Как установить Linux Malware Detect (LMD) и ClamAV на CentOS 7
На этой странице
- Шаг 1. Установите репозиторий Epel и Mailx
- Шаг 2. Установите средство обнаружения вредоносных программ для Linux (LMD)
- Шаг 3. Настройка обнаружения вредоносных программ для Linux (LMD)
- Шаг 4. Установите ClamAV
- Шаг 5. Тестирование LMD и ClamAV
- Шаг 6. Другие команды LMD
- Справочник
Linux Malware Detect (LMD) — это детектор и сканер вредоносных программ для Linux, разработанный для сред общего хостинга. LMD выпущен под лицензией GNU GPLV2, его можно установить в средах cPanel WHM и Linux вместе с другими инструментами обнаружения, такими как ClamAV.
Clam AntiVirus (ClamAV) — это антивирусное решение с открытым исходным кодом для обнаружения троянов, вредоносных программ, вирусов и другого вредоносного программного обеспечения. ClamAV поддерживает несколько платформ, включая Linux, Windows и MacOS.
В этом руководстве я покажу вам, как установить Linux Malware Detect (LMD) с Clam AntiVirus (ClamAV). Я буду использовать CentOS 7 в качестве операционной системы.
Предпосылка
- СентОС 7
- Привилегии root
Шаг 1. Установите репозиторий Epel и Mailx.
Установите репозиторий Epel (дополнительные пакеты для Enterprise Linux) и команду mailx с помощью yum. Нам нужно, чтобы mailx был установлен в системе, чтобы LMD мог отправлять отчеты о сканировании на ваш адрес электронной почты.
yum -y install epel-release
Установите mailx, чтобы мы могли использовать команду mail в CentOS 7:
yum -y install mailx
Шаг 2. Установите Linux Malware Detect (LMD)
Linux Malware Detect недоступен в репозитории CentOS или Epel, нам нужно установить его вручную из исходного кода.
Загрузите LMD и распакуйте его:
cd /tmp
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar -xzvf maldetect-current.tar.gz
Перейдите в каталог maldetect и запустите скрипт установки install.sh от имени пользователя root:
cd maldetect-1.5
./install.sh
Далее сделайте симлинк на команду maldet в каталоге /bin/:
ln -s /usr/local/maldetect/maldet /bin/maldet
hash -r
Шаг 3. Настройка обнаружения вредоносных программ для Linux (LMD)
LMD установлен в каталог /usr/local/maldet/. Перейдите в этот каталог и отредактируйте файл конфигурации conf.maldet с помощью vim:
cd /usr/local/maldetect/
vim conf.maldet
Включите оповещение по электронной почте, изменив значение на 1 в строке 16.
email_alert="1"
Введите свой адрес электронной почты в строке 21.
email_addr=""
Мы будем использовать двоичный файл ClamAV clamscan в качестве механизма сканирования по умолчанию, поскольку он обеспечивает высокопроизводительное сканирование больших наборов файлов. Измените значение на 1 в строке 114.
scan_clamscan="1"
Затем включите карантин, чтобы вредоносное ПО автоматически перемещалось в карантин в процессе сканирования. Измените значение на 1 в строке 180.
quarantine_hits="1"
Измените значение на 1 в строке 185, чтобы разрешить внедрение вредоносных программ на чистой основе.
quarantine_clean="1"
Сохранить и выйти.
Шаг 4 - Установите ClamAV
На этом этапе мы установим Clam AntiVirus или ClamAV, чтобы получить наилучшие результаты сканирования LMD. ClamAV доступен в репозитории Epel (который мы установили на первом этапе).
Установите ClamAV и ClamAV devel с помощью yum:
yum -y install clamav clamav-devel
После установки ClamAV обновите вирусные базы ClamAV с помощью командыfreshclam:
freshclam
Шаг 5. Тестирование LMD и ClamAV
Мы протестируем ручное сканирование LMD с помощью команды maldet. Мы будем использовать команду maldet для сканирования веб-каталога /var/www/html/.
Перейдите в корневой веб-каталог и загрузите образец вредоносного ПО (eicar) с помощью wget:
cd /var/www/html
wget http://www.eicar.org/download/eicar.com.txt
wget http://www.eicar.org/download/eicar_com.zip
wget http://www.eicar.org/download/eicarcom2.zip
Затем просканируйте корневой веб-каталог с помощью команды malde ниже:
maldet -a /var/www/html
Вы можете видеть, что LMD использует модуль сканера ClamAV для выполнения сканирования, и есть три попадания вредоносных программ, а файлы вредоносных программ были автоматически перемещены в каталог карантина.
Проверьте отчет о сканировании с помощью следующей команды:
maldet --report 161008-0524.9466
SCANID=161008-0524.9466 найден в выходных данных Maldet.
Теперь проверьте отчет по электронной почте от LMD:
tail -f /var/mail/root
Как видите, отчет о сканировании был отправлен на адрес электронной почты назначения.
Шаг 6 — Другие команды LMD
Выполните сканирование только для определенного расширения файла:
maldet -a /var/www/html/*.php
Получить список всех отчетов:
maldet -e list
Сканировать файлы, которые были созданы/изменены за последние X дней.
maldet -r /var/www/html/ 5
5=последние дни.
Восстановить файлы из папки карантина.
maldet -s SCANID
Включить мониторинг каталога.
maldet -m /var/www/html/
Проверьте файл журнала монитора:
tail -f /usr/local/maldetect/logs/inotify_log
Ссылка
- https://github.com/andrewelkins/Linux-Malware-Detect