Поиск по сайту:

Как установить Linux Malware Detect (LMD) и ClamAV на CentOS 7

На этой странице

  1. Шаг 1. Установите репозиторий Epel и Mailx
  2. Шаг 2. Установите средство обнаружения вредоносных программ для Linux (LMD)
  3. Шаг 3. Настройка обнаружения вредоносных программ для Linux (LMD)
  4. Шаг 4. Установите ClamAV
  5. Шаг 5. Тестирование LMD и ClamAV
  6. Шаг 6. Другие команды LMD
  7. Справочник

Linux Malware Detect (LMD) — это детектор и сканер вредоносных программ для Linux, разработанный для сред общего хостинга. LMD выпущен под лицензией GNU GPLV2, его можно установить в средах cPanel WHM и Linux вместе с другими инструментами обнаружения, такими как ClamAV.

Clam AntiVirus (ClamAV) — это антивирусное решение с открытым исходным кодом для обнаружения троянов, вредоносных программ, вирусов и другого вредоносного программного обеспечения. ClamAV поддерживает несколько платформ, включая Linux, Windows и MacOS.

В этом руководстве я покажу вам, как установить Linux Malware Detect (LMD) с Clam AntiVirus (ClamAV). Я буду использовать CentOS 7 в качестве операционной системы.

Предпосылка

  • СентОС 7
  • Привилегии root

Шаг 1. Установите репозиторий Epel и Mailx.

Установите репозиторий Epel (дополнительные пакеты для Enterprise Linux) и команду mailx с помощью yum. Нам нужно, чтобы mailx был установлен в системе, чтобы LMD мог отправлять отчеты о сканировании на ваш адрес электронной почты.

yum -y install epel-release

Установите mailx, чтобы мы могли использовать команду mail в CentOS 7:

yum -y install mailx

Шаг 2. Установите Linux Malware Detect (LMD)

Linux Malware Detect недоступен в репозитории CentOS или Epel, нам нужно установить его вручную из исходного кода.

Загрузите LMD и распакуйте его:

cd /tmp
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar -xzvf maldetect-current.tar.gz

Перейдите в каталог maldetect и запустите скрипт установки install.sh от имени пользователя root:

cd maldetect-1.5
./install.sh

Далее сделайте симлинк на команду maldet в каталоге /bin/:

ln -s /usr/local/maldetect/maldet /bin/maldet
hash -r

Шаг 3. Настройка обнаружения вредоносных программ для Linux (LMD)

LMD установлен в каталог /usr/local/maldet/. Перейдите в этот каталог и отредактируйте файл конфигурации conf.maldet с помощью vim:

cd /usr/local/maldetect/
vim conf.maldet

Включите оповещение по электронной почте, изменив значение на 1 в строке 16.

email_alert="1"

Введите свой адрес электронной почты в строке 21.

email_addr=""

Мы будем использовать двоичный файл ClamAV clamscan в качестве механизма сканирования по умолчанию, поскольку он обеспечивает высокопроизводительное сканирование больших наборов файлов. Измените значение на 1 в строке 114.

scan_clamscan="1"

Затем включите карантин, чтобы вредоносное ПО автоматически перемещалось в карантин в процессе сканирования. Измените значение на 1 в строке 180.

quarantine_hits="1"

Измените значение на 1 в строке 185, чтобы разрешить внедрение вредоносных программ на чистой основе.

quarantine_clean="1"

Сохранить и выйти.

Шаг 4 - Установите ClamAV

На этом этапе мы установим Clam AntiVirus или ClamAV, чтобы получить наилучшие результаты сканирования LMD. ClamAV доступен в репозитории Epel (который мы установили на первом этапе).

Установите ClamAV и ClamAV devel с помощью yum:

yum -y install clamav clamav-devel

После установки ClamAV обновите вирусные базы ClamAV с помощью командыfreshclam:

freshclam

Шаг 5. Тестирование LMD и ClamAV

Мы протестируем ручное сканирование LMD с помощью команды maldet. Мы будем использовать команду maldet для сканирования веб-каталога /var/www/html/.

Перейдите в корневой веб-каталог и загрузите образец вредоносного ПО (eicar) с помощью wget:

cd /var/www/html
wget http://www.eicar.org/download/eicar.com.txt
wget http://www.eicar.org/download/eicar_com.zip
wget http://www.eicar.org/download/eicarcom2.zip

Затем просканируйте корневой веб-каталог с помощью команды malde ниже:

maldet -a /var/www/html

Вы можете видеть, что LMD использует модуль сканера ClamAV для выполнения сканирования, и есть три попадания вредоносных программ, а файлы вредоносных программ были автоматически перемещены в каталог карантина.

Проверьте отчет о сканировании с помощью следующей команды:

maldet --report 161008-0524.9466

SCANID=161008-0524.9466 найден в выходных данных Maldet.

Теперь проверьте отчет по электронной почте от LMD:

tail -f /var/mail/root

Как видите, отчет о сканировании был отправлен на адрес электронной почты назначения.

Шаг 6 — Другие команды LMD

Выполните сканирование только для определенного расширения файла:

maldet -a /var/www/html/*.php

Получить список всех отчетов:

maldet -e list

Сканировать файлы, которые были созданы/изменены за последние X дней.

maldet -r /var/www/html/ 5

5=последние дни.

Восстановить файлы из папки карантина.

maldet -s SCANID

Включить мониторинг каталога.

maldet -m /var/www/html/

Проверьте файл журнала монитора:

tail -f /usr/local/maldetect/logs/inotify_log

Ссылка

  • https://github.com/andrewelkins/Linux-Malware-Detect