Kako instalirati i konfigurirati detekciju zlonamjernog softvera za Linux (Maldet) na AlmaLinuxu 8

Otkrivanje malwarea na Linuxu (LMD), također poznat kao Maldet, je skener zlonamjernog softvera za Linux objavljen pod licencom GNU GPLv2. Maldet je prilično popularan među sistemskim administratorima i programerima web stranica zbog svog fokusa na otkrivanje PHP backdoor-a, mračnih mailera i mnogih drugih zlonamjernih datoteka koje se mogu prenijeti na kompromitirano web-mjesto koristeći podatke o prijetnjama iz sustava za otkrivanje upada na rubu mreže za izdvajanje zlonamjernog softvera koji je aktivno se koristi u napadima i stvara potpise za otkrivanje.

U sljedećem tutorialu naučit ćete kako instalirati i koristiti Maldet na AlmaLinux 8.

Preduvjeti

  • Preporučeni OS: AlmaLinux 8.
  • Korisnički račun: Korisnički račun sa sudo privilegije or root pristup (su naredba).

Ažuriranje operativnog sustava

Ažurirajte svoj AlmaLinux operativni sustav kako biste bili sigurni da su svi postojeći paketi ažurirani:

sudo dnf upgrade --refresh -y

Tutorial će koristiti sudo naredba i pod pretpostavkom da imate sudo status.

Za provjeru sudo statusa na svom računu:

sudo whoami

Primjer izlaza koji prikazuje sudo status:

[joshua@localhost ~]$ sudo whoami
root

Da biste postavili postojeći ili novi sudo račun, posjetite naš vodič na Kako dodati korisnika u Sudoers na AlmaLinuxu.

Za korištenje root račun, upotrijebite sljedeću naredbu s root lozinkom za prijavu.

su

Oglas


Instalirajte Maldet

Da biste instalirali Maldet, trebat će vam njihova arhiva paketa, koja se može pronaći na službenoj stranici preuzeti stranicu. Međutim, kada dođe do nadogradnje, one ne mijenjaju URL datoteke, pa se, srećom, link za preuzimanje neće mijenjati često.

U vrijeme ovog vodiča, verzija (1.6.4) je najnoviji; međutim, s vremenom će se to promijeniti. Da biste preuzeli najnoviju verziju sada i u budućnosti, upišite sljedeću naredbu:

cd /tmp/ && wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

U sljedećem dijelu morat ćete izdvojiti arhivu, što možete učiniti sljedećom naredbom:

tar xfz maldetect-current.tar.gz

Sada ste potvrdili da je arhiva ispravno ekstrahirana, hoćete (CD) u direktorij i izvršite instalacijsku skriptu za instalaciju Maldeta sa sljedećom naredbom:

cd maldetect-1.6.4 && sudo ./install.sh

Instalacija bi trebala biti gotova za nekoliko sekundi, a dobit ćete sličan rezultat kao u nastavku:

Konfigurirajte Maldet

Sada kada ste uspješno završili instalacijsku skriptu, možete izmijeniti konfiguracijsku datoteku koristeći svoj preferirani uređivač teksta. U nastavku su neki primjeri nekih popularnih postavki i praksi korištenja (nano) uređivač teksta:

Prvo otvorite (conf.maldet) Datoteka:

sudo nano /usr/local/maldetect/conf.maldet

Zatim pronađite sljedeće retke i uredite ih na sljedeći način:

# To enable the email notification.
email_alert="1"

# Specify the email address on which you want to receive an email notification.
email_addr="user@domain.com"

# Enable the LMD signature autoupdate.
autoupdate_signatures="1"

# Enable the automatic updates of the LMD installation.
autoupdate_version="1"

# Enable the daily automatic scanning.
cron_daily_scan="1"

# Allows non-root users to perform scans.
scan_user_access="1"
 
# Move hits to quarantine & alert
quarantine_hits="1"

# Clean string based malware injections.
quarantine_clean="0"

# Suspend user if malware found. 
quarantine_suspend_user="1"

# Minimum userid value that be suspended
quarantine_suspend_user_minuid="500"

# Enable Email Alerting
email_alert="1"

# Email Address in which you want to receive scan reports
email_addr="you@domain.com"

# Use with ClamAV
scan_clamscan="1"

# Enable scanning for root-owned files. Set 1 to disable.
scan_ignore_root="0"

Imajte na umu da su sve postavke ovdje neobavezne, a možete postaviti vlastite jer ovdje nema točnih ili pogrešnih odgovora.


Oglas


Ažurirajte definicije i softver Maldet virusa

Prije svega, morat ćete se uvjeriti scan_user_access=”1″ je uključen u prethodno spomenutoj konfiguracijskoj datoteci za nastavak.

Zatim pokrenite sljedeću naredbu da biste stvorili ispravne staze za prijavljenog korisnika; možda ćete imati problema s ažuriranjem ako to ne učinite.

sudo /usr/local/sbin/maldet --mkpubpaths

Ako to ne učinite, dobit ćete sljedeću pogrešku.

public scanning is enabled (scan_user_access=1) but paths do not exist, please contact your system administrator to run '/usr/local/sbin/maldet --mkpubpaths' or wait for cron.pub to execute in ~10 minutes.

Da biste ažurirali bazu podataka definicija virusa Maldet, izvedite sljedeću naredbu:

maldet -u

Primjer rezultata:

Drugo, da biste provjerili ima li novijih verzija postojećeg softvera, upišite sljedeću naredbu:

maldet -d

Primjer rezultata:

Izborno – Instalirajte ClamAV

Jedan od najboljih dijelova korištenja Maldeta je njegova kompatibilnost s ClamAV-om, što može znatno povećati sposobnost skeniranja Maldeta.

Prvo instalirajte EPEL spremište da biste instalirali najnoviju verziju ClamAV-a koja je dostupna zajedno s njezinim ovisnostima:

sudo dnf install epel-release

Da biste instalirali ClamAV, to možete učiniti izvršavanjem sljedeće naredbe:

sudo dnf install clamav clamav-devel -y

Za potpuni vodič o ClamAV-u s AlmaLinuxom 8, posjetite naš vodič na Kako instalirati i koristiti ClamAV na AlmaLinux 8.


Oglas


Skeniranje s Maldetom – primjeri

Prvo, trebali biste se upoznati s Maldet sintaksom. Sve naredbe počinju s maldet, a zatim slijede opcija i put do direktorija, na primjer, maldet [OPCIJA] [PUT IMENIKA].

U nastavku je prikazana većina primjera sintakse s Maldetom:

  • -b : Izvršite operacije u pozadini.
  • -u : Ažurirajte potpise za otkrivanje zlonamjernog softvera.
  • -l : Pregledajte događaje maldet log datoteke.
  • -d : Ažurirajte instaliranu verziju.
  • -a: Skenirajte sve datoteke na putu.
  • -p : Izbrišite zapisnike, sesije i privremene podatke.
  • -q : Stavite u karantenu sav zlonamjerni softver iz izvješća.
  • -n : Očistite i vratite pogotke zlonamjernog softvera iz izvješća.

Kako biste testirali Maldet i provjerili radi li ispravno, možete testirati funkcionalnost LMD-a preuzimanjem (uzorak virusnog potpisa) s web stranice EICAR-a.

cd /tmp
wget http://www.eicar.org/download/eicar_com.zip
wget http://www.eicar.org/download/eicarcom2.zip

Zatim ćete izvršiti (maldet) naredba za skeniranje (tmp) imenik kako slijedi:

maldet -a /tmp

Sada, s našim zaraženim datotekama, dobit ćete sličan rezultat kao u nastavku:

Kao što ste možda primijetili, vodič je postavljen tako da nije automatski u karanteni za našu konfiguraciju jer ponekad lažno pozitivni rezultati i uklanjanje datoteka na živim poslužiteljima mogu uzrokovati više problema nego što ih rješava. Dobar sysadmin ili vlasnik poslužitelja stalno će provjeravati rezultate i provjeriti.

Također, iz izlaza možete vidjeti da smo na našem testnom poslužitelju instalirali ClamAV i da Maldet koristi ClamAV skener za izvođenje skeniranja i uspio je pronaći pogotke zlonamjernog softvera.

Neke druge naredbe koje možete učiniti je da ciljate proširenja datoteka vašeg poslužitelja; PHP datoteke često su meta mnogih napada. Za skeniranje .php datoteka koristite sljedeće:

maldet -a /var/www/html/*.php

Ovo je idealno za veće web stranice ili poslužitelje s puno datoteka za skeniranje, a manji poslužitelji bi imali koristi od skeniranja cijelog direktorija.

Maldetova izvješća o skeniranju

Maldet pohranjuje izvješća o skeniranju pod mjestom imenika (/usr/local/maldetect/sess/). Možete koristiti sljedeću naredbu zajedno sa (ID skeniranja) da vidite detaljno izvješće kako slijedi:

maldet --report 211018-2316.5816

Primjer:

Zatim ćete biti preusmjereni na skočno izvješće u uređivaču teksta (nano) kao primjer u nastavku:

Kao što možete vidjeti, cijelo izvješće o popisu pogodaka i detalji oko datoteka su za daljnji pregled i istragu.

Datoteka je već spremljena (CTRL+X) za izlazak nakon dovršenog pregleda.

Po želji, ako želite brzo staviti zaražene datoteke u karantenu nakon izvješća, pokrenite sljedeću naredbu:

maldet -q "report number"

Primjer:

maldet -q 211018-2316.5816

Oglas


Komentari i zaključak

U sljedećem vodiču naučili ste kako instalirati Maldet na AlmaLinux 8 i koristiti osnove na web poslužitelju za skeniranje zaraženih datoteka. Općenito, softver je učinkovito sredstvo za čišćenje infekcija i prilično je dobar u tome, međutim osiguranje ugroženog korisnika ili web stranice je i dalje potrebno kako bi se izbjegla ponovna zaraza i trebala bi biti prva točka prije korištenja Maldeta, jer su dobri sigurnosni protokoli i konfiguracija gotovo uvijek će spriječiti pojavu infekcija na prvom mjestu.

Ako želite saznati više o Maldetovim naredbama, posjetite službenika dokumentacijsku stranicu.

2 misli o “Kako instalirati i konfigurirati otkrivanje zlonamjernog softvera za Linux (Maldet) na AlmaLinuxu 8”

  1. Datoteka maldetect-current.tar.gz koju sam upravo povukao stara je DVIJE GODINE pa sumnjam da bi otkrila bilo što trenutno aktivno što uzrokuje probleme...

    odgovor
    • Hvala na poruci.

      Program je star dvije godine. Međutim, koristite AlmaLinux, a većina paketa je starija od dvije godine jer su stabilni, isto kao i Rocky Linux i slične distribucije. Dakle, koristeći AlmaLinux, za koji je ovaj vodič, a zatim zabrinuti zbog starosti paketa, nekako nisam siguran odakle dolazite, da ne budem nepristojan.

      Još uvijek se naširoko koristi među mnogim ljudima na distribucijama, iako se u njega može uložiti više razvoja, ali čini se da su sretni gdje je.

      Na kraju, provjerite definicije....

      Ažurira se svakodnevno!!!!!!!!!!!!!!!! Jutros sam svježe izvukao.

      maldet(3197): {sigup} obavlja provjeru ažuriranja potpisa...
      maldet(3197): {sigup} skup lokalnih potpisa je verzija 202110162383422
      maldet(3197): {sigup} dostupan novi set potpisa 202110193057414
      maldet(3197): {sigup} preuzimanje https://cdn.rfxn.com/downloads/maldet-sigpack.tgz
      maldet(3197): {sigup} preuzimanje https://cdn.rfxn.com/downloads/maldet-cleanv2.tgz
      maldet(3197): {sigup} provjereni md5zbroj maldet-sigpack.tgz
      maldet(3197): {sigup} raspakirao i instalirao maldet-sigpack.tgz
      maldet(3197): {sigup} provjereni md5zbroj maldet-clean.tgz
      maldet(3197): {sigup} raspakirao i instalirao maldet-clean.tgz
      maldet(3197): {sigup} ažuriranje skupa potpisa dovršeno
      maldet(3197): {sigup} 17258 potpisa (14436 MD5 | 2039 HEX | 783 YARA | 0 KORISNIK)

      Zbog toga ga ljudi još uvijek koriste. Doduše, postoje neke alternative koje bi mogle bolje obaviti posao, ali Maldet je opcija za skeniranje zlonamjernog softvera koji još uvijek ima valjane i kontinuirano ažurirane potpise koji se ažuriraju jednom do dva puta dnevno.

      odgovor

Ostavite komentar