Linux Malware Detect (LMD) om Linux te beveiligen

Inhoudsopgave

Invoering
Een van de grootste problemen waaraan servers, e-mail en webservices worden blootgesteld, zijn de malware-aanvallen.

Een van de methoden om dit probleem te voorkomen is: Linux Malware Detect (LMD), een applicatie die op elk Linux-systeem kan worden geïnstalleerd en dit type aanval zal voorkomen.

Installatie
We gaan ervan uit dat we SSH-toegang hebben tot de server die we gebruiken om de installatie uit te voeren en dit kan worden gedaan vanaf elk besturingssysteem, aangezien we de taak uitvoeren die op de server is aangesloten.

1. We voeren onze opdrachtconsole via SSH in op onze server:

 ssh [email protected] [email protected]'s wachtwoord: ****** 
2. Zodra we verbinding hebben gemaakt met de server, downloaden we de gratis Linux Malware Detect-pakket op onze server:
 [root @ server1 ~] # wget www.rfxn.com/downloads/maldetect-current.tar.gz
3. Pak het bestand uit:
 [root @ server1 ~] # tar xfz maldetect-current.tar.gz
Met instructie ls we kunnen controleren in welke map je het hebt uitgepakt, het zal over het algemeen worden aangeroepen als de versie van maldetect in dit geval maldetect-1.4.2

4. We gaan de map binnen en gaan verder met het installeren van Maldetect. Hier is een installatie die te zien is in een paar opdrachten:

 [root @ server1 ~] # cd maldetect-1.4.2 [root @ server1 maldetect-1.4.2] # ./install.sh Linux Malware Detect v1.4.1 © 2002-2013, R-fx Networks © 2013, Ryan MacDonald inotifywait © 2007, Rohan McGovern Dit programma mag vrij worden gedistribueerd onder de voorwaarden van de GNU GPL-installatie voltooid naar / usr / local / maldetect configuratiebestand: /usr/local/maldetect/conf.maldet exec-bestand: / usr / local / maldetect / maldet exec link: / usr / local / sbin / maldet exec link: / usr / local / sbin / lmd cron.daily: /etc/cron.daily/maldet maldet (10805): {sigup} voert een handtekeningupdatecontrole uit… maldet ( 10805): {sigup} lokale handtekeningset is versie 201205035915 maldet (10805): {sigup} nieuwe handtekeningset (2013041816820) beschikbaar maldet (10805): {sigup} gedownload http://www.rfxn.com/downloads/md5. dat maldet (10805): {sigup} gedownload http://www.rfxn.com/downloads/hex.dat maldet (10805): {sigup} gedownload http://www.rfxn.com/downloads/rfxn.ndb maldet (10805): {sigup} gedownload http://www.rfxn.com/downloads/rfxn.hdb maldet (10805): {volgende p} gedownload http://www.rfxn.com/… aldet-clean.tgz maldet (10805): {sigup} handtekeningset update voltooid maldet (10805): {sigup} 11203 handtekeningen (9335 MD5 / 1868 HEX) doe een update van de maleare signature database [root @ server1 ~] # maldet -update

Instelling
In het opdrachtvenster schrijven we hieronder met onze voorkeurseditor oudere broer, vim of degene die we vaak gebruiken:

 nano /usr/local/maldetect/conf.maldet

We stellen vast of het ons per e-mail waarschuwt wanneer het malware vindt:

  • 0 = uitgeschakeld
  • 1 = ingeschakeld
En we definiëren de e-mail, zoals te zien is in de schermafbeelding:
 # [0 = uitgeschakeld, 1 = ingeschakeld] email_alert = 1
We definiëren ook of we alleen een waarschuwing ontvangen en verplaatsen het geïnfecteerde bestand naar quarantaine zodat het niet kan worden uitgevoerd.
 # [0 = alleen waarschuwing, 1 = verplaatsen naar quarantaine & waarschuwing] quar_hits = 0

Hoe te scannen?


Afhankelijk van de structuur van de server en het pad van het te scannen domein of bestand.
De -a optie geeft aan Alle scan alle bestanden in die map.
 [root @ server1 maldetect-1.4.2] # maldet -a / home / user / public_html
Om het laatste rapport te zien dat we hebben gegenereerd, voeren we het volgende uit:
 [root @ server1 maldetect-1.4.2] # maldet -report
Hieronder tonen we een voorbeeld van een malwarerapport gevonden in een scan van alle domeinen van een server, in de lijst zal het worden gezien in Bestandshitlijst de naam van de malware, het bestand en het nummer van de coderegel waar het is gevonden, in dit geval zijn er 2 geïnfecteerde bestanden gevonden.
 [root @ server1 maldetect-1.4.2] # maldet --scan-all / home malware detect scanrapport voor server.mydomain.com: SCAN ID: 02233-0315.9516 TIJD: 6 JUNI 07:02:44 +0300 PATH: / home * / * / public_html BEREIK: 2 dagen TOTAAL BESTANDEN: 8406 TOTAAL HITS: 1 TOTAAL GESCHOOND: 0 BESTANDEN HIT LIJST: {HEX} php.cmdshell.unclassed.344: / home / user1 / public_html / afbeeldingen / upload / bestanden / asphoto.php.pjpg.webp {HEX} php.nested.base64.513: /home/user2/public_html/formulario.php
Als er een fout-positieve detectie wordt gevonden, kan het bestand uit quarantaine worden hersteld met:
 [root @ server1 maldetect-1.4.2] # maldet -restore /home/user2/public_html/form.php
Er zijn andere, meer geavanceerde instellingen voor: maldetect, zelfs om het te laten werken met de Clamav-antivirus aanwezig op veel servers.

Vond je deze tutorial leuk en hielp je hem?Je kunt de auteur belonen door op deze knop te drukken om hem een ​​positief punt te geven
wave wave wave wave wave