Linux Malware Detect (LMD) за защита на Linux

Съдържание

Въведение
Един от най -големите проблеми, на които са изложени сървърите, пощата и уеб услугите, е атаки на зловреден софтуер.

Един от методите за предотвратяване на този проблем е Откриване на зловреден софтуер на Linux (LMD), приложение, което може да бъде инсталирано на всяка система Linux и ще предотврати този тип атаки.

Инсталация
Ще приемем, че имаме SSH достъп до сървъра, който използваме за извършване на инсталацията и може да бъде направен от всяка операционна система, тъй като изпълняваме задачата, свързана със сървъра.

1. Влизаме в нашата командна конзола чрез SSH на нашия сървър:

 ssh [email protected] [email protected] Паролата: ******* 
2. След като се свържем със сървъра, изтегляме безплатен пакет за откриване на зловреден софтуер на Linux на нашия сървър:
 [root @ server1 ~] # wget www.rfxn.com/downloads/maldetect-current.tar.gz
3. Разархивирайте файла:
 [root @ server1 ~] # tar xfz maldetect-current.tar.gz
С инструкция ls можем да проверим в коя директория сте разархивирали, като цяло тя ще се нарича версия на maldetect, в този случай maldetect-1.4.2

4. Влизаме в директорията и продължаваме да инсталираме Maldetect. Ето една инсталация, която ще се види в няколко команди:

 [root @ server1 ~] # cd maldetect-1.4.2 [root @ server1 maldetect-1.4.2] # ./install.sh Linux Malware Detect v1.4.1 © 2002-2013, R-fx Networks © 2013, Райън Макдоналд inotifywait © 2007, Rohan McGovern Тази програма може да се разпространява свободно съгласно условията на инсталирането на GNU GPL, завършено в / usr / local / maldetect конфигурационен файл: /usr/local/maldetect/conf.maldet exec файл: / usr / local / maldetect / maldet exec връзка: / usr / local / sbin / maldet exec връзка: / usr / local / sbin / lmd cron.daily: /etc/cron.daily/maldet maldet (10805): {sigup} извършване на проверка за актуализация на подпис … maldet ( 10805): {sigup} локален набор от подписи е версия 201205035915 maldet (10805): {sigup} нов набор от подписи (2013041816820) наличен maldet (10805): {sigup} изтеглен http://www.rfxn.com/downloads/md5. dat maldet (10805): {sigup} изтеглено http://www.rfxn.com/downloads/hex.dat maldet (10805): {sigup} изтеглено http://www.rfxn.com/downloads/rfxn.ndb maldet (10805): {sigup} изтеглено http://www.rfxn.com/downloads/rfxn.hdb maldet (10805): {следващо p} изтеглени http://www.rfxn.com/… aldet-clean.tgz maldet (10805): {sigup} актуализацията на комплекта подписи завършена maldet (10805): {sigup} 11203 подписа (9335 MD5/1868 HEX) След това ние направете актуализация на базата данни с подписи maleare [root @ server1 ~] # maldet -update

Настройка
В командния прозорец пишем по -долу с нашия предпочитан редактор по-голям брат, vim или този, който използваме често:

 nano /usr/local/maldetect/conf.maldet

Установяваме дали, когато открие зловреден софтуер, ще ни предупреди по имейл:

  • 0 = забранено
  • 1 = разрешено
И ние дефинираме пощата, както се вижда на екрана:
 # [0 = деактивирано, 1 = активирано] email_alert = 1
Определяме също дали получаваме само предупреждение и преместваме заразения файл в карантина, така че да не може да бъде изпълнен.
 # [0 = само предупреждение, 1 = преминете към карантина и предупреждение] quar_hits = 0

Как да сканирате


В зависимост от структурата на сървъра и пътя на домейна или файла за сканиране.
Опцията -a показва всичко сканирайте всички файлове в тази директория.
 [root @ server1 maldetect -1.4.2] # maldet -a / home / user / public_html
За да видите последния генериран от нас отчет, ще изпълним:
 [root @ server1 maldetect -1.4.2] # maldet -report
По -долу показваме пример за доклад за злонамерен софтуер, открит при сканиране на всички домейни на сървър, в списъка той ще се види в Списък с удари на файлове името на зловредния софтуер, файла и номера на кодовия ред, където е намерен, в този случай са намерени 2 заразени файла.
 [root @ server1 maldetect-1.4.2] # maldet --scan-all / home malware report report scan for server.mydomain.com: SCAN ID: 02233-0315.9516 ВРЕМЕ: 6 ЮНИ 07:02:44 +0300 ПЪТ: / начало * / * / public_html ДИАПАЗОН: 2 дни ОБЩО ФАЙЛОВЕ: 8406 ОБЩО ХИТОВЕ: 1 ОБЩО ПОЧИСТЕНО: 0 СПИСЪК НА ХИТОВИТЕ ФАЙЛОВЕ: {HEX} php.cmdshell.unclassed.344: / home / user1 / public_html / images / upload / files / asphoto.php.pjpg.webp {HEX} php.nested.base64.513: /home/user2/public_html/formulario.php
Ако бъде открито фалшиво положително откриване, файлът може да бъде възстановен от карантина с:
 [root @ server1 maldetect -1.4.2] # maldet -restore /home/user2/public_html/form.php
Има и други по -разширени настройки за Maldetect, дори за да работи с помощта на Кламав антивирус присъства на много сървъри.

Хареса ли ви и помогнахте на този урок?Можете да възнаградите автора, като натиснете този бутон, за да му дадете положителна точка
wave wave wave wave wave