Linux Malware Detect (LMD) je detektor malwaru pro operační systémy Linux , vydané pod GNU GPLv2. LMD je speciálně navržen pro sdílená hostitelská prostředí k odstranění nebo detekci hrozeb v souboru uživatelů.
V tomto příspěvku nainstalujeme Linux Malware Detect pomocí ClamAV na CentOS 7 .
Nainstalujte LMD na CentOS 7 / RHEL 7
LMD není v systému CentOS k dispozici oficiální repozitáře jako předpřipravený balíček, ale je k dispozici jako tarball z webové stránky projektu LMD. Stáhněte si nejnovější verzi LMD pomocí následujícího příkazu.
cd /tmp/ curl -O http://www.rfxn.com/downloads/maldetect-current.tar.gz
Rozbalte tarball a přejděte do extrahovaného adresáře.
tar -zxvf maldetect-current.tar.gz cd maldetect*
Spusťte instalační skript install.sh přítomný v extrahovaném adresáři.
bash install.sh
Výstup:
Created symlink from /etc/systemd/system/multi-user.target.wants/maldet.service to /usr/lib/systemd/system/maldet.service. Linux Malware Detect v1.6 (C) 2002-2017, R-fx Networks <[email protected]> (C) 2017, Ryan MacDonald <[email protected]> This program may be freely redistributed under the terms of the GNU GPL installation completed to /usr/local/maldetect config file: /usr/local/maldetect/conf.maldet exec file: /usr/local/maldetect/maldet exec link: /usr/local/sbin/maldet exec link: /usr/local/sbin/lmd cron.daily: /etc/cron.daily/maldet maldet(1344): {sigup} performing signature update check... maldet(1344): {sigup} local signature set is version 2017070716978 maldet(1344): {sigup} new signature set (2017080720059) available maldet(1344): {sigup} downloading https://cdn.rfxn.com/downloads/maldet-sigpack.tgz maldet(1344): {sigup} downloading https://cdn.rfxn.com/downloads/maldet-cleanv2.tgz maldet(1344): {sigup} verified md5sum of maldet-sigpack.tgz maldet(1344): {sigup} unpacked and installed maldet-sigpack.tgz maldet(1344): {sigup} verified md5sum of maldet-clean.tgz maldet(1344): {sigup} unpacked and installed maldet-clean.tgz maldet(1344): {sigup} signature set update completed maldet(1344): {sigup} 15215 signatures (12485 MD5 | 1951 HEX | 779 YARA | 0 USER)
Konfigurace Linux Malware Detect
Hlavní konfigurační soubor LMD je /usr/local/maldetect/conf.maldet a můžete jej upravit podle svých požadavků.
vi /usr/local/maldetect/conf.maldet
Níže jsou uvedena některá důležitá nastavení, která byste měli mít ve svém systému pro úspěšnou detekci a odstranění hrozeb.
# Enable Email Alerting email_alert="1" # Email Address in which you want to receive scan reports email_addr="[email protected]" # Use with ClamAV scan_clamscan="1" # Enable scanning for root owned files. Set 1 to disable. scan_ignore_root="0" # Move threats to quarantine quarantine_hits="1" # Clean string based malware injections quarantine_clean="1" # Suspend user if malware found. quarantine_suspend_user="1" # Minimum userid value that be suspended quarantine_suspend_user_minuid="500"
Pokud nechcete používat LMD s ClamAV, přejděte na vyhledávání malwaru.
Linux Malware Detect with ClamAV
LMD funguje lépe při skenování velkých sad souborů pomocí ClamAV. ClamAV (Clam Antivirus) je open source antivirové řešení pro detekci virů, malwaru, trojských koní a dalších škodlivých programů.
ClamAV je k dispozici v úložišti EPEL , takže jej nakonfigurujte na vašem CentOS / RHEL stroj.
rpm -ivh https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
Nainstalujte ClamAV pomocí příkazu YUM.
yum -y install clamav clamav-devel clamav-update inotify-tools
Nyní aktualizujte virové databáze ClamAV pomocí následujícího příkazu.
freshclam
S LMD není vyžadována žádná další konfigurace, protože použití ClamAV s LMD je ve výchozím nastavení povoleno.
Testování Linux Malware Detect
Pojďme otestovat funkčnost LMD pomocí testovacího viru. Stáhněte si virovou signaturu z webu EICAR .
cd /tmp wget http://www.eicar.org/download/eicar_com.zip wget http://www.eicar.org/download/eicarcom2.zip
Nyní vyhledejte v adresáři malware.
maldet -a /tmp
Výstup:
Linux Malware Detect v1.6.2
(C) 2002-2017, R-fx Networks <[email protected]>
(C) 2017, Ryan MacDonald <[email protected]>
This program may be freely redistributed under the terms of the GNU GPL v2
maldet(2004): {scan} signatures loaded: 15215 (12485 MD5 | 1951 HEX | 779 YARA | 0 USER)
maldet(2004): {scan} building file list for /tmp, this might take awhile...
maldet(2004): {scan} setting nice scheduler priorities for all operations: cpunice 19 , ionice 6
maldet(2004): {scan} file list completed in 0s, found 74 files...
maldet(2004): {scan} found clamav binary at /bin/clamscan, using clamav scanner engine...
maldet(2004): {scan} scan of /tmp (74 files) in progress...
maldet(2004): {scan} processing scan results for hits: 2 hits 0 cleaned
maldet(2004): {scan} scan completed on /tmp: files 74, malware hits 2, cleaned hits 0, time 11s
maldet(2004): {scan} scan report saved, to view run: maldet --report 170814-1058.2004
maldet(2004): {alert} sent scan report to [email protected] Z výstupu můžete vidět, že LMD používá k provedení skenování ClamAV skener a výsledkem byly dva zásahy malwaru.
Zpráva o skenování detektoru malwaru Linux
LMD ukládá zprávy o skenování pod /usr/local/maldetect/sess/ . Chcete-li zobrazit podrobnou zprávu o skenování, použijte příkaz maldet s ID SCAN.
maldet --report 170808-1035.18497
Výstup:
SUBJECT: maldet alert from server.itzgeek.local
HOST: lmddd
SCAN ID: 170814-1058.2004
STARTED: Aug 14 2017 10:58:20 +0000
COMPLETED: Aug 14 2017 10:58:31 +0000
ELAPSED: 11s [find: 0s]
PATH: /tmp
TOTAL FILES: 74
TOTAL HITS: 2
TOTAL CLEANED: 0
FILE HIT LIST:
{HEX}EICAR.TEST.10 : /tmp/eicar_com.zip => /usr/local/maldetect/quarantine/eicar_com.zip.491714154
{HEX}EICAR.TEST.10 : /tmp/eicarcom2.zip => /usr/local/maldetect/quarantine/eicarcom2.zip.506330946
===============================================
Linux Malware Detect v1.6.2 < [email protected] > Vidíte, že oba soubory jsou nyní v karanténě.
Aktualizujte Linux Malware Detect
Pomocí následujícího příkazu aktualizujte LMD.
maldet -d
Chcete-li aktualizovat podpisy LMD, spusťte:
maldet -u
To je vše.