Kako instalirati i koristiti Linux Malware Detect (LMD) sa ClamAV kao antivirusnim mehanizmom


Zlonamjerni softver, ili zlonamjerni softver, je oznaka koja se daje svakom programu koji ima za cilj ometanje normalnog rada računarskog sistema. Iako su najpoznatiji oblici zlonamjernog softvera virusi, špijunski softver i adware, šteta koju oni namjeravaju uzrokovati može se kretati od krađe privatnih podataka do brisanja osobnih podataka, i svega između, dok je još jedna klasična upotreba zlonamjernog softvera za kontrolu sistema kako bi ga koristili za pokretanje botneta u (D)DoS napadu.

Drugim riječima, ne možete si priuštiti razmišljanje: „Ne moram da štitim svoj sistem(e) od zlonamjernog softvera jer ne pohranjujem nikakve osjetljive ili važne podatke“, jer to nisu jedine mete zlonamjernog softvera.

Iz tog razloga, u ovom članku ćemo objasniti kako instalirati i konfigurirati Linux Malware Detect (aka MalDet ili LMD skraćeno) zajedno sa ClamAV (Antivirus Engine) u RHEL 8/7/6 (gdje je x broj verzije), CentOS 8/7/6 i Fedora 30-32 (ista uputstva rade i na Ubuntu > i Debian sistemi).

Skener zlonamjernog softvera objavljen pod GPL v2 licencom, posebno dizajniran za okruženja za hosting. Međutim, brzo ćete shvatiti da ćete imati koristi od MalDet-a bez obzira na to u kakvom okruženju radite.

Instaliranje LMD-a na RHEL/CentOS i Fedora

LMD nije dostupan iz online spremišta, ali se distribuira kao tarball sa web stranice projekta. Tarball koji sadrži izvorni kod najnovije verzije uvijek je dostupan na sljedećem linku, gdje se može preuzeti komandom wget:

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Zatim moramo raspakirati tarball i ući u direktorij u koji je izvučen njegov sadržaj. Pošto je trenutna verzija 1.6.4, direktorij je maldetect-1.6.4. Tamo ćemo pronaći instalacijsku skriptu, install.sh.

tar -xvf maldetect-current.tar.gz
ls -l | grep maldetect
cd maldetect-1.6.4/
ls

Ako pregledamo instalacijsku skriptu, koja je dugačka samo 75 redaka (uključujući komentare), vidjet ćemo da ne samo da instalira alat već i da vrši prethodnu provjeru da vidi da li je zadani instalacijski direktorij ( /usr/local/maldetect) postoji. Ako nije, skripta kreira instalacijski direktorij prije nego što nastavi.

Konačno, nakon što je instalacija završena, dnevno se izvršavanje putem cron zakazuje postavljanjem skripte cron.daily (pogledajte sliku iznad) u /etc/ cron.daily. Ova pomoćna skripta će, između ostalog, obrisati stare privremene podatke, provjeriti ima li novih LMD izdanja i skenirati zadane Apache i web kontrolne panele (tj. CPanel, DirectAdmin, da spomenemo samo neke) zadane direktorije podataka.

Uz to, pokrenite instalacijsku skriptu kao i obično:

./install.sh

Konfiguriranje detekcije Linux malvera

Konfiguracijom LMD-a se rukuje putem /usr/local/maldetect/conf.maldet i sve opcije su dobro komentirane kako bi konfiguracija bila prilično lak zadatak. U slučaju da zapnete, također možete pogledati /maldetect-1.6.4/README za daljnja uputstva.

U konfiguracijskoj datoteci naći ćete sljedeće odjeljke, zatvorene u uglaste zagrade:

  1. UPOZORENJA NA EMAIL
  2. OPCIJE KARANTINE
  3. OPCIJE SKENIRANJA
  4. STATISTIČKA ANALIZA
  5. OPCIJE MONITORINGA

Svaki od ovih odjeljaka sadrži nekoliko varijabli koje pokazuju kako će se LMD ponašati i koje su funkcije dostupne.

  1. Postavite email_alert=1 ako želite primati obavještenja putem e-pošte o rezultatima inspekcije zlonamjernog softvera. Radi kratkoće, poštu ćemo prosljeđivati samo korisnicima lokalnog sistema, ali možete istražiti i druge opcije kao što je slanje obavještenja putem pošte na van.
  2. Postavite email_subj=”Vaš predmet ovdje” i email_addr=username@localhost ako ste prethodno postavili email_alert=1.
  3. Sa quar_hits, zadanom karantenskom radnjom za pogotke zlonamjernog softvera (0=samo upozorenje, 1=prijelaz u karantin i upozorenje) reći ćete LMD-u šta da radi kada se malver otkrije.
  4. quar_clean će vam omogućiti da odlučite da li želite očistiti injekcije zlonamjernog softvera zasnovane na nizovima. Imajte na umu da je string potpis, po definiciji, „neprekidni niz bajtova koji potencijalno može odgovarati mnogim varijantama porodice zlonamjernog softvera“.
  5. quar_susp, zadana akcija obustavljanja za korisnike sa pogocima, omogućit će vam da onemogućite račun čiji su fajlovi u vlasništvu identificirani kao pogoci.
  6. clamav_scan=1 će reći LMD-u da pokuša otkriti prisustvo ClamAV binarne datoteke i koristiti kao zadani mehanizam skenera. Ovo daje do četiri puta brže performanse skeniranja i superiornu hex analizu. Ova opcija koristi samo ClamAV kao mehanizam skenera, a LMD potpisi su i dalje osnova za otkrivanje prijetnji.

Sumirajući, redovi sa ovim varijablama bi trebali izgledati na sljedeći način u /usr/local/maldetect/conf.maldet:

email_alert=1
email_addr=gacanepa@localhost
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quar_hits=1
quar_clean=1
quar_susp=1
clam_av=1

Instaliranje ClamAV-a na RHEL/CentOS i Fedora

Da instalirate ClamAV kako biste iskoristili postavku clamav_scan, slijedite ove korake:

Omogućite EPEL spremište.

yum install epel-release

Zatim uradite:


yum update && yum install clamd
apt update && apt-get install clamav clamav-daemon  [Ubuntu/Debian]

Napomena: Ovo su samo osnovna uputstva za instalaciju ClamAV-a kako biste ga integrirali sa LMD-om. Nećemo ulaziti u detalje što se tiče ClamAV postavki jer kao što smo ranije rekli, LMD potpisi su i dalje osnova za otkrivanje i čišćenje prijetnji.

Testiranje detekcije Linux malvera

Sada je vrijeme da testiramo našu nedavnu LMD/ClamAV instalaciju. Umjesto korištenja pravog zlonamjernog softvera, koristit ćemo EICAR test datoteke, koje su dostupne za preuzimanje sa EICAR web stranice.

cd /var/www/html
wget http://www.eicar.org/download/eicar.com 
wget http://www.eicar.org/download/eicar.com.txt 
wget http://www.eicar.org/download/eicar_com.zip 
wget http://www.eicar.org/download/eicarcom2.zip 

U ovom trenutku, možete ili pričekati da se sljedeći cron posao pokrene ili sami izvršite maldet ručno. Ići ćemo na drugu opciju:

maldet --scan-all /var/www/

LMD također prihvata zamjenske znakove, tako da ako želite skenirati samo određenu vrstu datoteke (npr. zip datoteke), možete to učiniti:

maldet --scan-all /var/www/*.zip

Kada je skeniranje završeno, možete provjeriti e-poštu koju je poslao LMD ili pogledati izvještaj sa:

maldet --report 021015-1051.3559

Gdje je 021015-1051.3559 SCANID (SCANID će biti malo drugačiji u vašem slučaju).

Važno: Imajte na umu da je LMD pronašao 5 pogodaka pošto je eicar.com fajl dva puta preuzet (što je rezultiralo eicar.com i eicar.com.1).

Ako provjerite mapu karantina (upravo sam ostavio jednu od datoteka, a obrisao ostale), vidjet ćemo sljedeće:

ls -l

Zatim možete ukloniti sve datoteke u karantinu pomoću:

rm -rf /usr/local/maldetect/quarantine/*

u slučaju da,

maldet --clean SCANID

Ne obavlja posao iz nekog razloga. Možete pogledati sljedeći screencast za postupno objašnjenje gore navedenog procesa:

Završna razmatranja

Pošto maldet mora biti integrisan sa cronom, morate postaviti sljedeće varijable u root crontab (ukucajte crontab -e kao root i pritisnite Enter taster) u slučaju da primijetite da LMD ne radi ispravno na dnevnoj bazi:

PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
SHELL=/bin/bash

Ovo će pomoći u pružanju potrebnih informacija za otklanjanje grešaka.

Zaključak

U ovom članku smo raspravljali o tome kako instalirati i konfigurirati Linux Malware Detect, zajedno sa ClamAV, moćnim saveznikom. Uz pomoć ova 2 alata, otkrivanje zlonamjernog softvera trebao bi biti prilično lak zadatak.

Međutim, učinite sebi uslugu i upoznajte se sa datotekom README kao što je ranije objašnjeno, i moći ćete biti sigurni da se vaš sistem dobro vodi i da se njime dobro upravlja.

Ne ustručavajte se ostaviti svoje komentare ili pitanja, ako ih ima, koristeći formu ispod.

Referentne veze

LMD Homepage