Zoeken op website

Hoe Linux Malware Detect (LMD) te installeren en te gebruiken met ClamAV als antivirusengine

Malware, of kwaadaardige software, is de aanduiding die wordt gegeven aan elk programma dat tot doel heeft de normale werking van een computersysteem te verstoren. Hoewel de meest bekende vormen van malware virussen, spyware en adware zijn, kan de schade die ze willen veroorzaken variëren van het stelen van privé-informatie tot het verwijderen van persoonlijke gegevens en alles daartussenin. Een ander klassiek gebruik van malware is het controleren van de systeem om het te gebruiken om botnets te lanceren bij een (D)DoS-aanval.

Met andere woorden, je kunt het je niet veroorloven om te denken: “Ik hoef mijn systeem(en) niet te beveiligen tegen malware, aangezien ik geen gevoelige of belangrijke gegevens opsla”, omdat dit niet de enige doelwitten van malware zijn.

Om die reden leggen we in dit artikel uit hoe je Linux Malware Detect (ook wel MalDet of kortweg LMD) installeert en configureert, samen met ClamAV (Antivirus Engine) in RHEL 8/7/6 (waarbij x het versienummer is), CentOS 8/7/6 en Fedora 30-32 (dezelfde instructies werken ook op Ubuntu > en Debian systemen).

Een malwarescanner uitgebracht onder de GPL v2-licentie, speciaal ontworpen voor hostingomgevingen. U zult echter snel merken dat u profiteert van MalDet, ongeacht in welke omgeving u werkt.

LMD installeren op RHEL/CentOS en Fedora

LMD is niet beschikbaar via online opslagplaatsen, maar wordt als tarball verspreid via de website van het project. De tarball met de broncode van de nieuwste versie is altijd beschikbaar via de volgende link, waar deze kan worden gedownload met de opdracht wget:

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Vervolgens moeten we de tarball uitpakken en de map openen waar de inhoud is uitgepakt. Omdat de huidige versie 1.6.4 is, is de directory maldetect-1.6.4. Daar zullen we het installatiescript vinden, install.sh.

tar -xvf maldetect-current.tar.gz
ls -l | grep maldetect
cd maldetect-1.6.4/
ls

Als we het installatiescript inspecteren, dat slechts 75 regels lang is (inclusief commentaar), zullen we zien dat het niet alleen de tool installeert, maar ook een controle vooraf uitvoert om te zien of de standaardinstallatiemap ( /usr/local/maldetect) bestaat. Als dit niet het geval is, maakt het script de installatiemap voordat u verdergaat.

Ten slotte wordt, nadat de installatie is voltooid, een dagelijkse uitvoering via cron gepland door het cron.daily-script (zie de afbeelding hierboven) in /etc/ te plaatsen cron.daily. Dit helperscript zal onder andere oude tijdelijke gegevens wissen, controleren op nieuwe LMD-releases en de standaard Apache- en webcontrolepanelen (d.w.z. CPanel, DirectAdmin, om er maar een paar te noemen) standaardgegevensmappen scannen.

Dat gezegd hebbende, voer het installatiescript zoals gewoonlijk uit:

./install.sh

Linux-malwaredetectie configureren

De configuratie van LMD wordt afgehandeld via /usr/local/maldetect/conf.maldet en alle opties zijn goed voorzien van commentaar om de configuratie een vrij gemakkelijke taak te maken. Als u vastloopt, kunt u ook /maldetect-1.6.4/README raadplegen voor verdere instructies.

In het configuratiebestand vindt u de volgende secties, tussen vierkante haakjes:

  1. EMAIL WAARSCHUWINGEN
  2. QUARANTAINE OPTIES
  3. SCAN OPTIES
  4. STATISTISCHE ANALYSE
  5. MONITORINGSMOGELIJKHEDEN

Elk van deze secties bevat verschillende variabelen die aangeven hoe LMD zich zal gedragen en welke functies beschikbaar zijn.

  1. Stel email_alert=1 in als u e-mailmeldingen wilt ontvangen over de resultaten van malware-inspecties. Kortheidshalve sturen we alleen e-mail door naar lokale systeemgebruikers, maar u kunt ook andere opties verkennen, zoals het verzenden van e-mailwaarschuwingen naar buiten.
  2. Stel email_subj=”Uw onderwerp hier” en email_addr=gebruikersnaam@localhost in als u eerder email_alert=1 heeft ingesteld.
  3. Met quar_hits, de standaard quarantaineactie voor malwarehits (0=alleen waarschuwing, 1=naar quarantaine en waarschuwing verplaatsen), vertelt u LMD wat hij moet doen als er malware wordt gedetecteerd.
  4. Met quar_clean kunt u beslissen of u stringgebaseerde malware-injecties wilt opschonen. Houd er rekening mee dat een stringhandtekening per definitie “een aaneengesloten bytereeks is die potentieel kan overeenkomen met vele varianten van een malwarefamilie”.
  5. Met quar_susp, de standaard opschortingsactie voor gebruikers met treffers, kunt u een account uitschakelen waarvan de bestanden in eigendom zijn geïdentificeerd als treffers.
  6. clamav_scan=1 zal LMD vertellen om te proberen de aanwezigheid van het binaire ClamAV-bestand te detecteren en als standaard scanner-engine te gebruiken. Dit levert tot vier keer snellere scanprestaties en superieure hex-analyse op. Deze optie gebruikt alleen ClamAV als scannerengine en LMD-handtekeningen vormen nog steeds de basis voor het detecteren van bedreigingen.

Samenvattend zouden de regels met deze variabelen er als volgt uit moeten zien in /usr/local/maldetect/conf.maldet:

email_alert=1
email_addr=gacanepa@localhost
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quar_hits=1
quar_clean=1
quar_susp=1
clam_av=1

ClamAV installeren op RHEL/CentOS en Fedora

Volg deze stappen om ClamAV te installeren en te profiteren van de instelling clamav_scan:

Schakel EPEL-repository in.

yum install epel-release

Dan doen:


yum update && yum install clamd
apt update && apt-get install clamav clamav-daemon  [Ubuntu/Debian]

Opmerking: dit zijn slechts de basisinstructies om ClamAV te installeren en te integreren met LMD. We zullen niet in detail treden wat de ClamAV-instellingen betreft, omdat, zoals we eerder zeiden, LMD-handtekeningen nog steeds de basis vormen voor het detecteren en opschonen van bedreigingen.

Linux-malwaredetectie testen

Nu is het tijd om onze recente LMD/ClamAV installatie te testen. In plaats van echte malware te gebruiken, gebruiken we de EICAR-testbestanden, die u kunt downloaden van de EICAR-website.

cd /var/www/html
wget http://www.eicar.org/download/eicar.com 
wget http://www.eicar.org/download/eicar.com.txt 
wget http://www.eicar.org/download/eicar_com.zip 
wget http://www.eicar.org/download/eicarcom2.zip

Op dit punt kunt u wachten tot de volgende cron-taak wordt uitgevoerd of maldet zelf handmatig uitvoeren. We gaan voor de tweede optie:

maldet --scan-all /var/www/

LMD accepteert ook jokertekens, dus als u alleen een bepaald type bestand wilt scannen (bijvoorbeeld zip-bestanden), kunt u dat doen:

maldet --scan-all /var/www/*.zip

Wanneer het scannen is voltooid, kunt u de e-mail controleren die door LMD is verzonden of het rapport bekijken met:

maldet --report 021015-1051.3559

Waar 021015-1051.3559 de SCANID is (de SCANID zal in uw geval enigszins afwijken).

Belangrijk: houd er rekening mee dat LMD 5 treffers heeft gevonden sinds het eicar.com-bestand tweemaal is gedownload (wat resulteert in eicar.com en eicar.com.1).

Als u de quarantainemap controleert (ik heb zojuist een van de bestanden achtergelaten en de rest verwijderd), zien we het volgende:

ls -l

Vervolgens kunt u alle in quarantaine geplaatste bestanden verwijderen met:

rm -rf /usr/local/maldetect/quarantine/*

In het geval dat,

maldet --clean SCANID

Krijgt de klus om de een of andere reden niet gedaan. U kunt de volgende screencast raadplegen voor een stapsgewijze uitleg van het bovenstaande proces:

Laatste overwegingen

Omdat maldet geïntegreerd moet worden met cron, moet je de volgende variabelen instellen in de crontab van root (type crontab -e als root en druk op de knop Enter-toets) voor het geval u merkt dat LMD niet dagelijks correct werkt:

PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
SHELL=/bin/bash

Dit zal helpen bij het verschaffen van de nodige foutopsporingsinformatie.

Conclusie

In dit artikel hebben we besproken hoe je Linux Malware Detect kunt installeren en configureren, samen met ClamAV, een krachtige bondgenoot. Met behulp van deze twee tools zou het detecteren van malware een vrij gemakkelijke taak moeten zijn.

Doe uzelf echter een plezier en raak vertrouwd met het README-bestand, zoals eerder uitgelegd, en u kunt er zeker van zijn dat uw systeem goed wordt beheerd en beheerd.

Aarzel niet om uw eventuele opmerkingen of vragen achter te laten via het onderstaande formulier.

Referentiekoppelingen

LMD-startpagina