbogbo ti o wa laarin, lakoko lilo Ayebaye miiran ti malware ni lati ṣakoso eto lati lo lati ṣe ifilọlẹ awọn botnets ni ikọlu (D) DoS kan.

Ni awọn ọrọ miiran, o ko le ni agbara lati ronu,\"Emi ko nilo lati ni aabo eto (s) mi si malware nitori Emi ko tọju eyikeyi ifura tabi data pataki", nitori awọn kii ṣe awọn ibi-afẹde nikan ti malware .

Fun idi eyi, ninu nkan yii, a yoo ṣalaye bi o ṣe le fi sori ẹrọ ati tunto Linux Malware Detect (aka MalDet tabi LMD fun kukuru) pẹlu ClamAV (Ẹrọ Antivirus) ni RHEL 8/7/6 (nibi ti x jẹ nọmba ẹya), CentOS 8/7/6 ati Fedora 30-32 (awọn itọnisọna kanna tun ṣiṣẹ lori awọn ọna Ubuntu ati Debian) .

Ayẹwo malware ti a tu silẹ labẹ iwe-aṣẹ GPL v2, ti a ṣe apẹrẹ pataki fun awọn agbegbe alejo gbigba. Sibẹsibẹ, iwọ yoo yara mọ pe iwọ yoo ni anfani lati MalDet laibikita iru ayika ti o n ṣiṣẹ.

Fifi LMD sori RHEL/CentOS ati Fedora

LMD ko wa lati awọn ibi ipamọ ori ayelujara ṣugbọn o pin bi tarball lati oju opo wẹẹbu iṣẹ akanṣe. Bọọlu tarball ti o ni koodu orisun ti ẹya tuntun wa nigbagbogbo ni ọna asopọ atẹle, nibiti o le ṣe igbasilẹ pẹlu aṣẹ wget:

# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Lẹhinna a nilo lati ṣa bọọlu tarball kuro ki o tẹ itọsọna nibiti a ti mu awọn akoonu rẹ jade. Niwọn igba ti ẹda ti isiyi jẹ 1.6.4 , itọsọna naa jẹ maldetect-1.6.4 . Nibayi a yoo wa iwe afọwọkọ fifi sori ẹrọ, install.sh .

# tar -xvf maldetect-current.tar.gz
# ls -l | grep maldetect
# cd maldetect-1.6.4/
# ls

Ti a ba ṣayẹwo iwe afọwọkọ fifi sori ẹrọ, eyiti o jẹ awọn ila laini 75 (pẹlu awọn asọye), a yoo rii pe kii ṣe fifi sori ẹrọ nikan ṣugbọn o tun ṣe iṣaaju-iṣaaju lati rii boya itọsọna fifi sori ẹrọ aiyipada ( /usr/agbegbe/maldetect ) wa. Ti kii ba ṣe bẹ, iwe afọwọkọ naa ṣẹda itọsọna fifi sori ẹrọ ṣaaju tẹsiwaju.

Lakotan, lẹhin fifi sori ẹrọ ti pari, ṣiṣe ipaniyan ojoojumọ nipasẹ cron ti ṣeto nipasẹ gbigbe cron.daily iwe afọwọkọ (tọka si aworan ti o wa loke) ni /etc/cron.daily . Iwe afọwọkọ oluranlọwọ yii, laarin awọn ohun miiran, ṣalaye data igba diẹ atijọ, ṣayẹwo fun awọn idasilẹ LMD tuntun, ati ṣayẹwo Apache aiyipada ati awọn panẹli iṣakoso wẹẹbu (ie, CPanel, DirectAdmin, lati darukọ diẹ) awọn ilana data aiyipada.

Iyẹn ni a sọ, ṣiṣe iwe afọwọkọ fifi sori bi o ṣe deede:

# ./install.sh

Tito leto Linux Malware Ṣawari

Iṣeto ni ti LMD ni a mu lulẹ nipasẹ /usr/local/maldetect/conf.maldet ati pe gbogbo awọn aṣayan ni a ṣalaye daradara lati ṣe iṣeto iṣẹ-ṣiṣe dipo irọrun. Ni ọran ti o ba di, o tun le tọka si /maldetect-1.6.4/README fun awọn itọnisọna siwaju.

Ninu faili iṣeto naa iwọ yoo wa awọn abala wọnyi, ti a fi sinu inu awọn akọmọ onigun mẹrin:

  1. Awọn itaniji Imeeli
  2. Awọn aṣayan KUARANTINE
  3. Awọn aṣayan SAYAN
  4. IWỌN NIPA iṣiro
  5. Awọn aṣayan MONITORO

Ọkọọkan awọn apakan wọnyi ni ọpọlọpọ awọn oniyipada ti o tọka si bi LMD yoo ṣe huwa ati awọn ẹya wo ni o wa.

  1. Ṣeto email_alert = 1 ti o ba fẹ gba awọn iwifunni imeeli ti awọn abajade ayewo malware. Fun idi ti kukuru, a yoo firanṣẹ meeli nikan si awọn olumulo eto agbegbe, ṣugbọn o le ṣawari awọn aṣayan miiran bii fifiranṣẹ awọn itaniji meeli si ita pẹlu.
  2. Ṣeto email_subj = ”Koko-ọrọ rẹ nibi” ati [imeeli ti a daabo bo] ti o ba ti ṣeto imeeli tẹlẹ_alert = 1.
  3. Pẹlu quar_hits , iṣe iṣayatọ aiyipada fun awọn ipalara malware (0 = itaniji nikan, 1 = gbe si quarantine & gbigbọn) iwọ yoo sọ fun LMD kini lati ṣe nigbati a ba ri malware.
  4. quar_clean yoo jẹ ki o pinnu boya o fẹ nu awọn abẹrẹ malware ti o da lori okun. Ranti pe ibuwọlu okun jẹ, nipa itumọ,\"ọkọọkan baiti ṣiṣeeṣe kan ti o le ni ibamu pẹlu ọpọlọpọ awọn iyatọ ti idile malware kan".
  5. quar_susp , iṣe da duro fun aiyipada fun awọn olumulo ti o ni deba, yoo gba ọ laaye lati mu akọọlẹ kan ti awọn faili ti o ni ti ni idanimọ bi awọn lu.
  6. clamav_scan = 1 yoo sọ fun LMD lati gbiyanju lati wa wiwa alakomeji ClamAV ati lo bi ẹrọ ọlọjẹ aiyipada. Eyi n mu ikilọ to iṣe ọlọjẹ iyara mẹrin ati itupalẹ hex ti o ga julọ. Aṣayan yii nlo ClamAV nikan bi ẹrọ ọlọjẹ, ati awọn ibuwọlu LMD tun jẹ ipilẹ fun wiwa awọn irokeke.

Ni akojọpọ, awọn ila pẹlu awọn oniyipada wọnyi yẹ ki o wo bi atẹle ni /usr/local/maldetect/conf.maldet :

email_alert=1
[email 
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quar_hits=1
quar_clean=1
quar_susp=1
clam_av=1

Fifi ClamAV sori RHEL/CentOS ati Fedora

Lati fi ClamAV sii lati lo anfani ti eto clamav_scan , tẹle awọn igbesẹ wọnyi:

Jeki ibi ipamọ EPEL.

# yum install epel-release

Lẹhinna ṣe:

# yum update && yum install clamd
# apt update && apt-get install clamav clamav-daemon  [Ubuntu/Debian]

Akiyesi: Pe iwọnyi ni awọn ilana ipilẹ lati fi sori ẹrọ ClamAV lati le ṣepọ rẹ pẹlu LMD. A kii yoo lọ si awọn alaye bi awọn eto ClamAV ṣe ni itara nitori bi a ti sọ tẹlẹ, awọn ibuwọlu LMD tun jẹ ipilẹ fun wiwa ati fifọ awọn irokeke.

Idanwo Linux Malware Wa

Bayi o to lati ṣe idanwo fifi sori ẹrọ LMD / ClamAV tuntun wa. Dipo lilo malware gidi, a yoo lo awọn faili idanwo EICAR, eyiti o wa fun igbasilẹ lati oju opo wẹẹbu EICAR.

# cd /var/www/html
# wget http://www.eicar.org/download/eicar.com 
# wget http://www.eicar.org/download/eicar.com.txt 
# wget http://www.eicar.org/download/eicar_com.zip 
# wget http://www.eicar.org/download/eicarcom2.zip

Ni aaye yii, o le duro de atẹle cron iṣẹ lati ṣiṣẹ tabi ṣiṣẹ maldet pẹlu ọwọ funrararẹ. A yoo lọ pẹlu aṣayan keji:

# maldet --scan-all /var/www/

LMD tun gba awọn kaadi egan, nitorinaa ti o ba fẹ ṣe ọlọjẹ nikan iru faili kan, (bii awọn faili pelu, fun apẹẹrẹ), o le ṣe bẹ:

# maldet --scan-all /var/www/*.zip

Nigbati ọlọjẹ naa ba pari, o le ṣayẹwo imeeli ti LMD firanṣẹ tabi wo ijabọ pẹlu:

# maldet --report 021015-1051.3559

Nibiti 021015-1051.3559 ni SCANID (SCANID yoo yatọ si ọran rẹ).

Pataki: Jọwọ ṣe akiyesi pe LMD wa awọn lu 5 lati igba ti o ti gba faili eicar.com lẹmeeji (nitorinaa abajade ni eicar.com ati eicar.com.1).

Ti o ba ṣayẹwo folda quarantine (Mo kan fi ọkan silẹ awọn faili naa ki o paarẹ iyokù), a yoo rii atẹle:

# ls -l

Lẹhinna o le yọ gbogbo awọn faili ti o ya sọtọ pẹlu:

# rm -rf /usr/local/maldetect/quarantine/*

Ni ọran ti,

# maldet --clean SCANID

Ko gba iṣẹ naa fun idi diẹ. O le tọka si iboju iboju atẹle fun alaye igbesẹ-ti ilana ti o wa loke:

Niwọn bi maldet nilo lati ṣepọ pẹlu cron , o nilo lati ṣeto awọn oniyipada wọnyi ni crontab root (tẹ crontab -e bi gbongbo ki o lu Tẹ bọtini Tẹ ) ti o ba ṣe akiyesi pe LMD ko ṣiṣẹ ni deede lojoojumọ:

PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
SHELL=/bin/bash

Eyi yoo ṣe iranlọwọ lati pese alaye n ṣatunṣe aṣiṣe.

Ipari

Ninu àpilẹkọ yii, a ti jiroro bi a ṣe le fi sori ẹrọ ati tunto Linux Malware Detect , pẹlu ClamAV , ọrẹ to lagbara. Pẹlu iranlọwọ ti awọn irinṣẹ 2 wọnyi, wiwa malware yẹ ki o jẹ iṣẹ ṣiṣe ti o rọrun dipo.

Sibẹsibẹ, ṣe ara rẹ ni ojurere ki o faramọ pẹlu faili README bi a ti ṣalaye rẹ ni iṣaaju, ati pe iwọ yoo ni anfani lati ni idaniloju idaniloju pe eto rẹ ti wa ni iṣiro daradara ati iṣakoso daradara.

Maṣe ṣiyemeji lati fi awọn asọye rẹ tabi awọn ibeere rẹ silẹ, ti eyikeyi ba, ni lilo fọọmu ti o wa ni isalẹ.

Itọkasi Awọn ọna asopọ

Oju-ile LMD