Malware op Linux scannen en verwijderen met Maldet

In een wereld waar het gebruik van internet steeds gebruikelijker wordt, aangezien meer dan 90% van de dagelijkse taken, ongeacht de sector, online worden uitgevoerd, zoals het betalen van openbare diensten, toegang tot e-mail, het aanmaken van bestanden en duizenden andere opties, is het gebruikelijk dat al onze gegevens worden blootgesteld en kwetsbaar zijn vanwege de toename van bedreigingen zoals virussen of malware.

Regelmatig horen we dat we bij het gebruik van Linux niet worden blootgesteld aan aanvallen, maar we kunnen de realiteit niet verbergen, aangezien we in een digitale wereld in meer of mindere mate worden blootgesteld, ongeacht het gebruikte besturingssysteem en het is om deze reden dat in Solvetic zullen we in detail analyseren hoe we malware in Linux-omgevingen kunnen analyseren en elimineren, indien aanwezig, en hiervoor zullen we Ubuntu 17.04 gebruiken.

Wat is malwareAllereerst is het belangrijk dat we verduidelijken wat malware of kwaadaardige software betekent, en dit wordt beschouwd als een vervelend of schadelijk type software dat is gemaakt met als doel toegang te krijgen tot elk apparaat zonder te worden gewaarschuwd en zonder dat de gebruiker het merkt.

Sommige soorten malware omvatten spyware (spyware), adware (adware), phishing, virussen, Trojaanse paarden, wormen, rootkits, ransomware en browserkapers die de veiligheid en privacy van het systeem aantasten.

In Windows zagen we al de beste anti-malware. Op het niveau van Linux-omgevingen zijn de meeste aanvallen gericht op het misbruiken van bugs in services zoals Java-containers of browserservices, waarbij het hoofddoel is om de manier waarop de doelservice werkt te veranderen en soms om deze volledig te sluiten, waardoor het normale gebruik wordt aangetast .

Een ander type aanval in Linux is wanneer een aanvaller probeert de inloggegevens van een gebruiker te verkrijgen om toegang te krijgen tot het systeem en alles te hebben wat daar wordt gehost.

Wat is MaldetMaldet of Linux Malware Detect (LMD), is een malwarescanner voor Linux die is ontwikkeld om bedreigingen aan te pakken die veel voorkomen in gedeelde gehoste omgevingen.

Maldet gebruikt dreigingsgegevens van netwerkinbraakdetectiesystemen om malware te extraheren die actief wordt gebruikt bij aanvallen door handtekeningen te genereren voor detectie.

Het is gelicentieerd onder de GNU GPLv2 en de handtekeningen die worden gebruikt in LMD zijn MD5-bestandshashes en HEX-patroonovereenkomsten, die ook gemakkelijk kunnen worden geëxporteerd naar een willekeurig aantal detectietools zoals ClamAV.

Maldet-kenmerkenEnkele van de functies die we in Maldet vinden zijn:

  • HEX op basis van identificatiepatronen om bedreigingsvarianten te identificeren.
  • Functie voor het bijwerken van handtekeningen geïntegreerd met -u | -bijwerken.
  • Statistische analysecomponent voor de detectie van versluierde bedreigingen.
  • Geïntegreerde ClamAV-detectie.
  • Scan-all-optie voor volledig padgebaseerd scannen.
  • Het heeft een quarantainewachtrij die bedreigingen veilig opslaat zonder toestemming.
  • Het heeft een quarantainehersteloptie om bestanden naar het oorspronkelijke pad te herstellen.
  • Schonere regels voor het verwijderen van base64 en gzinflate.
  • Bevat een dagelijks cron-script dat compatibel is met standaard RH-, Cpanel- en Ensim-systemen.
  • Het heeft een dagelijkse cron-scan van alle wijzigingen in de afgelopen 24 uur.
  • Kernel inotify-monitor die gegevens van STDIN- of FILE-pad kan opnemen.
  • De kernel inotify-monitor kan worden beperkt tot een door de gebruiker configureerbare html-root.
  • Het heeft een kernel inotify-monitor met dynamische sysctl-limieten voor optimale prestaties.
  • Genereert e-mailwaarschuwingsrapporten na elke scanrun.
  • Negeer opties op basis van pad, extensie en handtekening.
  • Achtergrondscanneroptie voor scanbewerkingen zonder toezicht.

1. Hoe Maldet op Linux te installeren

Stap 1
Om het proces te starten, is de eerste stap die u moet nemen het downloaden van het ar.gz-bestand van de officiële site met behulp van wget, hiervoor zullen we het volgende in de terminal uitvoeren:

 wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

VERGROTEN

Stap 2
Nu zullen we de inhoud van het gedownloade bestand extraheren door het volgende uit te voeren:

 tar -xvf maldetect-current.tar.gz

VERGROTEN

Stap 3
Vervolgens gaan we naar de map waar de inhoud is geëxtraheerd, in dit geval is dit:

 cd maldetect-1.6.2
Stap 4
Zodra we ons in de map bevinden, zullen we het installatiescript uitvoeren met behulp van de volgende regel:
 sudo ./install.sh

VERGROTEN

2. Maldet configureren op Linux

Stap 1
Zodra de installatie correct is, is het tijd om Maldet te configureren met behulp van het conf.maldet-bestand dat automatisch is gemaakt, we zullen het openen met de gewenste editor:

 sudo nano /usr/local/maldetect/conf.maldet

VERGROTEN

Stap 2
Daar kunnen we op meldingsniveau de volgende instellingen wijzigen:

  • Als we een melding willen ontvangen wanneer er malware wordt gedetecteerd, stellen we de waarde van het veld email_alert in op één (1).
  • In het email_addr veld zullen we het e-mailadres invoeren waar we op de hoogte zullen worden gesteld.
  • In het veld email_ignore_clean kunnen we de waarde instellen op één (1) als we niet willen worden gewaarschuwd wanneer de malware automatisch wordt opgeschoond.

VERGROTEN

Stap 3
In hetzelfde bestand kunnen we de volgende waarden op quarantaineniveau wijzigen:

  • In het veld quarantaine_hits definiëren we de waarde 1 zodat de getroffen bestanden automatisch in quarantaine worden geplaatst.
  • In het veld quarantine_clean kunnen we de waarde 1 definiëren om de getroffen bestanden automatisch op te schonen. Als u deze waarde instelt op 0, kunt u eerst de bestanden inspecteren voordat u ze opschoont.
  • Instelling 1 in het veld quarantine_suspend_use schort de gebruikers op wiens accounts worden beïnvloed, terwijl de parameter "quarantine_suspend_user_minuid" het minimale gebruikers-ID bepaalt dat moet worden opgeschort. Deze is standaard ingesteld op 500.

VERGROTEN

Stap 4
Zodra deze parameters zijn gedefinieerd, slaan we de wijzigingen op met behulp van de toetsen:

Ctrl + O

en we verlaten de editor met:

Ctrl + X

3. Hoe malware in Linux te analyseren met Maldet

Stap 1
Om de analyse op malware uit te voeren, voeren we de volgende syntaxis uit:

 sudo maldet --scan-all / Pad om te scannen

VERGROTEN

Stap 2
Tijdens het installatieproces van Maldet wordt ook een cronjob-functie geïnstalleerd op:

 /etc/cron.daily/maldet
Die de thuismappen scant, evenals alle bestanden of mappen die dagelijks zijn gewijzigd. Met Maldet hebben we een eenvoudige tool om malware in Linux-omgevingen op een eenvoudige en veilige manier te analyseren.

wave wave wave wave wave