Linux Malware Detect (LMD) – это сканер вредоносных программ для Linux, выпущенный под лицензией GNU GPLv2, который разработан с учетом угроз, с которыми сталкиваются в общих размещенных средах.
В этом руководстве мы обсудим, как установить и использовать Linux Malware Detect в Linux – CentOS / Fedora / Ubuntu / Debian / Arch и так далее.
LMD использует данные об угрозах из систем обнаружения вторжений на границе сети для извлечения вредоносных программ, которые активно используются в атаках, и создает сигнатуры для обнаружения.
Данные об угрозах также могут быть получены из пользовательских представлений с функцией проверки LMD и из ресурсов сообщества вредоносных программ.
Сигнатуры LMD – это хеши файлов MD5 и совпадения с шаблоном HEX, которые можно легко экспортировать в любое количество инструментов обнаружения, таких как ClamAV.
- Установка Linux Malware Detect в Linux – CentOS / Fedora / Ubuntu / Debian
- Шаг 1: клонировать репозиторий проекта.
- Шаг 2: Запустите установочный скрипт
- Шаг 3. Настройка обнаружения вредоносных программ в Linux (LMD)
- Шаг 4. Использование Linux Malware Detect (LMD)
- 1 – сканирование каталога с помощью Linux Malware Detect
- 2 – Сканирование файлов или путей, определенных в файле через интервал
- 3 – проверять только файлы, измененные за последние x дней
- 4 – Обновление Linux Malware Detect
- 5 – обновить установленную версию LMD
- 6 – Выполнить под указанным пользователем
- 7 – Очистить журналы, очередь карантина, сеанс и временные данные
Установка Linux Malware Detect в Linux – CentOS / Fedora / Ubuntu / Debian
Мы клонируем проект из репозитория Github и запустим скрипт установщика, чтобы Linux Malware Detect работал в нашей системе Linux – CentOS / Fedora / Ubuntu / Debian / Arch !
Шаг 1: клонировать репозиторий проекта.
Проект Linux Malware Detect находится на Github.
Загрузите его с помощью команды git, которую легко установить через менеджер системных пакетов – apt для систем на основе Debian, yum / dnf для RHEL / Fedora или pacman для Arch и его производных.
# RHEL/CentOS sudo yum -y install git sudo dnf -y install git # Ubuntu/Debian sudo apt-get -y install git # Arch/Manjaro sudo pacman -S git
Клонируйте код из Github.
$ git clone https://github.com/rfxn/linux-malware-detect.git Cloning into 'linux-malware-detect'... remote: Enumerating objects: 81, done. remote: Counting objects: 100% (81/81), done. remote: Compressing objects: 100% (49/49), done. remote: Total 1991 (delta 47), reused 57 (delta 32), pack-reused 1910 Receiving objects: 100% (1991/1991), 1.79 MiB | 1.56 MiB/s, done. Resolving deltas: 100% (1446/1446), done.
Шаг 2: Запустите установочный скрипт
Как только исходный код станет доступен локально, перейдите в каталог проекта и запустите установочный скрипт install.sh с помощью sudo.
$ cd linux-malware-detect/
$ sudo ./install.sh
Created symlink from /etc/systemd/system/multi-user.target.wants/maldet.service to /usr/lib/systemd/system/maldet.service.
Linux Malware Detect v1.6.4
(C) 2002-2019, R-fx Networks <proj@r-fx.org>
(C) 2019, Ryan MacDonald <ryan@r-fx.org>
This program may be freely redistributed under the terms of the GNU GPL
installation completed to /usr/local/maldetect
config file: /usr/local/maldetect/conf.maldet
exec file: /usr/local/maldetect/maldet
exec link: /usr/local/sbin/maldet
exec link: /usr/local/sbin/lmd
cron.daily: /etc/cron.daily/maldet
maldet(6686): {sigup} performing signature update check...
maldet(6686): {sigup} could not determine signature version
maldet(6686): {sigup} signature files missing or corrupted, forcing update...
maldet(6686): {sigup} new signature set 2019052829145 available
maldet(6686): {sigup} downloading https://cdn.rfxn.com/downloads/maldet-sigpack.tgz
maldet(6686): {sigup} downloading https://cdn.rfxn.com/downloads/maldet-cleanv2.tgz
maldet(6686): {sigup} verified md5sum of maldet-sigpack.tgz
maldet(6686): {sigup} unpacked and installed maldet-sigpack.tgz
maldet(6686): {sigup} verified md5sum of maldet-clean.tgz
maldet(6686): {sigup} unpacked and installed maldet-clean.tgz
maldet(6686): {sigup} signature set update completed
maldet(6686): {sigup} 15519 signatures (12707 MD5 | 2035 HEX | 777 YARA | 0 USER)Подтвердите установленную версию Linux Malware Detect.
$ maldet --version
Linux Malware Detect v1.6.4
(C) 2002-2019, R-fx Networks proj@rfxn.com
(C) 2019, Ryan MacDonald ryan@rfxn.com
This program may be freely redistributed under the terms of the GNU GPL v2
public scanning is currently disabled (scan_user_access=0), please contact your system administrator to enable scan_user_access in conf.maldet
Шаг 3. Настройка обнаружения вредоносных программ в Linux (LMD)
Основной файл конфигурации Linux Malware Detect находится в /usr/local/maldetect/conf.maldet.
Чтобы внести изменения, откройте файл для редактирования в вашем любимом редакторе.
$ sudo vim /usr/local/maldetect/conf.maldet
-- или ---
$ sudo nano /usr/local/maldetect/conf.maldet Чтобы получать оповещения, включите его и установите адрес электронной почты.
email_alert="1"
email_addr="admin@itsecforu.ru"Просмотрите весь файл и настройте его в соответствии со своим хотением.
Шаг 4. Использование Linux Malware Detect (LMD)
1 – сканирование каталога с помощью Linux Malware Detect
Чтобы проверить каталог на наличие вредоносных программ с помощью Linux Malware Detect, используйте синтаксис команды:
$ sudo maldet -a /path/to/directoryОпция -a или –scan-all означает сканирование всех файлов в указанном пути.
Если каталог не указан, по умолчанию будет /home, можно использовать подстановочный знак, например
maldet -a /home/?/public_html
Чтобы проверить все доступные параметры, используйте:
$ sudo maldet --helpПример:
$ sudo maldet -a /srv/
Linux Malware Detect v1.6.4
(C) 2002-2019, R-fx Networks <proj@rfxn.com>
(C) 2019, Ryan MacDonald <ryan@rfxn.com>
This program may be freely redistributed under the terms of the GNU GPL v2
maldet(3872): {scan} signatures loaded: 15519 (12707 MD5 | 2035 HEX | 777 YARA | 0 USER)
maldet(3872): {scan} building file list for /srv/, this might take awhile...
maldet(3872): {scan} setting nice scheduler priorities for all operations: cpunice 19 , ionice 6
maldet(3872): {scan} file list completed in 1s, found 110257 files...
maldet(3872): {scan} found clamav binary at /bin/clamscan, using clamav scanner engine...
maldet(3872): {scan} scan of /srv/ (110257 files) in progress...
maldet(3872): {scan} processing scan results for hits: 1 hits 0 cleaned
maldet(3872): {scan} scan completed on /srv/: files 110257, malware hits 1, cleaned hits 0, time 467s
maldet(3872): {scan} scan report saved, to view run: maldet --report 190603-1946.3872
maldet(3872): {scan} quarantine is disabled! set quarantine_hits=1 in conf.maldet or to quarantine results run: maldet -q 190603-1946.3872Просмотрите результаты сканирования, выполнив команду, показанную ближе к концу.
$ sudo maldet --report 190603-1946.38722 – Сканирование файлов или путей, определенных в файле через интервал
Вы также можете указать файл со списком путей для сканирования.
$ cat files_to_scan.list
/srv
/var
/root
/home
/var/www/?/public_htmlЗатем запустите сканирование.
$ maldet -f /root/files_to_scan.list
Linux Malware Detect v1.6.4
(C) 2002-2019, R-fx Networks <proj@rfxn.com>
(C) 2019, Ryan MacDonald <ryan@rfxn.com>
This program may be freely redistributed under the terms of the GNU GPL v2
maldet(4248): {scan} signatures loaded: 15519 (12707 MD5 | 2035 HEX | 777 YARA | 0 USER)
maldet(4248): {scan} user supplied file list '/root/files_to_scan.list', found 5 files...
maldet(4248): {scan} scan of (5 files) in progress...
maldet(4248): {scan} 5/5 files scanned: 0 hits 0 cleaned
maldet(4248): {scan} scan completed on : files 5, malware hits 0, cleaned hits 0, time 0s
maldet(4248): {scan} scan report saved, to view run: maldet --report 190603-0951.4248Чтобы просмотреть сгенерированный отчет о сканировании, запустите показанную команду.
$ maldet --report 190603-0951.42483 – проверять только файлы, измененные за последние x дней
Если вам нужно проверить только файлы, созданные / измененные за последние X дней, используйте параметр -r.
Если параметр не передан, по умолчанию используется последние 7 дней.
Пример ниже будет сканировать каталог /srv на файлы, измененные за последние 5 дней.
sudo maldet -r /srv 5Проверьте каталог веб-содержимого, за последние 10 дней.
sudo maldet -r /var/www/?/public_html 104 – Обновление Linux Malware Detect
Чтобы обновить сигнатуры обнаружения вредоносных программ с сайта rfxn.com, запустите:
$ sudo maldet -u
Linux Malware Detect v1.6.4
(C) 2002-2019, R-fx Networks <proj@rfxn.com>
(C) 2019, Ryan MacDonald <ryan@rfxn.com>
This program may be freely redistributed under the terms of the GNU GPL v2
maldet(6021): {sigup} performing signature update check...
maldet(6021): {sigup} local signature set is version 201906014705
maldet(6021): {sigup} latest signature set already installed5 – обновить установленную версию LMD
Чтобы получить последнюю версию LMD от rfxn.com, используйте:
$ sudo maldet -d
Linux Malware Detect v1.6.4
(C) 2002-2019, R-fx Networks <proj@rfxn.com>
(C) 2019, Ryan MacDonald <ryan@rfxn.com>
This program may be freely redistributed under the terms of the GNU GPL v2
maldet(6212): {update} checking for available updates...
maldet(6212): {update} hashing install files and checking against server...
maldet(6212): {update} latest version already installed.6 – Выполнить под указанным пользователем
Если сканирование выполняется как задание cron или как скрипт, вам может потребоваться указать пользователя, который будет выполнять процесс.
Это идеально подходит для восстановления из карантина пользователя или для просмотра пользовательских отчетов. Смотрите примеры ниже.
$ maldet --user nobody --report
$ maldet --user nobody --restore 050910-1534.211357 – Очистить журналы, очередь карантина, сеанс и временные данные
maldetect -p
