☕ Установите и используйте Linux Malware Detect в CentOS / Fedora / Ubuntu / Debian — Information Security Squad

☕ Установите и используйте Linux Malware Detect в CentOS / Fedora / Ubuntu / Debian

Linux Malware Detect (LMD) — это сканер вредоносных программ для Linux, выпущенный под лицензией GNU GPLv2, который разработан с учетом угроз, с которыми сталкиваются в общих размещенных средах.

В этом руководстве мы обсудим, как установить и использовать Linux Malware Detect в Linux — CentOS / Fedora / Ubuntu / Debian / Arch и так далее.

LMD использует данные об угрозах из систем обнаружения вторжений на границе сети для извлечения вредоносных программ, которые активно используются в атаках, и создает сигнатуры для обнаружения.

Данные об угрозах также могут быть получены из пользовательских представлений с функцией проверки LMD и из ресурсов сообщества вредоносных программ.

Сигнатуры LMD — это хеши файлов MD5 и совпадения с шаблоном HEX, которые можно легко экспортировать в любое количество инструментов обнаружения, таких как ClamAV.

Установка Linux Malware Detect в Linux — CentOS / Fedora / Ubuntu / Debian

Мы клонируем проект из репозитория Github и запустим скрипт установщика, чтобы Linux Malware Detect работал в нашей системе Linux — CentOS / Fedora / Ubuntu / Debian / Arch !

Шаг 1: клонировать репозиторий проекта.

Проект Linux Malware Detect находится на Github.

Загрузите его с помощью команды git, которую легко установить через менеджер системных пакетов — apt для систем на основе Debian, yum / dnf для RHEL / Fedora или pacman для Arch и его производных.

# RHEL/CentOS
sudo yum -y install git
sudo dnf -y install git

# Ubuntu/Debian
sudo apt-get -y install git

# Arch/Manjaro
sudo pacman -S git

Клонируйте код из Github.

$ git clone https://github.com/rfxn/linux-malware-detect.git
Cloning into 'linux-malware-detect'...
remote: Enumerating objects: 81, done.
remote: Counting objects: 100% (81/81), done.
remote: Compressing objects: 100% (49/49), done.
remote: Total 1991 (delta 47), reused 57 (delta 32), pack-reused 1910
Receiving objects: 100% (1991/1991), 1.79 MiB | 1.56 MiB/s, done.
Resolving deltas: 100% (1446/1446), done.

Шаг 2: Запустите установочный скрипт

Как только исходный код станет доступен локально, перейдите в каталог проекта и запустите установочный скрипт install.sh с помощью sudo.

$ cd linux-malware-detect/
$ sudo ./install.sh 

Created symlink from /etc/systemd/system/multi-user.target.wants/maldet.service to /usr/lib/systemd/system/maldet.service.
Linux Malware Detect v1.6.4
            (C) 2002-2019, R-fx Networks <proj@r-fx.org>
            (C) 2019, Ryan MacDonald <ryan@r-fx.org>
This program may be freely redistributed under the terms of the GNU GPL

installation completed to /usr/local/maldetect
config file: /usr/local/maldetect/conf.maldet
exec file: /usr/local/maldetect/maldet
exec link: /usr/local/sbin/maldet
exec link: /usr/local/sbin/lmd
cron.daily: /etc/cron.daily/maldet
maldet(6686): {sigup} performing signature update check...
maldet(6686): {sigup} could not determine signature version
maldet(6686): {sigup} signature files missing or corrupted, forcing update...
maldet(6686): {sigup} new signature set 2019052829145 available
maldet(6686): {sigup} downloading https://cdn.rfxn.com/downloads/maldet-sigpack.tgz
maldet(6686): {sigup} downloading https://cdn.rfxn.com/downloads/maldet-cleanv2.tgz
maldet(6686): {sigup} verified md5sum of maldet-sigpack.tgz
maldet(6686): {sigup} unpacked and installed maldet-sigpack.tgz
maldet(6686): {sigup} verified md5sum of maldet-clean.tgz
maldet(6686): {sigup} unpacked and installed maldet-clean.tgz
maldet(6686): {sigup} signature set update completed
maldet(6686): {sigup} 15519 signatures (12707 MD5 | 2035 HEX | 777 YARA | 0 USER)

Подтвердите установленную версию Linux Malware Detect.

$ maldet --version
Linux Malware Detect v1.6.4
             (C) 2002-2019, R-fx Networks proj@rfxn.com
             (C) 2019, Ryan MacDonald ryan@rfxn.com
This program may be freely redistributed under the terms of the GNU GPL v2
 public scanning is currently disabled (scan_user_access=0), please contact your system administrator to enable scan_user_access in conf.maldet

Шаг 3. Настройка обнаружения вредоносных программ в Linux (LMD)

Основной файл конфигурации Linux Malware Detect находится в /usr/local/maldetect/conf.maldet.

Чтобы внести изменения, откройте файл для редактирования в вашем любимом редакторе.

$ sudo vim /usr/local/maldetect/conf.maldet 
-- или ---
$ sudo nano /usr/local/maldetect/conf.maldet 

Чтобы получать оповещения, включите его и установите адрес электронной почты.

email_alert="1"
email_addr="admin@itsecforu.ru"

Просмотрите весь файл и настройте его в соответствии со своим хотением.

Шаг 4. Использование Linux Malware Detect (LMD)

1 — сканирование каталога с помощью Linux Malware Detect

Чтобы проверить каталог на наличие вредоносных программ с помощью Linux Malware Detect, используйте синтаксис команды:

$ sudo maldet -a /path/to/directory

Опция -a или —scan-all означает сканирование всех файлов в указанном пути.

Если каталог не указан, по умолчанию будет /home, можно использовать подстановочный знак, например

maldet -a /home/?/public_html

Чтобы проверить все доступные параметры, используйте:

$ sudo maldet --help

Пример:

$ sudo maldet -a /srv/
Linux Malware Detect v1.6.4
            (C) 2002-2019, R-fx Networks <proj@rfxn.com>
            (C) 2019, Ryan MacDonald <ryan@rfxn.com>
This program may be freely redistributed under the terms of the GNU GPL v2

maldet(3872): {scan} signatures loaded: 15519 (12707 MD5 | 2035 HEX | 777 YARA | 0 USER)
maldet(3872): {scan} building file list for /srv/, this might take awhile...
maldet(3872): {scan} setting nice scheduler priorities for all operations: cpunice 19 , ionice 6
maldet(3872): {scan} file list completed in 1s, found 110257 files...
maldet(3872): {scan} found clamav binary at /bin/clamscan, using clamav scanner engine...
maldet(3872): {scan} scan of /srv/ (110257 files) in progress...
maldet(3872): {scan} processing scan results for hits: 1 hits 0 cleaned
maldet(3872): {scan} scan completed on /srv/: files 110257, malware hits 1, cleaned hits 0, time 467s
maldet(3872): {scan} scan report saved, to view run: maldet --report 190603-1946.3872
maldet(3872): {scan} quarantine is disabled! set quarantine_hits=1 in conf.maldet or to quarantine results run: maldet -q 190603-1946.3872

Просмотрите результаты сканирования, выполнив команду, показанную ближе к концу.

$ sudo maldet --report 190603-1946.3872

2 — Сканирование файлов или путей, определенных в файле через интервал

Вы также можете указать файл со списком путей для сканирования.

$ cat files_to_scan.list
/srv
/var
/root
/home
/var/www/?/public_html

Затем запустите сканирование.

$ maldet  -f  /root/files_to_scan.list
Linux Malware Detect v1.6.4
            (C) 2002-2019, R-fx Networks <proj@rfxn.com>
            (C) 2019, Ryan MacDonald <ryan@rfxn.com>
This program may be freely redistributed under the terms of the GNU GPL v2

maldet(4248): {scan} signatures loaded: 15519 (12707 MD5 | 2035 HEX | 777 YARA | 0 USER)
maldet(4248): {scan} user supplied file list '/root/files_to_scan.list', found 5 files...
maldet(4248): {scan} scan of  (5 files) in progress...
maldet(4248): {scan} 5/5 files scanned: 0 hits 0 cleaned

maldet(4248): {scan} scan completed on : files 5, malware hits 0, cleaned hits 0, time 0s
maldet(4248): {scan} scan report saved, to view run: maldet --report 190603-0951.4248

Чтобы просмотреть сгенерированный отчет о сканировании, запустите показанную команду.

$ maldet --report 190603-0951.4248

3 — проверять только файлы, измененные за последние x дней

Если вам нужно проверить только файлы, созданные / измененные за последние X дней, используйте параметр -r.

Если параметр не передан, по умолчанию используется последние 7 дней.

Пример ниже будет сканировать каталог /srv на файлы, измененные за последние 5 дней.

sudo maldet -r /srv 5

Проверьте каталог веб-содержимого, за последние 10 дней.

sudo maldet -r /var/www/?/public_html 10

4 — Обновление Linux Malware Detect

Чтобы обновить сигнатуры обнаружения вредоносных программ с сайта rfxn.com, запустите:

$ sudo maldet -u
Linux Malware Detect v1.6.4
            (C) 2002-2019, R-fx Networks <proj@rfxn.com>
            (C) 2019, Ryan MacDonald <ryan@rfxn.com>
This program may be freely redistributed under the terms of the GNU GPL v2

maldet(6021): {sigup} performing signature update check...
maldet(6021): {sigup} local signature set is version 201906014705
maldet(6021): {sigup} latest signature set already installed

5 — обновить установленную версию LMD

Чтобы получить последнюю версию LMD от rfxn.com, используйте:

$ sudo maldet -d
Linux Malware Detect v1.6.4
            (C) 2002-2019, R-fx Networks <proj@rfxn.com>
            (C) 2019, Ryan MacDonald <ryan@rfxn.com>
This program may be freely redistributed under the terms of the GNU GPL v2

maldet(6212): {update} checking for available updates...
maldet(6212): {update} hashing install files and checking against server...
maldet(6212): {update} latest version already installed.

6 — Выполнить под указанным пользователем

Если сканирование выполняется как задание cron или как скрипт, вам может потребоваться указать пользователя, который будет выполнять процесс.

Это идеально подходит для восстановления из карантина пользователя или для просмотра пользовательских отчетов. Смотрите примеры ниже.

$ maldet --user nobody --report
$ maldet --user nobody --restore 050910-1534.21135

7 — Очистить журналы, очередь карантина, сеанс и временные данные

Чтобы удалить все файлы из вышеупомянутого списка, используйте параметр -p.
maldetect -p 

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40