Поиск по сайту:

Как установить и использовать Linux Malware Detect (LMD) с ClamAV в качестве антивирусного механизма


Вредоносное ПО или вредоносное программное обеспечение — это обозначение любой программы, целью которой является нарушение нормальной работы компьютерной системы. Хотя наиболее известными формами вредоносного ПО являются вирусы, шпионское ПО и рекламное ПО, вред, который они намереваются причинить, может варьироваться от кражи частной информации до удаления личных данных и всего, что между ними. систему, чтобы использовать ее для запуска ботнетов при (D)DoS-атаке.

Другими словами, вы не можете позволить себе думать: «Мне не нужно защищать свою систему(ы) от вредоносного ПО, поскольку я не храню никаких конфиденциальных или важных данных», поскольку это не единственные цели вредоносного ПО.

По этой причине в этой статье мы объясним, как установить и настроить Linux Malware Detect (сокращенно MalDet или LMD) вместе с ClamAV (антивирусный механизм) в RHEL 8/7/6 (где x — номер версии), CentOS 8/7/6 и Fedora 30–32 (те же инструкции также работают на Ubuntu > и Debian).

Сканер вредоносных программ, выпущенный по лицензии GPL v2 и специально разработанный для хостинговых сред. Однако вы быстро поймете, что получите пользу от MalDet независимо от того, в какой среде вы работаете.

Установка LMD на RHEL/CentOS и Fedora

LMD недоступен в онлайн-репозиториях, но распространяется в виде архива с веб-сайта проекта. Архив, содержащий исходный код последней версии, всегда доступен по следующей ссылке, где его можно скачать с помощью команды wget:

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Затем нам нужно распаковать архив и войти в каталог, в который было извлечено его содержимое. Поскольку текущая версия — 1.6.4, каталог — maldetect-1.6.4. Там мы найдем сценарий установки install.sh.

tar -xvf maldetect-current.tar.gz
ls -l | grep maldetect
cd maldetect-1.6.4/
ls

Если мы проверим сценарий установки, длина которого составляет всего 75 строк (включая комментарии), мы увидим, что он не только устанавливает инструмент, но также выполняет предварительную проверку на предмет наличия каталога установки по умолчанию ( /usr/local/maldetect) существует. В противном случае сценарий создает каталог установки, прежде чем продолжить.

Наконец, после завершения установки планируется ежедневное выполнение через cron путем размещения сценария cron.daily (см. изображение выше) в /etc/. cron.daily. Этот вспомогательный сценарий, помимо прочего, очищает старые временные данные, проверяет наличие новых выпусков LMD и сканирует каталоги данных по умолчанию Apache и веб-панелей управления (например, CPanel, DirectAdmin и т. д.).

При этом запустите скрипт установки как обычно:

./install.sh

Настройка обнаружения вредоносных программ Linux

Конфигурация LMD осуществляется через /usr/local/maldetect/conf.maldet, и все параметры хорошо прокомментированы, что делает настройку довольно простой задачей. Если вы застряли, вы также можете обратиться к /maldetect-1.6.4/README для получения дальнейших инструкций.

В файле конфигурации вы найдете следующие разделы, заключенные в квадратные скобки:

  1. ПРЕДУПРЕЖДЕНИЯ ПО ЭЛЕКТРОННОЙ ПОЧТЕ
  2. ВАРИАНТЫ КАРАНТИНА
  3. ВАРИАНТЫ СКАНИРОВАНИЯ
  4. СТАТИСТИЧЕСКИЙ АНАЛИЗ
  5. ВАРИАНТЫ МОНИТОРИНГА

Каждый из этих разделов содержит несколько переменных, которые указывают, как LMD будет вести себя и какие функции доступны.

  1. Установите email_alert=1, если вы хотите получать уведомления по электронной почте о результатах проверки на наличие вредоносного ПО. Для краткости мы будем пересылать почту только локальным пользователям системы, но вы также можете изучить другие варианты, такие как отправка почтовых оповещений наружу.
  2. Установите email_subj="Ваша тема здесь" и email_addr=username@localhost, если вы ранее установили email_alert=1.
  3. Используя quar_hits, действие карантина по умолчанию при попадании вредоносного ПО (0=только оповещение, 1=переход в карантин и оповещение), вы сообщите LMD, что делать при обнаружении вредоносного ПО.
  4. quar_clean позволит вам решить, хотите ли вы очистить строки от вредоносных программ. Имейте в виду, что строковая подпись по определению представляет собой «непрерывную последовательность байтов, которая потенциально может соответствовать множеству вариантов семейства вредоносных программ».
  5. quar_susp, действие приостановки по умолчанию для пользователей с обращениями, позволит вам отключить учетную запись, чьи файлы были идентифицированы как обращения.
  6. clamav_scan=1 сообщит LMD попытаться обнаружить наличие двоичного файла ClamAV и использовать его в качестве механизма сканирования по умолчанию. Это обеспечивает в четыре раза более высокую производительность сканирования и превосходный шестнадцатеричный анализ. В этом варианте в качестве механизма сканирования используется только ClamAV, а сигнатуры LMD по-прежнему остаются основой для обнаружения угроз.

Подводя итог, строки с этими переменными должны выглядеть следующим образом в /usr/local/maldetect/conf.maldet:

email_alert=1
email_addr=gacanepa@localhost
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quar_hits=1
quar_clean=1
quar_susp=1
clam_av=1

Установка ClamAV на RHEL/CentOS и Fedora

Чтобы установить ClamAV и использовать настройку clamav_scan, выполните следующие действия:

Включите репозиторий EPEL.

yum install epel-release

Затем выполните:


yum update && yum install clamd
apt update && apt-get install clamav clamav-daemon  [Ubuntu/Debian]

Примечание. Это только основные инструкции по установке ClamAV для его интеграции с LMD. Мы не будем вдаваться в подробности настроек ClamAV, поскольку, как мы говорили ранее, сигнатуры LMD по-прежнему являются основой для обнаружения и очистки угроз.

Тестирование обнаружения вредоносных программ Linux

Теперь пришло время протестировать нашу недавнюю установку LMD/ClamAV. Вместо использования настоящего вредоносного ПО мы будем использовать тестовые файлы EICAR, которые доступны для загрузки с веб-сайта EICAR.

cd /var/www/html
wget http://www.eicar.org/download/eicar.com 
wget http://www.eicar.org/download/eicar.com.txt 
wget http://www.eicar.org/download/eicar_com.zip 
wget http://www.eicar.org/download/eicarcom2.zip 

На этом этапе вы можете либо дождаться запуска следующего задания cron, либо выполнить maldet вручную самостоятельно. Мы пойдем по второму варианту:

maldet --scan-all /var/www/

LMD также принимает подстановочные знаки, поэтому, если вы хотите сканировать только файлы определенного типа (например, zip-файлы), вы можете сделать это:

maldet --scan-all /var/www/*.zip

Когда сканирование будет завершено, вы можете либо проверить электронное письмо, отправленное LMD, либо просмотреть отчет с помощью:

maldet --report 021015-1051.3559

Где 021015-1051.3559 — это SCANID (в вашем случае SCANID будет немного отличаться).

Важно. Обратите внимание, что LMD обнаружил 5 совпадений, поскольку файл eicar.com был загружен дважды (что привело к появлению eicar.com и eicar.com.1).

Если проверить папку карантина (я просто оставил один из файлов, а остальные удалил), то увидим следующее:

ls -l

Затем вы можете удалить все файлы, помещенные в карантин, с помощью:

rm -rf /usr/local/maldetect/quarantine/*

В случае чего,

maldet --clean SCANID

По каким-то причинам не выполняет задание. Вы можете обратиться к следующему скринкасту для пошагового объяснения описанного выше процесса:

Заключительные соображения

Поскольку maldet необходимо интегрировать с cron, вам необходимо установить следующие переменные в crontab пользователя root (введите crontab -e от имени пользователя root и нажмите кнопку Enter) в случае, если вы заметите, что LMD ежедневно работает неправильно:

PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
SHELL=/bin/bash

Это поможет предоставить необходимую отладочную информацию.

Заключение

В этой статье мы обсудили, как установить и настроить Linux Malware Detect вместе с ClamAV, его мощным союзником. С помощью этих двух инструментов обнаружение вредоносного ПО должно стать довольно простой задачей.

Однако сделайте себе одолжение и ознакомьтесь с файлом README, как объяснялось ранее, и вы сможете быть уверены, что ваша система хорошо учитывается и хорошо управляется.

Не стесняйтесь оставлять свои комментарии или вопросы, если таковые имеются, используя форму ниже.

Справочные ссылки

Домашняя страница LMD