LMD (Linux Malware Detect) je open source detektor malwaru pro operační systémy Linux. LMD je speciálně navržen pro sdílená hostitelská prostředí k detekci a odstraňování hrozeb v souboru uživatelů.
V této příručce nainstalujeme Linux Malware Detect (LMD) pomocí ClamAV na Debian 9 / Ubuntu 16.04 / LinuxMint 18 .
Nainstalujte Linux Malware Detect na Debian
LMD není k dispozici na základních repozitářích jako předpřipravený balíček, ale můžete získat LMD jako tarball z oficiálních webových stránek projektu.
Stáhněte si nejnovější verzi LMD (v1.6.2) pomocí následujícího příkazu.
cd /tmp/ curl -O http://www.rfxn.com/downloads/maldetect-current.tar.gz
Rozbalte tarball pomocí příkazu tar .
tar -zxvf maldetect-current.tar.gz
Přejděte do extrahovaného adresáře.
cd maldetect-1.6.2/
Spusťte instalační skript install.sh přítomný v extrahovaném adresáři.
bash install.sh
Výstup:
Created symlink /etc/systemd/system/multi-user.target.wants/maldet.service → /usr/lib/systemd/system/maldet.service.
update-rc.d: error: unable to read /etc/init.d/maldet
Linux Malware Detect v1.6
(C) 2002-2017, R-fx Networks <[email protected]>
(C) 2017, Ryan MacDonald <[email protected]>
This program may be freely redistributed under the terms of the GNU GPL
installation completed to /usr/local/maldetect
config file: /usr/local/maldetect/conf.maldet
exec file: /usr/local/maldetect/maldet
exec link: /usr/local/sbin/maldet
exec link: /usr/local/sbin/lmd
cron.daily: /etc/cron.daily/maldet
maldet(933): {sigup} performing signature update check...
maldet(933): {sigup} local signature set is version 2017070716978
maldet(933): {sigup} new signature set (201708255569) available
maldet(933): {sigup} downloading https://cdn.rfxn.com/downloads/maldet-sigpack.tgz
maldet(933): {sigup} downloading https://cdn.rfxn.com/downloads/maldet-cleanv2.tgz
maldet(933): {sigup} verified md5sum of maldet-sigpack.tgz
maldet(933): {sigup} unpacked and installed maldet-sigpack.tgz
maldet(933): {sigup} verified md5sum of maldet-clean.tgz
maldet(933): {sigup} unpacked and installed maldet-clean.tgz
maldet(933): {sigup} signature set update completed
maldet(933): {sigup} 15218 signatures (12485 MD5 | 1954 HEX | 779 YARA | 0 USER) Konfigurace Linux Malware Detect
/usr/local/maldetect/conf.maldet je hlavní konfigurační soubor LMD. Jeho parametry můžete upravit podle svých požadavků.
nano /usr/local/maldetect/conf.maldet
Níže je uvedeno několik nastavení, která byste měli mít na LMD pro úspěšnou detekci a odstranění malwarových hrozeb.
# Enable Email Alerting email_alert="1" # Email Address in which you want to receive scan reports email_addr="[email protected]" # Use with ClamAV scan_clamscan="1" # Enable scanning for root-owned files. Set 1 to disable. scan_ignore_root="0" # Move threats to quarantine quarantine_hits="1" # Clean string based malware injections quarantine_clean="1" # Suspend user if malware found. quarantine_suspend_user="1" # Minimum userid value that be suspended quarantine_suspend_user_minuid="500"
Pokud si nepřejete používat LMD s ClamAV, přeskočte níže uvedenou část.
Linux Malware Detect with ClamAV
LMD funguje lépe s ClamAV, zejména pokud jde o skenování velkých sad souborů. ClamAV (Clam Antivirus) je antivirový modul s otevřeným zdrojovým kódem pro detekci virů, malwaru, trojských koní a dalších škodlivých hrozeb.
ClamAV je k dispozici v základním úložišti, takže jej můžete nainstalovat pomocí příkazu apt.
apt-get -y install clamav clamav-daemon clamdscan
Ve výchozím nastavení je použití ClamAV s LMD povoleno.
Skenování pomocí funkce Linux Malware Detect
Pojďme otestovat funkčnost LMD stažením vzorové virové signatury z webu EICAR.
cd /tmp wget http://www.eicar.org/download/eicar_com.zip wget http://www.eicar.org/download/eicarcom2.zip
Nyní prohledejte adresář /tmp, zda neobsahuje malware.
maldet -a /tmp
Výstup:
Linux Malware Detect v1.6.2
(C) 2002-2017, R-fx Networks <[email protected]>
(C) 2017, Ryan MacDonald <[email protected]>
This program may be freely redistributed under the terms of the GNU GPL v2
maldet(4209): {scan} signatures loaded: 15218 (12485 MD5 | 1954 HEX | 779 YARA | 0 USER)
maldet(4209): {scan} building file list for /tmp, this might take awhile...
maldet(4209): {scan} setting nice scheduler priorities for all operations: cpunice 19 , ionice 6
maldet(4209): {scan} file list completed in 0s, found 4 files...
maldet(4209): {scan} found clamav binary at /usr/bin/clamscan, using clamav scanner engine...
maldet(4209): {scan} scan of /tmp (4 files) in progress...
maldet(4209): {scan} processing scan results for hits: 2 hits 0 cleaned
maldet(4209): {scan} scan completed on /tmp: files 4, malware hits 2, cleaned hits 0, time 12s
maldet(4209): {scan} scan report saved, to view run: maldet --report 171026-1103.4209 Z výstupu si můžete všimnout, že LMD k provedení skenování používá skener ClamAV a podařilo se mu najít dva zásahy malwaru.
Zpráva o skenování detektoru malwaru Linux
LMD ukládá své zprávy o skenování pod /usr/local/maldetect/sess/ . Pomocí příkazu maldet spolu s SCAN ID zobrazíte podrobnou zprávu o skenování.
maldet --report 171026-1103.4209
Výstup:
HOST: lmd
SCAN ID: 171026-1103.4209
STARTED: Oct 26 2017 11:03:16 +0000
COMPLETED: Oct 26 2017 11:03:28 +0000
ELAPSED: 12s [find: 0s]
PATH: /tmp
TOTAL FILES: 4
TOTAL HITS: 2
TOTAL CLEANED: 0
FILE HIT LIST:
{HEX}EICAR.TEST.10 : /tmp/eicar_com.zip => /usr/local/maldetect/quarantine/eicar_com.zip.296395948
{HEX}EICAR.TEST.10 : /tmp/eicarcom2.zip => /usr/local/maldetect/quarantine/eicarcom2.zip.418410660
===============================================
Linux Malware Detect v1.6.2 < [email protected] > Aktualizujte Linux Malware Detect
Pomocí níže uvedeného příkazu aktualizujte LMD.
maldet -d
Chcete-li aktualizovat podpisy LMD, spusťte:
maldet -u
To je vše.