GNU/Linux >> Znalost Linux >  >> Ubuntu

Jak nainstalovat a používat Maldet na Ubuntu 20.04

Linux Malware Detect (LMD) , také známý jako Maldet , je malwarový skener pro Linux vydaný pod licencí GNU GPLv2. Maldet je mezi sysadminy a vývojáři webových stránek poměrně populární díky svému zaměření na detekci zadních vrátek PHP, dark mailerů a mnoha dalších škodlivých souborů, které lze nahrát na kompromitovanou webovou stránku pomocí dat o hrozbách ze systémů detekce narušení na okraji sítě k extrakci malwaru, který je aktivně se používá při útocích a generuje signatury pro detekci.

V následujícím tutoriálu se dozvíte, jak nainstalovat a používat Maldet na Ubuntu 20.04 LTS . Stejný princip bude fungovat pro novější verzi Ubuntu 21.04 (Hirsute Hippo).

Předpoklady

  • Doporučený operační systém: Ubuntu 20.04 – volitelné (Ubuntu 21.04 a Linux Mint 20)
  • Uživatelský účet: Uživatelský účet s přístupem sudo nebo root.
  • Požadované balíčky: wget

Zkontrolujte a aktualizujte svůj operační systém Ubuntu 20.04 nejprve pomocí následujícího příkazu:

sudo apt update && sudo apt upgrade -y

Instalovat (wget) balíček, pokud jej nemáte ve svém systému Ubuntu:

sudo apt install wget -y

Poznámka pro začínající uživatele, pokud si nejste jisti, příkaz přesto spusťte.

Instalace Maldet

K instalaci Maldetu budete potřebovat jejich archiv balíčků, který najdete na oficiální stránce stahování. Když však dojde k upgradům, nezmění URL souboru, takže odkaz ke stažení se naštěstí často nezmění.

V době tohoto výukového programu byla verze (1.6.4 ) je nejnovější; to se však časem změní. Chcete-li stáhnout nejnovější verzi nyní i v budoucnu, zadejte následující příkaz:

cd /tmp/ && wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

V další části budete muset archiv rozbalit, což můžete provést pomocí následujícího příkazu:

tar xfz maldetect-current.tar.gz

V tomto okamžiku je dobré zkontrolovat, zda bylo vše extrahováno. To lze provést pomocí (ls) příkaz takto:

ls

Příklad výstupu:

Nyní, když jste potvrdili, že je archiv správně extrahován, budete (CD) do adresáře a spusťte instalační skript pro instalaci Maldet pomocí následujícího příkazu:

cd maldetect-1.6.4 && ./install.sh

Instalace by měla být dokončena během několika sekund a dostanete podobný výstup jako níže:

Konfigurace Maldet

Nyní, když jste úspěšně dokončili instalační skript, můžete upravit konfigurační soubor pomocí preferovaného textového editoru. Níže jsou uvedeny některé příklady některých oblíbených nastavení a postupů pomocí (nano) textový editor:

Nejprve otevřete (conf.maldet) soubor:

sudo nano /usr/local/maldetect/conf.maldet

Dále vyhledejte následující řádky a upravte je takto:

# To enable the email notification.
email_alert="1"

# Specify the email address on which you want to receive an email notification.
email_addr="[email protected]"

# Enable the LMD signature autoupdate.
autoupdate_signatures="1"

# Enable the automatic updates of the LMD installation.
autoupdate_version="1"

# Enable the daily automatic scanning.
cron_daily_scan="1"

# Allows non-root users to perform scans.
scan_user_access="1"
 
# Move hits to quarantine & alert
quarantine_hits="1"

# Clean string based malware injections.
quarantine_clean="0"

# Suspend user if malware found. 
quarantine_suspend_user="1"

# Minimum userid value that be suspended
quarantine_suspend_user_minuid="500"

# Enable Email Alerting
email_alert="1"

# Email Address in which you want to receive scan reports
email_addr="[email protected]"

# Use with ClamAV
scan_clamscan="1"

# Enable scanning for root-owned files. Set 1 to disable.
scan_ignore_root="0"

Všimněte si, že všechna zde uvedená nastavení jsou volitelná a můžete si nastavit vlastní, protože zde nejsou žádné správné nebo špatné odpovědi.

Aktualizace Maldet

Nejprve spusťte následující příkaz k vytvoření správných cest pro přihlášeného uživatele; můžete mít problémy s aktualizací, aniž byste to udělali.

sudo /usr/local/sbin/maldet --mkpubpaths

Chcete-li aktualizovat databázi definic virů Maldet, spusťte následující příkaz:

maldet -u

Příklad výstupu:

Za druhé, chcete-li zkontrolovat novější verze skutečného softwaru, zadejte následující příkaz:

maldet -d

Příklad výstupu:

Volitelné – Nainstalujte ClamAV

Jednou z nejlepších částí používání Maldetu je jeho kompatibilita s ClamAV, což může výrazně zvýšit skenovací schopnost Maldetu.

Chcete-li nainstalovat ClamAV, můžete tak učinit provedením následujícího příkazu:

sudo apt install clamav clamav-daemon clamdscan -y

Kompletní průvodce nastavením ClamAV naleznete v našem průvodci instalací a používáním ClamAV na Ubuntu 20.04.

Skenování pomocí Maldet – příklady

Nejprve byste se měli seznámit se syntaxí Maldet. Všechny příkazy začínají maldet, poté následuje možnost a cesta k adresáři, například maldet [OPTION] [DIRECTORY PATH] .

Níže je uvedena většina příkladů syntaxe s Maldet:

  • -b : Provádějte operace na pozadí.
  • -u : Aktualizujte signatury detekce malwaru.
  • -l : Zobrazit události souboru protokolu maldet.
  • -d : Aktualizujte nainstalovanou verzi.
  • -a : Prohledejte všechny soubory v cestě.
  • -p : Vymažte protokoly, relace a dočasná data.
  • -q : Přesuňte veškerý malware z přehledu do karantény.
  • -n : Vyčistěte a obnovte výskyty malwaru z přehledu.

Chcete-li otestovat Maldet a ujistit se, že funguje správně, můžete otestovat funkčnost LMD stažením (ukázkové virové signatury) z webu EICAR.

cd /tmp
wget http://www.eicar.org/download/eicar_com.zip
wget http://www.eicar.org/download/eicarcom2.zip

Dále spustíte(maldet) příkaz ke skenování (tmp) adresář takto:

maldet -a /tmp

Nyní s našimi infikovanými soubory získáte podobný výstup jako níže:

Nastavili jsme, že nebudeme automaticky ukládat naši konfiguraci do karantény, protože někdy falešné poplachy a odstranění souborů na živých serverech mohou způsobit další problémy. Dobrý správce systému bude vždy neustále kontrolovat výsledky.

Z výstupu také můžete jasně vidět, že na našem testovacím serveru jsme nainstalovali ClamAV a že Maldet používá skenovací jádro ClamAV k provedení skenování a podařilo se mu najít zásahy malwaru.

Některé další příkazy, které můžete udělat, je zacílit na serverové přípony souborů; PHP soubory jsou často cílem mnoha útoků. Chcete-li skenovat soubory .php, použijte následující:

maldet -a /var/www/html/*.php

To je ideální pro větší webové stránky nebo servery se spoustou souborů ke skenování a menším serverům by prospělo skenování celého adresáře.

Zprávy o skenování maldetu

Maldet ukládá zprávy o skenování pod umístěním adresáře (/usr/local/maldetect/sess/) . Pomocí následujícího příkazu spolu s (Scan ID) můžete zobrazit podrobnou zprávu takto:

sudo maldet --report 210724-0528.4723

Dále budete přesměrováni na vyskakovací zprávu v textovém editoru (nano) jako příklad níže:

Jak můžete vidět, úplná zpráva o seznamu výsledků a podrobnosti týkající se souborů jsou určeny k další kontrole a vyšetřování. Soubor je již uložen (CTRL+X) po dokončení ukončíte.


Ubuntu

  1. Jak nainstalovat a používat Wine na Ubuntu 20.04

  2. Jak nainstalovat a používat FFmpeg na Ubuntu 18.04

  3. Jak nainstalovat a používat Docker v Ubuntu 20.04

  1. Jak nainstalovat a používat Wine na Ubuntu 18.04

  2. Jak nainstalovat a používat Curl na Ubuntu 18.04

  3. Jak nainstalovat a používat Curl na Ubuntu 20.04

  1. Jak nainstalovat a používat Syncthing na Ubuntu 20.04

  2. Jak nainstalovat a používat Unbound v Ubuntu 20.04

  3. Jak nainstalovat a používat Kontact v Ubuntu 20.04