Wéi installéiere a benotzt Linux Malware Detect (LMD) mat ClamAV als Antivirus Engine

Malware, oder béiswëlleg Software, ass d'Bezeechnung, déi un all Programm gëtt, deen zielt fir déi normal Operatioun vun engem Rechensystem ze stéieren. Och wann déi bekanntst Forme vu Malware Viren, Spyware an Adware sinn, kann de Schued, deen se wëlles verursaachen, variéiere vu privaten Informatioune klauen bis perséinlech Donnéeën ze läschen, an alles dotëschend, während eng aner klassesch Notzung vu Malware ass d'Kontroll vun der System fir et ze benotzen fir Botnets an engem (D) DoS Attack ze starten.

An anere Wierder, Dir kënnt et net leeschten ze denken, Ech brauch meng System(e) net géint Malware ze sécheren well ech keng sensibel oder wichteg Donnéeën späicheren, well déi sinn net déi eenzeg Ziler vu Malware .

Aus deem Grond erkläre mir an dësem Artikel wéi Dir Linux Malware Detect (alias MalDet oder LMD kuerz) installéiert a konfiguréiert, zesumme mat ClamAV (Antivirus Engine) an RHEL 8/7/6 (wou x d'Versiounsnummer ass), CentOS 8/7/6 a Fedora 30-32 (déiselwecht Instruktioune funktionnéieren och op Ubuntu an Debian Systemer) .

E Malware Scanner verëffentlecht ënner der GPL v2 Lizenz, speziell fir Hosting Ëmfeld entworf. Wéi och ëmmer, Dir wäert séier mierken datt Dir vun MalDet profitéiert egal wéi eng Ëmwelt Dir schafft.

Installéiert LMD op RHEL/CentOS a Fedora

LMD ass net vun Online Repositories verfügbar awer gëtt als Tarball vun der Websäit vum Projet verdeelt. Den Tarball deen de Quellcode vun der leschter Versioun enthält ass ëmmer um folgende Link verfügbar, wou et mat wget Kommando erofgeluede ka ginn:

# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Da musse mir den Tarball auspacken an de Verzeechnes aginn wou säin Inhalt extrahéiert gouf. Well déi aktuell Versioun 1.6.4 ass, ass de Verzeichnis maldetect-1.6.4. Do fanne mir den Installatiounsskript, install.sh.

# tar -xvf maldetect-current.tar.gz
# ls -l | grep maldetect
# cd maldetect-1.6.4/
# ls

Wa mir d'Installatiounsskript iwwerpréiwen, wat nëmmen 75 Zeilen laang ass (inklusiv Kommentarer), wäerte mir gesinn datt et net nëmmen den Tool installéiert, mee och e Pre-Check ausféiert fir ze kucken ob de Standardinstallatiounsverzeechnes ( /usr/local/maldetect) existéiert. Wann net, erstellt de Skript den Installatiounsverzeechnes ier Dir weidergeet.

Schlussendlech, nodeems d'Installatioun ofgeschloss ass, gëtt eng deeglech Ausféierung iwwer cron geplangt andeems Dir de cron.daily Skript (kuckt op d'Bild hei uewen) an /etc/ setzt. cron.deeglech. Dëst Helper Skript wäert, ënner anerem, al temporär Donnéeën läschen, iwwerpréift fir nei LMD Verëffentlechungen, a scannt d'Default Apache a Web Kontrollpanelen (dh CPanel, DirectAdmin, fir e puer ze nennen) Standarddatenverzeichnisser.

Dat gesot gëtt, lafen d'Installatiounsskript wéi gewinnt:

# ./install.sh

Linux Malware Detect konfiguréieren

D'Konfiguratioun vum LMD gëtt duerch /usr/local/maldetect/conf.maldet gehandhabt an all Optioune si gutt kommentéiert fir d'Konfiguratioun eng zimlech einfach Aufgab ze maachen. Am Fall wou Dir festhält, kënnt Dir och op /maldetect-1.6.4/README fir weider Instruktioune verweisen.

An der Konfiguratiounsdatei fannt Dir déi folgend Sektiounen, an de Quadratklammern zougemaach:

  1. MAIL ALERT
  2. QUARANTÄNEOPTIONEN
  3. SCANOPTIONEN
  4. STATISTISK ANALYSIS
  5. Iwwerwaachungsoptiounen

Jiddereng vun dësen Sektiounen enthält verschidde Variabelen déi uginn wéi LMD sech behuelen a wéi eng Features verfügbar sinn.

  1. Set email_alert=1 op wann Dir E-Mail Notifikatioune vu Malware-Inspektiounsresultater wëllt kréien. Fir Kuerzegkeet wäerte mir nëmmen E-Mail un lokal Systembenotzer weiderginn, awer Dir kënnt aner Méiglechkeeten entdecken, wéi Mailalarmer no baussen ze schécken.
  2. Set email_subj=“Äert Thema hei” an [Email geschützt] wann Dir virdrun email_alert=1 agestallt hutt.
  3. Mat quar_hits, der Standard Quarantänaktioun fir Malware Hits (0 = nëmmen Alarm, 1 = réckelen op Quarantän & Alarm) wäert Dir LMD soen wat ze maachen wann Malware entdeckt gëtt.
  4. quar_clean léisst Iech entscheeden ob Dir String-baséiert Malware Injektiounen wëllt botzen. Denkt drun datt eng String Ënnerschrëft, per Definitioun, eng kontinuéierlech Bytesequenz ass, déi potenziell mat ville Varianten vun enger Malware Famill passen kann.
  5. quar_susp, d'Standard Suspendaktioun fir Benotzer mat Hits, erlaabt Iech e Kont auszeschalten deem seng Besëtzer Dateien als Hits identifizéiert goufen.
  6. clamav_scan=1 wäert LMD soen fir ze probéieren d'Präsenz vu ClamAV Binär z'entdecken an als Standard Scanner Engine ze benotzen. Dëst bréngt eng bis zu véiermol méi séier Scanleistung an eng super Hexanalyse. Dës Optioun benotzt nëmmen ClamAV als Scannermotor, an d'LMD Ënnerschrëften sinn nach ëmmer d'Basis fir Geforen z'entdecken.

Zesummefaassend, d'Linnen mat dëse Variablen solle wéi follegt ausgesinn an /usr/local/maldetect/conf.maldet:

email_alert=1
[email 
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quar_hits=1
quar_clean=1
quar_susp=1
clam_av=1

Installéiert ClamAV op RHEL/CentOS a Fedora

Fir ClamAV z'installéieren fir vun der clamav_scan Astellung ze profitéieren, befollegt dës Schrëtt:

Aktivéiert EPEL Repository.

# yum install epel-release

Dann maachen:

# yum update && yum install clamd
# apt update && apt-get install clamav clamav-daemon  [Ubuntu/Debian]

Bemierkung: Dat sinn nëmmen d'Basisinstruktioune fir ClamAV z'installéieren fir se mat LMD z'integréieren. Mir wäerten net an den Detail goen wat d'ClamAV Astellunge betrëfft, well wéi mir virdru gesot hunn, LMD Ënnerschrëften sinn nach ëmmer d'Basis fir Geforen z'entdecken an ze botzen.

Testen Linux Malware Detect

Elo ass et Zäit eis rezent LMD/ClamAV Installatioun ze testen. Amplaz richteg Malware ze benotzen, benotze mir d'EICAR Testdateien, déi verfügbar sinn fir erofzelueden vun der EICAR Websäit.

# cd /var/www/html
# wget http://www.eicar.org/download/eicar.com 
# wget http://www.eicar.org/download/eicar.com.txt 
# wget http://www.eicar.org/download/eicar_com.zip 
# wget http://www.eicar.org/download/eicarcom2.zip

Zu dësem Zäitpunkt kënnt Dir entweder op déi nächst cron Aarbecht waarden fir ze lafen oder maldet manuell selwer auszeféieren. Mir ginn mat der zweeter Optioun:

# maldet --scan-all /var/www/

LMD akzeptéiert och Wildcards, also wann Dir nëmmen eng gewëssen Zort Datei scannen wëllt, (z.B. Zip Dateien), kënnt Dir dat maachen:

# maldet --scan-all /var/www/*.zip

Wann d'Scannen fäerdeg ass, kënnt Dir entweder d'E-Mail iwwerpréiwen déi vum LMD geschéckt gouf oder de Bericht mat:

# maldet --report 021015-1051.3559

Wou 021015-1051.3559 den SCANID ass (de SCANID wäert an Ärem Fall liicht anescht sinn).

Wichteg: Notéiert w.e.g. datt LMD 5 Hits fonnt huet zënter datt d'eicar.com Datei zweemol erofgeluede gouf (also zu eicar.com an eicar.com.1 resultéiert).

Wann Dir de Quarantän Dossier iwwerpréift (ech hunn just ee vun de Fichieren verlooss an de Rescht geläscht), gesi mir déi folgend:

# ls -l

Dir kënnt dann all Quarantän Dateien ewechhuelen mat:

# rm -rf /usr/local/maldetect/quarantine/*

Am Fall wou,

# maldet --clean SCANID

Kritt d'Aarbecht aus iergendengem Grond net gemaach. Dir kënnt op de folgende Screencast bezéien fir eng Schrëtt-fir-Schrëtt Erklärung vum uewe genannte Prozess:

Well maldet mat cron integréiert muss ginn, musst Dir déi folgend Variabelen am root's crontab setzen (typ crontab -e als root an dréckt op Enter Schlëssel) am Fall wou Dir bemierkt datt LMD all Dag net korrekt leeft:

PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
SHELL=/bin/bash

Dëst wäert hëllefen déi néideg Debugging Informatioun ze bidden.

Conclusioun

An dësem Artikel hu mir diskutéiert wéi Dir Linux Malware Detect installéiere an konfiguréieren, zesumme mat ClamAV, e mächtegen Alliéierten. Mat der Hëllef vun dësen 2 Tools, Malware z'entdecken sollt eng zimlech einfach Aufgab sinn.

Wéi och ëmmer, maacht Iech selwer eng Faveur a gitt vertraut mat der README Datei wéi virdru erkläert, an Dir kënnt sécher sinn datt Äre System gutt verantwortlech a gutt geréiert gëtt.

Zéckt net Är Kommentaren oder Froen ze hannerloossen, wann iwwerhaapt, andeems Dir de Formulaire hei drënner benotzt.

Referenz Linken

LMD Homepage