Въведение
Един от най -големите проблеми, на които са изложени сървърите, пощата и уеб услугите, е атаки на зловреден софтуер.
Един от методите за предотвратяване на този проблем е Откриване на зловреден софтуер на Linux (LMD), приложение, което може да бъде инсталирано на всяка система Linux и ще предотврати този тип атаки.
Инсталация
Ще приемем, че имаме SSH достъп до сървъра, който използваме за извършване на инсталацията и може да бъде направен от всяка операционна система, тъй като изпълняваме задачата, свързана със сървъра.
1. Влизаме в нашата командна конзола чрез SSH на нашия сървър:
ssh [email protected] [email protected] Паролата: *******2. След като се свържем със сървъра, изтегляме безплатен пакет за откриване на зловреден софтуер на Linux на нашия сървър:
[root @ server1 ~] # wget www.rfxn.com/downloads/maldetect-current.tar.gz3. Разархивирайте файла:
[root @ server1 ~] # tar xfz maldetect-current.tar.gzС инструкция ls можем да проверим в коя директория сте разархивирали, като цяло тя ще се нарича версия на maldetect, в този случай maldetect-1.4.2
4. Влизаме в директорията и продължаваме да инсталираме Maldetect. Ето една инсталация, която ще се види в няколко команди:
[root @ server1 ~] # cd maldetect-1.4.2 [root @ server1 maldetect-1.4.2] # ./install.sh Linux Malware Detect v1.4.1 © 2002-2013, R-fx Networks © 2013, Райън Макдоналд inotifywait © 2007, Rohan McGovern Тази програма може да се разпространява свободно съгласно условията на инсталирането на GNU GPL, завършено в / usr / local / maldetect конфигурационен файл: /usr/local/maldetect/conf.maldet exec файл: / usr / local / maldetect / maldet exec връзка: / usr / local / sbin / maldet exec връзка: / usr / local / sbin / lmd cron.daily: /etc/cron.daily/maldet maldet (10805): {sigup} извършване на проверка за актуализация на подпис … maldet ( 10805): {sigup} локален набор от подписи е версия 201205035915 maldet (10805): {sigup} нов набор от подписи (2013041816820) наличен maldet (10805): {sigup} изтеглен http://www.rfxn.com/downloads/md5. dat maldet (10805): {sigup} изтеглено http://www.rfxn.com/downloads/hex.dat maldet (10805): {sigup} изтеглено http://www.rfxn.com/downloads/rfxn.ndb maldet (10805): {sigup} изтеглено http://www.rfxn.com/downloads/rfxn.hdb maldet (10805): {следващо p} изтеглени http://www.rfxn.com/… aldet-clean.tgz maldet (10805): {sigup} актуализацията на комплекта подписи завършена maldet (10805): {sigup} 11203 подписа (9335 MD5/1868 HEX) След това ние направете актуализация на базата данни с подписи maleare [root @ server1 ~] # maldet -update
Настройка
В командния прозорец пишем по -долу с нашия предпочитан редактор по-голям брат, vim или този, който използваме често:
nano /usr/local/maldetect/conf.maldet
Установяваме дали, когато открие зловреден софтуер, ще ни предупреди по имейл:
- 0 = забранено
- 1 = разрешено
# [0 = деактивирано, 1 = активирано] email_alert = 1Определяме също дали получаваме само предупреждение и преместваме заразения файл в карантина, така че да не може да бъде изпълнен.
# [0 = само предупреждение, 1 = преминете към карантина и предупреждение] quar_hits = 0
Как да сканирате
В зависимост от структурата на сървъра и пътя на домейна или файла за сканиране.
Опцията -a показва всичко сканирайте всички файлове в тази директория.
[root @ server1 maldetect -1.4.2] # maldet -a / home / user / public_htmlЗа да видите последния генериран от нас отчет, ще изпълним:
[root @ server1 maldetect -1.4.2] # maldet -reportПо -долу показваме пример за доклад за злонамерен софтуер, открит при сканиране на всички домейни на сървър, в списъка той ще се види в Списък с удари на файлове името на зловредния софтуер, файла и номера на кодовия ред, където е намерен, в този случай са намерени 2 заразени файла.
[root @ server1 maldetect-1.4.2] # maldet --scan-all / home malware report report scan for server.mydomain.com: SCAN ID: 02233-0315.9516 ВРЕМЕ: 6 ЮНИ 07:02:44 +0300 ПЪТ: / начало * / * / public_html ДИАПАЗОН: 2 дни ОБЩО ФАЙЛОВЕ: 8406 ОБЩО ХИТОВЕ: 1 ОБЩО ПОЧИСТЕНО: 0 СПИСЪК НА ХИТОВИТЕ ФАЙЛОВЕ: {HEX} php.cmdshell.unclassed.344: / home / user1 / public_html / images / upload / files / asphoto.php.pjpg.webp {HEX} php.nested.base64.513: /home/user2/public_html/formulario.phpАко бъде открито фалшиво положително откриване, файлът може да бъде възстановен от карантина с:
[root @ server1 maldetect -1.4.2] # maldet -restore /home/user2/public_html/form.phpИма и други по -разширени настройки за Maldetect, дори за да работи с помощта на Кламав антивирус присъства на много сървъри. Хареса ли ви и помогнахте на този урок?Можете да възнаградите автора, като натиснете този бутон, за да му дадете положителна точка