Jak nainstalovat a nakonfigurovat Linux Malware Detect (Maldet) na AlmaLinux 8

Linux Malware Detect (LMD) , také známý jako Maldet , je malwarový skener pro Linux vydaný pod licencí GNU GPLv2. Maldet je mezi sysadminy a vývojáři webových stránek poměrně populární díky svému zaměření na detekci zadních vrátek PHP, dark mailerů a mnoha dalších škodlivých souborů, které lze nahrát na kompromitovanou webovou stránku pomocí dat o hrozbách ze systémů detekce narušení na okraji sítě k extrakci malwaru, který je aktivně používán při útocích a generuje signatury pro detekci.

V následujícím tutoriálu se dozvíte, jak nainstalovat a používat Maldet na AlmaLinux 8.

Předpoklady

• Doporučený operační systém: AlmaLinux 8.
• Uživatelský účet: Uživatelský účet s právy sudo nebo přístup root (příkaz su) .

Aktualizace operačního systému

Aktualizujte svůj AlmaLinux operační systém, abyste se ujistili, že všechny existující balíčky jsou aktuální:

sudo dnf upgrade --refresh -y

Výukový program bude používatpříkaz sudo a za předpokladu, že máte status sudo .

Chcete-li ověřit stav sudo na vašem účtu:

sudo whoami

Ukázkový výstup zobrazující stav sudo:

[joshua@localhost ~]$ sudo whoami
root

Chcete-li nastavit stávající nebo nový účet sudo, navštivte náš návod Jak přidat uživatele do Sudoers na AlmaLinux .

Chcete-li použít rootový účet , použijte k přihlášení následující příkaz s heslem uživatele root.

su

Nainstalovat Maldet

K instalaci Maldetu budete potřebovat jejich archiv balíčků, který najdete na oficiální stránce stahování. Když však dojde k upgradům, nezmění URL souboru, takže odkaz ke stažení se naštěstí často nezmění.

V době tohoto výukového programu byla verze (1.6.4 ) je nejnovější; to se však časem změní. Chcete-li stáhnout nejnovější verzi nyní i v budoucnu, zadejte následující příkaz:

cd /tmp/ && wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

V další části budete muset archiv rozbalit, což můžete provést pomocí následujícího příkazu:

tar xfz maldetect-current.tar.gz

Nyní, když jste potvrdili, že je archiv správně extrahován, budete (CD) do adresáře a spusťte instalační skript pro instalaci Maldet pomocí následujícího příkazu:

cd maldetect-1.6.4 && sudo ./install.sh

Instalace by měla být dokončena během několika sekund a dostanete podobný výstup jako níže:

Konfigurovat Maldet

Nyní, když jste úspěšně dokončili instalační skript, můžete upravit konfigurační soubor pomocí preferovaného textového editoru. Níže jsou uvedeny některé příklady některých oblíbených nastavení a postupů pomocí (nano) textový editor:

Nejprve otevřete (conf.maldet) soubor:

sudo nano /usr/local/maldetect/conf.maldet

Dále vyhledejte následující řádky a upravte je takto:

# To enable the email notification.
email_alert="1"

# Specify the email address on which you want to receive an email notification.
email_addr="[email protected]"

# Enable the LMD signature autoupdate.
autoupdate_signatures="1"

# Enable the automatic updates of the LMD installation.
autoupdate_version="1"

# Enable the daily automatic scanning.
cron_daily_scan="1"

# Allows non-root users to perform scans.
scan_user_access="1"
 
# Move hits to quarantine & alert
quarantine_hits="1"

# Clean string based malware injections.
quarantine_clean="0"

# Suspend user if malware found. 
quarantine_suspend_user="1"

# Minimum userid value that be suspended
quarantine_suspend_user_minuid="500"

# Enable Email Alerting
email_alert="1"

# Email Address in which you want to receive scan reports
email_addr="[email protected]"

# Use with ClamAV
scan_clamscan="1"

# Enable scanning for root-owned files. Set 1 to disable.
scan_ignore_root="0"

Všimněte si, že všechna zde uvedená nastavení jsou volitelná a můžete si nastavit vlastní, protože zde nejsou žádné správné nebo špatné odpovědi.

Aktualizujte definice a software Maldet Virus

Nejprve se musíte ujistit, že scan_user_access=”1″ je zapnuto v konfiguračním souboru uvedeném výše, abyste mohli pokračovat.

Dále spusťte následující příkaz k vytvoření správných cest pro přihlášeného uživatele; můžete mít problémy s aktualizací, aniž byste to udělali.

sudo /usr/local/sbin/maldet --mkpubpaths

Pokud to neuděláte, zobrazí se následující chyba.

public scanning is enabled (scan_user_access=1) but paths do not exist, please contact your system administrator to run '/usr/local/sbin/maldet --mkpubpaths' or wait for cron.pub to execute in ~10 minutes.

Chcete-li aktualizovat databázi definic virů Maldet, spusťte následující příkaz:

maldet -u

Příklad výstupu:

Za druhé, chcete-li zkontrolovat novější verze stávajícího softwaru, zadejte následující příkaz:

maldet -d

Příklad výstupu:

Volitelné – Nainstalujte ClamAV

Jednou z nejlepších částí používání Maldetu je jeho kompatibilita s ClamAV, která může výrazně zvýšit skenovací schopnost Maldetu.

Nejprve nainstalujte úložiště EPEL, abyste nainstalovali nejnovější dostupnou verzi ClamAV spolu s jejími závislostmi:

sudo dnf install epel-release

Chcete-li nainstalovat ClamAV, můžete tak učinit provedením následujícího příkazu:

sudo dnf install clamav clamav-devel -y

Kompletní návod na ClamAV s AlmaLinux 8 najdete v našem návodu Jak nainstalovat a používat ClamAV na AlmaLinux 8.

Skenování pomocí Maldet – příklady

Nejprve byste se měli seznámit se syntaxí Maldet. Všechny příkazy začínají maldet, poté následuje možnost a cesta k adresáři, například maldet [OPTION] [DIRECTORY PATH] .

Níže je uvedena většina příkladů syntaxe s Maldet:

• -b : Provádějte operace na pozadí.
• -u : Aktualizujte signatury detekce malwaru.
• -l : Zobrazit události souboru protokolu maldet.
• -d : Aktualizujte nainstalovanou verzi.
• -a : Prohledejte všechny soubory v cestě.
• -p : Vymažte protokoly, relace a dočasná data.
• -q : Přesuňte veškerý malware z přehledu do karantény.
• -n : Vyčistěte a obnovte výskyty malwaru z přehledu.

Chcete-li otestovat Maldet a ujistit se, že funguje správně, můžete otestovat funkčnost LMD stažením (ukázkové virové signatury) z webu EICAR.

cd /tmp
wget http://www.eicar.org/download/eicar_com.zip
wget http://www.eicar.org/download/eicarcom2.zip

Dále spustíte(maldet) příkaz ke skenování (tmp) adresář takto:

maldet -a /tmp

Nyní s našimi infikovanými soubory získáte podobný výstup jako níže:

Jak jste si mohli všimnout, výukový program je nastaven tak, aby nebyl automaticky umístěn do karantény pro naši konfiguraci, protože někdy falešné poplachy a odstranění souborů na živých serverech mohou způsobit více problémů, než vyřeší. Dobrý správce systému nebo vlastník serveru bude neustále kontrolovat výsledky a ověřovat je.

Z výstupu také můžete vidět, že na našem testovacím serveru jsme nainstalovali ClamAV a že Maldet používá skenovací jádro ClamAV k provedení skenování a podařilo se mu najít zásahy malwaru.

Některé další příkazy, které můžete udělat, je zacílit na serverové přípony souborů; PHP soubory jsou často cílem mnoha útoků. Chcete-li skenovat soubory .php, použijte následující:

maldet -a /var/www/html/*.php

To je ideální pro větší webové stránky nebo servery se spoustou souborů ke skenování a menším serverům by prospělo skenování celého adresáře.

Zprávy o skenování maldetu

Maldet ukládá zprávy o skenování pod umístěním adresáře (/usr/local/maldetect/sess/) . Společně s (Scan ID) můžete použít následující příkaz zobrazíte podrobnou zprávu takto:

maldet --report 211018-2316.5816

Příklad:

Dále budete přesměrováni na vyskakovací přehled v textovém editoru (nano) jako příklad níže:

Jak můžete vidět, úplná zpráva seznamu hitů a podrobnosti o souborech jsou k další kontrole a vyšetřování.

Soubor je již uložen (CTRL+X) pro ukončení po dokončení kontroly.

Volitelně, chcete-li infikované soubory z hlášení rychle přesunout do karantény, spusťte následující příkaz:

maldet -q "report number"

Příklad:

maldet -q 211018-2316.5816