Linux Malware Detect (LMD) pro zabezpečení Linuxu

Úvod
Jedním z největších problémů, kterým jsou servery, pošta a webové služby vystaveny, jsou útoky malwaru.

Jednou z metod, jak tomuto problému zabránit, je Linux Malware Detect (LMD), aplikace, kterou lze nainstalovat na jakýkoli systém Linux a zabrání tomuto typu útoku.

Instalace
Budeme předpokládat, že máme přístup SSH k serveru, který používáme k provedení instalace, a lze to provést z jakéhokoli operačního systému, protože provádíme úlohu připojenou k serveru.

1. Vstupujeme do naší příkazové konzoly pomocí SSH na náš server:

 ssh [email protected] [email protected] heslo: ******* 

2. Jakmile se připojíme k serveru, stáhneme soubor bezplatný balíček Linux Malware Detect na našem serveru:

 [root @ server1 ~] # wget www.rfxn.com/downloads/maldetect-current.tar.gz

3. Rozbalte soubor:

 [root @ server1 ~] # tar xfz maldetect-current.tar.gz

S poučením ls můžeme zkontrolovat, ve kterém adresáři jste rozbalili, bude obecně nazýván jako verze maldetect v tomto případě maldetect-1.4.2

4. Vstoupíme do adresáře a pokračujeme v instalaci Maldetect. Zde je instalace, kterou uvidíte v několika příkazech:

 [root @ server1 ~] # cd maldetect-1.4.2 [root @ server1 maldetect-1.4.2] # ./install.sh Linux Malware Detect v1.4.1 © 2002-2013, R-fx Networks © 2013, Ryan MacDonald inotifywait © 2007, Rohan McGovern Tento program může být volně redistribuován za podmínek instalace GNU GPL dokončené do / usr / local / maldetect konfiguračního souboru: /usr/local/maldetect/conf.maldet exec file: / usr / local / maldetect / maldet exec link: / usr / local / sbin / maldet exec link: / usr / local / sbin / lmd cron.daily: /etc/cron.daily/maldet maldet (10805): {sigup} provádění kontroly aktualizace podpisu … maldet ( 10805): {sigup} místní sada podpisů je verze 201205035915 maldet (10805): {sigup} nová sada podpisů (2013041816820) dostupná maldet (10805): {sigup} stažena http://www.rfxn.com/downloads/md5. dat maldet (10805): {sigup} staženo http://www.rfxn.com/downloads/hex.dat maldet (10805): {sigup} staženo http://www.rfxn.com/downloads/rfxn.ndb maldet (10805): {sigup} staženo http://www.rfxn.com/downloads/rfxn.hdb maldet (10805): {další p} staženo http://www.rfxn.com/… aldet-clean.tgz maldet (10805): {sigup} aktualizace sady podpisů dokončena maldet (10805): {sigup} 11203 podpisů (9335 MD5/1868 HEX) Pak jsme proveďte aktualizaci podpisové databáze maleare [root @ server1 ~] # maldet -update

Nastavení
V příkazovém okně píšeme níže pomocí námi preferovaného editoru starší bratr, vim nebo ten, který často používáme:

 nano /usr/local/maldetect/conf.maldet

Zjistíme, zda nás v případě malwaru upozorní e -mailem:

• 0 = deaktivováno
• 1 = povoleno

A definujeme poštu, jak je vidět na snímku obrazovky:

 # [0 = deaktivováno, 1 = povoleno] email_alert = 1

Rovněž definujeme, zda přijímáme pouze upozornění, a přesuneme infikovaný soubor do karantény, aby jej nebylo možné spustit.

 # [0 = pouze upozornění, 1 = přesun do karantény a upozornění] quar_hits = 0

Jak skenovat

V závislosti na struktuře serveru a cestě domény nebo souboru, který má být zkontrolován.
Volba -a označuje Všechno skenovat všechny soubory v tomto adresáři.

 [root @ server1 maldetect -1.4.2] # maldet -a / home / user / public_html

Abychom viděli poslední report, který jsme vygenerovali, spustíme:

 [root @ server1 maldetect -1.4.2] # maldet -report

Níže uvádíme příklad zprávy o malwaru nalezené při skenování všech domén serveru, v seznamu se zobrazí v Seznam požadavků na soubor název malwaru, soubor a číslo řádku kódu, kde se nachází, v tomto případě byly nalezeny 2 infikované soubory.

 [root @ server1 maldetect-1.4.2] # maldet --scan-all / home malware detect report report for server.mydomain.com: SCAN ID: 02233-0315.9516 TIME: JUN 6 07:02:44 +0300 PATH: / home * / * / public_html ROZSAH: 2 dny CELKOVÉ SOUBORY: 8406 CELKOVÉ HITS: 1 CELKEM ČIŠTĚNO: 0 SEZNAM HITŮ SOUBORŮ: {HEX} php.cmdshell.unclassed.344: / home / user1 / public_html / images / upload / files / asphoto.php.pjpg.webp {HEX} php.nested.base64.513: /home/user2/public_html/formulario.php

Pokud je nalezena falešně pozitivní detekce, lze soubor obnovit z karantény pomocí:

 [root @ server1 maldetect -1.4.2] # maldet -restore /home/user2/public_html/form.php

Existují další pokročilejší nastavení pro Špatně, i když to funguje pomocí Clamav antivirus přítomný na mnoha serverech.

Líbil se vám tento návod a pomohl mu?Autora můžete odměnit stisknutím tohoto tlačítka, čímž mu dáte kladný bod