Ki jan yo enstale ak konfigirasyon Linux malveyan detekte (Maldet) sou AlmaLinux 8

Linux malveyan Detekte (LMD), konnen tou kòm Maldet, se yon eskanè malveyan pou Linux lage anba lisans GNU GPLv2. Maldet se byen popilè pami sysadmins ak devs sit entènèt akòz konsantre li sou deteksyon nan PHP backdoors, mailers nwa, ak anpil lòt fichye move ki ka telechaje sou yon sit entènèt konpwomèt lè l sèvi avèk done menas ki soti nan sistèm deteksyon entrizyon kwen rezo a ekstrè malveyan ki se. aktivman itilize nan atak ak jenere siyati pou deteksyon.

Nan leson patikilye sa a, ou pral aprann ki jan yo enstale epi sèvi ak Maldet sou AlmaLinux 8.

Kondisyon

  • OS rekòmande: AlmaLinux 8.
  • Kont itilizatè: Yon kont itilizatè ak sudo privilèj or aksè rasin (su kòmand).

Mete ajou sistèm operasyon

Mete ajou ou AlmaLinux sistèm operasyon pou asire tout pakè ki egziste deja yo ajou:

sudo dnf upgrade --refresh -y

Tutorial la pral sèvi ak la sudo kòmand ak sipoze ou gen estati sudo.

Pou verifye estati sudo sou kont ou:

sudo whoami

Egzanp pwodiksyon ki montre estati sudo:

[joshua@localhost ~]$ sudo whoami
root

Pou mete kanpe yon kont sudo ki deja egziste oswa nouvo, vizite leson patikilye nou an sou Ki jan yo ajoute yon itilizatè nan Sudoers sou AlmaLinux.

Pou itilize kont rasin, sèvi ak lòd sa a ak modpas rasin lan pou konekte.

su

reklam


Enstale Maldet

Pou enstale Maldet, w ap bezwen achiv pake yo, ki ka jwenn sou ofisyèl la download paj. Sepandan, lè amelyorasyon rive, yo pa chanje URL dosye a, kidonk erezman, lyen download la pa pral chanje souvan.

Nan moman sa a leson patikilye, vèsyon (1.6.4) se dènye a; sepandan, nan tan, sa a pral chanje. Pou telechaje dènye vèsyon an kounye a ak nan lavni, tape lòd sa a:

cd /tmp/ && wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Nan pwochen pati a, w ap bezwen ekstrè achiv la, ki ou ka fè ak lòd sa a:

tar xfz maldetect-current.tar.gz

Koulye a, ou te konfime achiv la ekstrè kòrèkteman, ou pral (CD) nan anyè a epi egzekite script enstalasyon an pou enstale Maldet ak lòd sa a:

cd maldetect-1.6.4 && sudo ./install.sh

Enstalasyon an ta dwe fini nan yon kesyon de segonn, epi w ap jwenn yon pwodiksyon menm jan ak pi ba a:

Konfigirasyon Maldet

Kounye a ke ou te fini avèk siksè script enstalasyon an, ou ka modifye fichye a konfigirasyon lè l sèvi avèk editè tèks ou pi pito. Anba a se kèk egzanp kèk anviwònman popilè ak pratik lè l sèvi avèk (nano) editè tèks:

Premyèman, louvri la (konf.maldet) dosye:

sudo nano /usr/local/maldetect/conf.maldet

Apre sa, jwenn liy sa yo epi modifye yo kòm anba a:

# To enable the email notification.
email_alert="1"

# Specify the email address on which you want to receive an email notification.
email_addr="user@domain.com"

# Enable the LMD signature autoupdate.
autoupdate_signatures="1"

# Enable the automatic updates of the LMD installation.
autoupdate_version="1"

# Enable the daily automatic scanning.
cron_daily_scan="1"

# Allows non-root users to perform scans.
scan_user_access="1"
 
# Move hits to quarantine & alert
quarantine_hits="1"

# Clean string based malware injections.
quarantine_clean="0"

# Suspend user if malware found. 
quarantine_suspend_user="1"

# Minimum userid value that be suspended
quarantine_suspend_user_minuid="500"

# Enable Email Alerting
email_alert="1"

# Email Address in which you want to receive scan reports
email_addr="you@domain.com"

# Use with ClamAV
scan_clamscan="1"

# Enable scanning for root-owned files. Set 1 to disable.
scan_ignore_root="0"

Remake byen, tout paramèt isit la se opsyonèl, epi ou ka mete pwòp ou a paske pa gen okenn repons bon oswa move isit la.


reklam


Mete ajou Definisyon Viris Maldet ak Lojisyèl yo

Premyèman, ou pral bezwen asire w scan_user_access="1" se sou nan fichye a konfigirasyon mansyone deja kontinye.

Apre sa, kouri lòd sa a pou kreye chemen ki kòrèk pou itilizatè ki konekte a; ou ka gen pwoblèm aktyalizasyon san yo pa fè sa.

sudo /usr/local/sbin/maldet --mkpubpaths

Si ou pa fè sa, ou pral jwenn erè sa a.

public scanning is enabled (scan_user_access=1) but paths do not exist, please contact your system administrator to run '/usr/local/sbin/maldet --mkpubpaths' or wait for cron.pub to execute in ~10 minutes.

Pou aktyalize baz done definisyon viris Maldet, egzekite lòd sa a:

maldet -u

Egzanp pwodiksyon:

Dezyèmman, pou tcheke nouvo vèsyon lojisyèl ki deja egziste a, tape lòd sa a:

maldet -d

Egzanp pwodiksyon:

Si ou vle - Enstale ClamAV

Youn nan pi bon pati sou itilizasyon Maldet se konpatibilite li ak ClamAV, ki ka ogmante kapasite eskanè Maldet pa anpil.

Premyèman, enstale repozitwa EPEL la pou enstale dènye vèsyon ClamAV ki disponib ansanm ak depandans li yo:

sudo dnf install epel-release

Pou enstale ClamAV, ou ka fè sa lè w egzekite lòd sa a:

sudo dnf install clamav clamav-devel -y

Pou yon leson patikilye konplè sou ClamAV ak AlmaLinux 8, vizite leson patikilye nou an sou Ki jan yo enstale ak itilize ClamAV sou AlmaLinux 8.


reklam


Scanning ak Maldet – Egzanp

Premyèman, ou ta dwe abitye ak sentaks Maldet la. Tout kòmandman kòmanse ak maldet epi yo swiv pa opsyon ak chemen anyè, pou egzanp, maldet [OPTION] [CHEMEN ANNAYÈ].

Anba a kouvri pifò egzanp sentaks ak Maldet:

  • -b : Egzekite operasyon yo nan background nan.
  • -u : Mete ajou siyati deteksyon malveyan yo.
  • -l : Gade evènman dosye maldet.
  • -d : Mete ajou vèsyon enstale a.
  • -a : Eskane tout dosye nan chemen an.
  • -p : Klè mòso bwa, sesyon ak done tanporè.
  • -q: Mete tout malveyan nan karantèn nan rapò a.
  • -n : Netwaye ak retabli frape malveyan nan rapò a.

Pou teste Maldet epi asire w li fonksyone kòrèkteman, ou ka teste fonksyonalite LMD lè w telechaje yon (Egzanp siyati viris) soti nan sit entènèt EICAR la.

cd /tmp
wget http://www.eicar.org/download/eicar_com.zip
wget http://www.eicar.org/download/eicarcom2.zip

Apre sa, ou pral egzekite a (maldet) kòmand pou eskane a (tmp) anyè jan sa a:

maldet -a /tmp

Koulye a, ak dosye ki enfekte nou yo, ou pral jwenn yon pwodiksyon menm jan ak pi ba a:

Kòm ou ka remake, leson patikilye a pa mete an karantèn otomatikman pou konfigirasyon nou an paske pafwa fo pozitif ak retire fichye sou sèvè ap viv yo ka lakòz plis pwoblèm pase sa li rezoud. Yon bon sysadmin oswa pwopriyetè sèvè pral kontinyèlman tcheke toutan pou tcheke rezilta yo ak verifye.

Epitou, nan pwodiksyon an, ou ka wè ke nan sèvè tès nou an, nou te enstale ClamAV e ke Maldet ap itilize motè eskanè ClamAV pou fè eskanè a epi li te reyisi jwenn frape malveyan.

Kèk lòt kòmandman ou ka fè se vize ekstansyon fichye sèvè ou a; Fichye PHP yo souvan sib anpil atak. Pou eskane dosye .php, sèvi ak sa ki annapre yo:

maldet -a /var/www/html/*.php

Sa a se ideyal pou pi gwo sit entènèt oswa sèvè ki gen anpil dosye pou eskane, ak pi piti serveurs ta benefisye de analize anyè a tout antye.

Rapò Scan Maldet

Maldet estoke rapò eskanè yo anba kote anyè a (/usr/local/maldetect/sess/). Ou ka itilize kòmandman sa a ansanm ak la (Eskane ID) Pou wè yon rapò detaye jan sa a:

maldet --report 211018-2316.5816

Egzanp:

Apre sa, ou pral mennen nan yon rapò pop-up nan yon editè tèks (nano) kòm egzanp ki anba a:

Kòm ou ka wè, rapò konplè sou lis frape a ak detay ki antoure dosye yo se pou plis revize ak envestigasyon.

Fichye a deja sove (CTRL+X) pou sòti yon fwa fin revize.

Opsyonèlman, si ou vle byen vit mete karantèn dosye ki enfekte yo apre rapò a, kouri lòd sa a:

maldet -q "report number"

Egzanp:

maldet -q 211018-2316.5816

reklam


Kòmantè ak konklizyon

Nan leson patikilye sa a, ou te aprann ki jan yo enstale Maldet sou AlmaLinux 8 epi sèvi ak baz yo sou yon sèvè entènèt pou tcheke dosye ki enfekte. An jeneral, lojisyèl an se yon mwayen efikas pou netwaye enfeksyon yo epi li trè bon nan li, sepandan sekirize itilizatè a konpwomèt oswa sit entènèt la toujou nesesè pou fè pou evite re-enfeksyon epi yo ta dwe premye pwen anvan w sèvi ak Maldet, kòm bon pwotokòl sekirite ak konfigirasyon. pral prèske toujou anpeche enfeksyon ki rive an plas an premye.

Si w ta renmen konnen plis sou kòmandman Maldet, vizite ofisyèl la paj dokimantasyon.

Ban-m pran abònman
Notifye nan
2 kòmantè
Aliye komantè
Wè tout kòmantè

Fichye maldetect-current.tar.gz mwen jis rale desann la gen de ane, kidonk reyèlman dout li ta detekte nenpòt bagay ki aktif kounye a ki lakòz pwoblèm ...

2
0
Ta renmen panse ou, tanpri fè kòmantè.x