Jak zainstalować i używać systemu Linux Malware Detect (LMD) z ClamAV jako silnikiem antywirusowym
Złośliwe oprogramowanie, czyli złośliwe oprogramowanie, to określenie nadawane każdemu programowi, którego celem jest zakłócenie normalnego działania systemu komputerowego. Chociaż najbardziej znanymi formami złośliwego oprogramowania są wirusy, oprogramowanie szpiegujące i oprogramowanie reklamowe, szkody, jakie zamierzają wyrządzić, mogą sięgać od kradzieży prywatnych informacji po usuwanie danych osobowych i wszystko pomiędzy, podczas gdy innym klasycznym zastosowaniem złośliwego oprogramowania jest kontrolowanie systemu w celu wykorzystania go do uruchomienia botnetów w ramach ataku (D)DoS.
Innymi słowy, nie możesz sobie pozwolić na myślenie: „Nie muszę zabezpieczać moich systemów przed złośliwym oprogramowaniem, ponieważ nie przechowuję żadnych wrażliwych ani ważnych danych”, ponieważ nie są to jedyne cele złośliwego oprogramowania.
Z tego powodu w tym artykule wyjaśnimy, jak zainstalować i skonfigurować Linux Malware Detect (w skrócie MalDet lub LMD) wraz z ClamAV (silnik antywirusowy) w RHEL 8/7/6 (gdzie x to numer wersji), CentOS 8/7/6 i Fedora 30-32 (te same instrukcje działają również na Ubuntu i Debian).
Skaner złośliwego oprogramowania wydany na licencji GPL v2, specjalnie zaprojektowany dla środowisk hostingowych. Jednak szybko zorientujesz się, że MalDet przyniesie Ci korzyści bez względu na rodzaj środowiska, w którym pracujesz.
Instalowanie LMD na RHEL/CentOS i Fedorze
LMD nie jest dostępny w repozytoriach internetowych, ale jest rozpowszechniany w postaci archiwum tar ze strony internetowej projektu. Plik tar zawierający kod źródłowy najnowszej wersji jest zawsze dostępny pod poniższym linkiem, skąd można go pobrać za pomocą polecenia wget:
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
Następnie musimy rozpakować archiwum tar i wejść do katalogu, w którym została rozpakowana jego zawartość. Ponieważ aktualna wersja to 1.6.4, katalog to maldetect-1.6.4. Tam znajdziemy skrypt instalacyjny install.sh.
tar -xvf maldetect-current.tar.gz
ls -l | grep maldetect
cd maldetect-1.6.4/
ls
Jeśli sprawdzimy skrypt instalacyjny, który ma tylko 75 linii (łącznie z komentarzami), zobaczymy, że nie tylko instaluje narzędzie, ale także wstępnie sprawdza, czy domyślny katalog instalacyjny ( /usr/local/maldetect) istnieje. Jeżeli nie, skrypt przed kontynuacją utworzy katalog instalacyjny.
Na koniec, po zakończeniu instalacji, planowane jest codzienne wykonanie poprzez cron poprzez umieszczenie skryptu cron.daily (patrz obrazek powyżej) w /etc/ cron.daily. Ten skrypt pomocniczy między innymi usunie stare dane tymczasowe, sprawdzi dostępność nowych wersji LMD i przeskanuje domyślne katalogi danych Apache i internetowych paneli kontrolnych (tj. CPanel, DirectAdmin, żeby wymienić tylko kilka).
Mając to na uwadze, uruchom skrypt instalacyjny jak zwykle:
./install.sh
Konfigurowanie wykrywania złośliwego oprogramowania w systemie Linux
Konfiguracja LMD jest obsługiwana przez /usr/local/maldetect/conf.maldet, a wszystkie opcje są dobrze skomentowane, dzięki czemu konfiguracja jest raczej łatwym zadaniem. Jeśli utkniesz, możesz także zapoznać się z /maldetect-1.6.4/README, aby uzyskać dalsze instrukcje.
W pliku konfiguracyjnym znajdziesz następujące sekcje ujęte w nawiasy kwadratowe:
- POWIADOMIENIA EMAIL
- OPCJE KWARANTANNY
- OPCJE SKANOWANIA
- ANALIZA STATYSTYCZNA
- OPCJE MONITOROWANIA
Każda z tych sekcji zawiera kilka zmiennych, które wskazują, jak będzie się zachowywać LMD i jakie funkcje będą dostępne.
- Ustaw email_alert=1, jeśli chcesz otrzymywać powiadomienia e-mail o wynikach inspekcji złośliwego oprogramowania. Dla zachowania zwięzłości będziemy przekazywać pocztę tylko do lokalnych użytkowników systemu, ale możesz wypróbować także inne opcje, takie jak wysyłanie alertów e-mailowych na zewnątrz.
- Ustaw email_subj=”Tutaj Twój temat” i email_addr=nazwa_użytkownika@localhost, jeśli wcześniej ustawiłeś email_alert=1.
- Dzięki quar_hits, domyślnej akcji kwarantanny w przypadku trafień złośliwego oprogramowania (0=tylko alert, 1=przejście do kwarantanny i alertu), poinformujesz LMD, co ma zrobić po wykryciu złośliwego oprogramowania.
- quar_clean pozwoli Ci zdecydować, czy chcesz wyczyścić zastrzyki złośliwego oprogramowania oparte na ciągach znaków. Należy pamiętać, że podpis ciągu jest z definicji „ciągłą sekwencją bajtów, która potencjalnie może pasować do wielu wariantów rodziny złośliwego oprogramowania”.
- quar_susp, domyślna akcja zawieszająca dla użytkowników z trafieniami, pozwoli Ci wyłączyć konto, którego pliki zostały zidentyfikowane jako trafienia.
- clamav_scan=1 poinformuje LMD, aby podjął próbę wykrycia obecności pliku binarnego ClamAV i użycia go jako domyślnego silnika skanera. Zapewnia to do czterokrotnie większą wydajność skanowania i doskonałą analizę szesnastkową. Ta opcja wykorzystuje wyłącznie ClamAV jako silnik skanera, a sygnatury LMD nadal stanowią podstawę wykrywania zagrożeń.
Podsumowując, linie z tymi zmiennymi powinny wyglądać następująco w /usr/local/maldetect/conf.maldet:
email_alert=1
email_addr=gacanepa@localhost
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quar_hits=1
quar_clean=1
quar_susp=1
clam_av=1
Instalowanie ClamAV na RHEL/CentOS i Fedorze
Aby zainstalować ClamAV i skorzystać z ustawienia clamav_scan, wykonaj następujące kroki:
Włącz repozytorium EPEL.
yum install epel-release
Następnie wykonaj:
yum update && yum install clamd
apt update && apt-get install clamav clamav-daemon [Ubuntu/Debian]
Uwaga: to tylko podstawowe instrukcje dotyczące instalacji ClamAV w celu integracji go z LMD. Nie będziemy wdawać się w szczegóły ustawień ClamAV, gdyż jak powiedzieliśmy wcześniej, sygnatury LMD nadal stanowią podstawę do wykrywania i czyszczenia zagrożeń.
Testowanie wykrywania złośliwego oprogramowania w systemie Linux
Teraz czas przetestować naszą najnowszą instalację LMD/ClamAV. Zamiast używać prawdziwego złośliwego oprogramowania, użyjemy plików testowych EICAR, które można pobrać ze strony internetowej EICAR.
cd /var/www/html
wget http://www.eicar.org/download/eicar.com
wget http://www.eicar.org/download/eicar.com.txt
wget http://www.eicar.org/download/eicar_com.zip
wget http://www.eicar.org/download/eicarcom2.zip
W tym momencie możesz poczekać na uruchomienie następnego zadania cron lub samodzielnie uruchomić maldet. Wybierzemy drugą opcję:
maldet --scan-all /var/www/
LMD akceptuje także symbole wieloznaczne, więc jeśli chcesz skanować tylko określony typ pliku (np. pliki ZIP), możesz to zrobić:
maldet --scan-all /var/www/*.zip
Po zakończeniu skanowania możesz sprawdzić wiadomość e-mail wysłaną przez LMD lub wyświetlić raport za pomocą:
maldet --report 021015-1051.3559
Gdzie 021015-1051.3559 to SCANID (w Twoim przypadku SCANID będzie nieco inny).
Ważne: Należy pamiętać, że LMD znalazło 5 trafień od czasu dwukrotnego pobrania pliku eicar.com (w rezultacie powstały eicar.com i eicar.com.1).
Jeśli sprawdzisz folder kwarantanny (właśnie zostawiłem jeden z plików, a resztę usunąłem), zobaczymy:
ls -l
Następnie możesz usunąć wszystkie pliki poddane kwarantannie za pomocą:
rm -rf /usr/local/maldetect/quarantine/*
W takim przypadku
maldet --clean SCANID
Z jakiegoś powodu nie wykonuje swojej pracy. Możesz zapoznać się z poniższym zrzutem ekranu, aby uzyskać szczegółowe wyjaśnienie powyższego procesu:
Uwagi końcowe
Ponieważ maldet musi być zintegrowany z cronem, musisz ustawić następujące zmienne w crontabie roota (wpisz crontab -e jako root i naciśnij klawisz Enter) w przypadku, gdy zauważysz, że LMD na co dzień nie działa poprawnie:
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
SHELL=/bin/bash
Pomoże to w dostarczeniu niezbędnych informacji do debugowania.
Wniosek
W tym artykule omówiliśmy, jak zainstalować i skonfigurować Linux Malware Detect, wraz z ClamAV, potężnym sojusznikiem. Za pomocą tych dwóch narzędzi wykrycie złośliwego oprogramowania powinno być raczej łatwym zadaniem.
Jednakże wyświadcz sobie przysługę i zapoznaj się z plikiem README, jak wyjaśniono wcześniej, a będziesz mieć pewność, że Twój system jest dobrze rozliczany i dobrze zarządzany.
Nie wahaj się zostawić swoich komentarzy lub pytań, jeśli takie masz, korzystając z poniższego formularza.
Linki referencyjne
Strona główna LMD