Jak skenovat a odstraňovat malware v systému Linux pomocí Maldet

Ve světě, kde je používání internetu stále běžnější, protože více než 90% denních úkolů, bez ohledu na odvětví, se provádí online, jako je platba za veřejné služby, přístup k e -mailům, vytváření souborů a tisíce dalších možnosti, je běžné, že všechna naše data jsou vystavena a zranitelná kvůli nárůstu hrozeb, jako jsou viry nebo malware.

Pravidelně slýcháme, že při používání Linuxu nejsme vystaveni útokům, ale nemůžeme skrývat realitu, protože v digitálním světě budeme vystaveni v menší či větší míře bez ohledu na použitý operační systém, a proto Solvetic budeme podrobně analyzovat, jak analyzovat a eliminovat, pokud existuje, malware v prostředích Linuxu, a proto použijeme Ubuntu 17.04.

Co je malwareNejprve je důležité, abychom objasnili, co znamená malware nebo škodlivý software, a to je považováno za otravný nebo škodlivý typ softwaru, který byl vytvořen za účelem přístupu k jakémukoli zařízení bez varování a bez upozornění uživatele.

Některé druhy malwaru zahrnují spyware (spyware), adware (adware), phishing, viry, trojské koně, červy, rootkity, ransomware a únosce prohlížeče ovlivňující bezpečnost a soukromí systému.

V systému Windows jsme již viděli nejlepší anti-malware. Na úrovni prostředí Linux je většina útoků zaměřena na zneužívání chyb ve službách, jako jsou kontejnery Java nebo služby prohlížeče, kde je hlavním cílem změnit způsob, jakým cílová služba funguje, a někdy ji úplně zavřít, což má vliv na její běžné používání. .

Dalším typem útoku v Linuxu je, když se útočník pokusí získat přihlašovací údaje uživatele pro přístup do systému a mít vše, co je tam hostováno.

Co je MaldetMaldet nebo Linux Malware Detect (LMD) je skener malwaru pro Linux, který byl vyvinut za účelem zvládnutí hrozeb, které jsou běžné ve sdíleném hostovaném prostředí.

Maldet využívá data hrozeb ze systémů detekce vniknutí do sítě k extrahování malwaru, který se aktivně používá při útocích, generováním podpisů pro detekci.

Je licencován pod licencí GNU GPLv2 a podpisy používané v LMD jsou hashování souborů MD5 a shody vzorů HEX, které lze také snadno exportovat do libovolného počtu detekčních nástrojů, jako je ClamAV.

Charakteristika MaldetNěkteré z funkcí, které v Maldetu najdeme, jsou:

  • HEX na základě identifikačních vzorců k identifikaci variant hrozeb.
  • Integrovaná funkce aktualizace podpisu s -u | -Aktualizace.
  • Komponenta statistické analýzy pro detekci zmatených hrozeb.
  • Integrovaná detekce ClamAV.
  • Možnost Scan-all pro skenování na základě úplné cesty.
  • Má karanténní frontu, která bezpečně ukládá hrozby bez oprávnění.
  • Má možnost obnovení karantény pro obnovení souborů na původní cestu.
  • Čistší pravidla pro odstranění base64 a gzinflate.
  • Zahrnuje denní skript cron kompatibilní se skladovými systémy RH, Cpanel a Ensim.
  • Má denní cron sken všech změn za posledních 24 hodin.
  • Monitor inotify jádra, který může přijímat data z cesty STDIN nebo FILE.
  • Monitor inotify jádra může být omezen na uživatelsky konfigurovatelný root html.
  • Má monitor inotify jádra s omezeními dynamického systému pro optimální výkon.
  • Po každém spuštění skenování generuje e -mailové výstražné zprávy.
  • Ignorujte možnosti na základě cesty, rozšíření a podpisu.
  • Možnost skenování na pozadí pro bezobslužné skenování.

1. Jak nainstalovat Maldet na Linux

Krok 1
Chcete -li zahájit proces, musíte jako první krok stáhnout soubor ar.gz z oficiálního webu pomocí wgetu, proto v terminálu provedeme následující:

 wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

ZVĚTŠIT

Krok 2
Nyní extrahujeme obsah staženého souboru provedením následujícího:

 tar -xvf maldetect -current.tar.gz

ZVĚTŠIT

Krok 3
Dále přistoupíme k adresáři, kde byl extrahován obsah, v tomto případě to bude:

 cd maldetect-1.6.2
Krok 4
Jakmile jsme v adresáři, spustíme instalační skript pomocí následujícího řádku:
 sudo ./install.sh

ZVĚTŠIT

2. Jak nakonfigurovat Maldet v systému Linux

Krok 1
Jakmile bude instalace správná, je čas nakonfigurovat Maldet pomocí souboru conf.maldet, který byl vytvořen automaticky, přistoupíme k němu pomocí požadovaného editoru:

 sudo nano /usr/local/maldetect/conf.maldet

ZVĚTŠIT

Krok 2
Na úrovni oznámení můžeme změnit následující nastavení:

  • Pokud chceme obdržet oznámení, když je detekován malware, nastavíme hodnotu pole email_alert na jednu (1).
  • Do pole email_addr zadáme e -mailovou adresu, na kterou budeme upozorněni.
  • Pokud nechceme být upozorněni na automatické čištění malwaru, můžeme v poli email_ignore_clean nastavit jeho hodnotu na jednu (1).

ZVĚTŠIT

Krok 3
Ve stejném souboru můžeme na karanténní úrovni změnit následující hodnoty:

  • V poli quarantine_hits nadefinujeme hodnotu 1, aby se dotčené soubory automaticky uložily do karantény.
  • V poli quarantine_clean můžeme definovat hodnotu 1 pro automatické čištění postižených souborů, pokud nastavíte tuto hodnotu na 0, můžete soubory nejprve vyčistit před jejich čištěním.
  • Nastavení 1 v poli quarantine_suspend_use pozastaví uživatele, jejichž účty jsou ovlivněny, zatímco parametr "quarantine_suspend_user_minuid" stanoví minimální ID uživatele, které musí být pozastaveno. Toto je ve výchozím nastavení nastaveno na 500.

ZVĚTŠIT

Krok 4
Jakmile jsou tyto parametry definovány, uložíme změny pomocí klíčů:

Ctrl + O

a opustíme editor pomocí:

Ctrl + X

3. Jak analyzovat malware v Linuxu pomocí Maldet

Krok 1
K provedení analýzy malwaru provedeme následující syntaxi:

 sudo maldet --scan-all / Cesta ke skenování

ZVĚTŠIT

Krok 2
Během instalace Maldet bude funkce cronjob nainstalována také na:

 /etc/cron.daily/maldet
Který prohledá domovské adresáře, stejně jako všechny soubory nebo složky, které byly denně měněny. S Maldet máme jednoduchý nástroj pro analýzu malwaru v prostředích Linuxu jednoduchým a bezpečným způsobem.

wave wave wave wave wave