Ki jan yo enstale Linux malveyan Detect (Maldet) sou Rocky Linux 8

Linux malveyan Detekte (LMD), konnen tou kòm Maldet, se yon eskanè malveyan pou Linux lage anba lisans GNU GPLv2. Maldet se byen popilè pami sysadmins ak devs sit entènèt akòz konsantre li sou deteksyon nan PHP backdoors, mailers nwa, ak anpil lòt fichye move ki ka telechaje sou yon sit entènèt konpwomèt lè l sèvi avèk done menas ki soti nan sistèm deteksyon entrizyon kwen rezo a ekstrè malveyan ki se. aktivman itilize nan atak ak jenere siyati pou deteksyon.

Nan leson patikilye sa a, ou pral aprann ki jan yo enstale ak itilize Maldet sou Rocky Linux 8.

Kondisyon

  • OS rekòmande: Rocky Linux 8.+.
  • Kont itilizatè: Yon kont itilizatè ki gen aksè sudo oswa rasin.

Mizajou sistèm operasyon

Mete ajou ou Rocky linux sistèm operasyon pou asire tout pakè ki egziste deja yo ajou:

sudo dnf upgrade --refresh -y

Tutorial la pral sèvi ak la sudo kòmand ak sipoze ou gen estati sudo.

Pou verifye estati sudo sou kont ou:

sudo whoami

Egzanp pwodiksyon ki montre estati sudo:

[joshua@rockylinux ~]$ sudo whoami
root

Pou mete kanpe yon kont sudo ki deja egziste oswa nouvo, vizite leson patikilye nou an sou Ki jan yo ajoute yon itilizatè nan Sudoers sou Rocky Linux.

Pou itilize kont rasin, sèvi ak lòd sa a ak modpas rasin lan pou konekte.

su

reklam


Enstale Maldet

Pou enstale Maldet, w ap bezwen achiv pake yo, ki ka jwenn sou ofisyèl la download paj. Sepandan, lè amelyorasyon rive, yo pa chanje URL dosye a, kidonk erezman, lyen download la pa pral chanje souvan.

Nan moman sa a leson patikilye, vèsyon (1.6.4) se dènye a; sepandan, nan tan, sa a pral chanje. Pou telechaje dènye vèsyon an kounye a ak nan lavni, tape lòd sa a:

cd /tmp/ && wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Nan pwochen pati a, w ap bezwen ekstrè achiv la, ki ou ka fè ak lòd sa a:

tar xfz maldetect-current.tar.gz

Koulye a, ou te konfime achiv la ekstrè kòrèkteman, ou pral (CD) nan anyè a epi egzekite script enstalasyon an pou enstale Maldet ak lòd sa a:

cd maldetect-1.6.4 && ./install.sh

Enstalasyon an ta dwe fini nan yon kesyon de segonn, epi w ap jwenn yon pwodiksyon menm jan ak pi ba a:

Konfigirasyon Maldet

Kounye a ke ou te fini avèk siksè script enstalasyon an, ou ka modifye fichye a konfigirasyon lè l sèvi avèk editè tèks ou pi pito. Anba a se kèk egzanp kèk anviwònman popilè ak pratik lè l sèvi avèk (nano) editè tèks:

Premyèman, louvri la (konf.maldet) dosye:

sudo nano /usr/local/maldetect/conf.maldet

Apre sa, jwenn liy sa yo epi modifye yo kòm anba a:

# To enable the email notification.
email_alert="1"

# Specify the email address on which you want to receive an email notification.
email_addr="user@domain.com"

# Enable the LMD signature autoupdate.
autoupdate_signatures="1"

# Enable the automatic updates of the LMD installation.
autoupdate_version="1"

# Enable the daily automatic scanning.
cron_daily_scan="1"

# Allows non-root users to perform scans.
scan_user_access="1"
 
# Move hits to quarantine & alert
quarantine_hits="1"

# Clean string based malware injections.
quarantine_clean="0"

# Suspend user if malware found. 
quarantine_suspend_user="1"

# Minimum userid value that be suspended
quarantine_suspend_user_minuid="500"

# Enable Email Alerting
email_alert="1"

# Email Address in which you want to receive scan reports
email_addr="you@domain.com"

# Use with ClamAV
scan_clamscan="1"

# Enable scanning for root-owned files. Set 1 to disable.
scan_ignore_root="0"

Remake byen, tout paramèt isit la se opsyonèl, epi ou ka mete pwòp ou a paske pa gen okenn repons bon oswa move isit la.


reklam


Mete ajou Definisyon Viris Maldet & Lojisyèl

Premyèman, ou pral bezwen asire w scan_user_access="1" se sou nan fichye a konfigirasyon mansyone deja kontinye.

Apre sa, kouri lòd sa a pou kreye chemen ki kòrèk pou itilizatè ki konekte a; ou ka gen pwoblèm aktyalizasyon san yo pa fè sa.

sudo /usr/local/sbin/maldet --mkpubpaths

Si ou pa fè sa, ou pral jwenn erè sa a.

public scanning is enabled (scan_user_access=1) but paths do not exist, please contact your system administrator to run '/usr/local/sbin/maldet --mkpubpaths' or wait for cron.pub to execute in ~10 minutes.

Pou aktyalize baz done definisyon viris Maldet, egzekite lòd sa a:

maldet -u

Egzanp pwodiksyon:

Dezyèmman, pou tcheke nouvo vèsyon lojisyèl ki deja egziste a, tape lòd sa a:

maldet -d

Egzanp pwodiksyon:

Si ou vle - Enstale ClamAV

Youn nan pi bon pati sou itilizasyon Maldet se konpatibilite li ak ClamAV, ki ka ogmante kapasite eskanè Maldet pa anpil.

Premyèman, enstale repozitwa EPEL la pou enstale dènye vèsyon ClamAV ki disponib ansanm ak depandans li yo:

sudo dnf install epel-release

Pou enstale ClamAV, ou ka fè sa lè w egzekite lòd sa a:

sudo dnf install clamav clamav-devel -y

Tanpri gade gid nou an sou enstale ak itilize ClamAV Pou Rocky Linux 8 oswa yon gid konplè sou konfigirasyon ClamAV.


reklam


Scanning ak Maldet – Egzanp

Premyèman, ou ta dwe abitye ak sentaks Maldet la. Tout kòmandman kòmanse ak maldet epi yo swiv pa opsyon ak chemen anyè, pou egzanp, maldet [OPTION] [CHEMEN ANNAYÈ].

Anba a kouvri pifò egzanp sentaks ak Maldet:

  • -b : Egzekite operasyon yo nan background nan.
  • -u : Mete ajou siyati deteksyon malveyan yo.
  • -l : Gade evènman dosye maldet.
  • -d : Mete ajou vèsyon enstale a.
  • -a : Eskane tout dosye nan chemen an.
  • -p : Klè mòso bwa, sesyon ak done tanporè.
  • -q: Mete tout malveyan nan karantèn nan rapò a.
  • -n : Netwaye ak retabli frape malveyan nan rapò a.

Pou teste Maldet epi asire w li fonksyone kòrèkteman, ou ka teste fonksyonalite LMD lè w telechaje yon (Egzanp siyati viris) soti nan sit entènèt EICAR la.

cd /tmp
wget http://www.eicar.org/download/eicar_com.zip
wget http://www.eicar.org/download/eicarcom2.zip

Apre sa, ou pral egzekite a (maldet) kòmand pou eskane a (tmp) anyè jan sa a:

maldet -a /tmp

Koulye a, ak dosye ki enfekte nou yo, ou pral jwenn yon pwodiksyon menm jan ak pi ba a:

Kòm ou ka remake, leson patikilye a pa mete otomatikman nan karantèn pou konfigirasyon nou an. Pafwa, fo pozitif ak retire dosye sou sèvè ap viv yo ka lakòz plis pwoblèm pase sa li rezoud. Yon bon sysadmin oswa pwopriyetè sèvè pral kontinyèlman tcheke toutan pou tcheke rezilta yo ak verifye.

Epitou, nan pwodiksyon an, ou ka wè ke nan sèvè tès nou an, nou te enstale ClamAV e ke Maldet ap itilize motè eskanè ClamAV pou fè eskanè a epi li te reyisi jwenn frape malveyan.

Kèk lòt kòmandman ou ka fè se vize ekstansyon fichye sèvè ou a; Fichye PHP yo souvan sib anpil atak. Pou eskane dosye .php, sèvi ak sa ki annapre yo:

maldet -a /var/www/html/*.php

Sa a se ideyal pou pi gwo sit entènèt oswa sèvè ki gen anpil dosye pou eskane, ak pi piti serveurs ta benefisye de analize anyè a tout antye.

Rapò Scan Maldet

Maldet estoke rapò eskanè yo anba kote anyè a (/usr/local/maldetect/sess/). Ou ka itilize kòmandman sa a ansanm ak la (Eskane ID) Pou wè yon rapò detaye jan sa a:

maldet --report 210911-0929.26646

Apre sa, ou pral mennen nan yon rapò pop-up nan yon editè tèks (nano) kòm egzanp ki anba a:

Kòm ou ka wè, rapò konplè sou lis frape a ak detay ki antoure dosye yo se pou plis revize ak envestigasyon.

Fichye a deja sove (CTRL+X) pou sòti yon fwa fin revize.

Opsyonèlman, si ou vle mete karantèn fichye ki enfekte yo apre nan rapò a byen vit, kouri lòd sa a:

maldet -q "report number"

Egzanp:

maldet -q 210911-0929.26646

reklam


Kòmantè ak konklizyon

Nan leson patikilye sa a, ou te aprann ki jan yo enstale Maldet sou Rocky Linux 8 epi sèvi ak baz yo sou yon sèvè entènèt pou tcheke dosye ki enfekte. An jeneral, lojisyèl an se yon mwayen efikas pou netwaye enfeksyon yo epi li trè bon nan li, sepandan sekirize itilizatè a konpwomèt oswa sit entènèt la toujou nesesè pou fè pou evite re-enfeksyon epi yo ta dwe premye pwen anvan w sèvi ak Maldet, kòm bon pwotokòl sekirite ak konfigirasyon. pral prèske toujou anpeche enfeksyon ki fèt an plas an premye.

Si w ta renmen konnen plis sou kòmandman Maldet, vizite ofisyèl la paj dokimantasyon.

Ban-m pran abònman
Notifye nan
0 kòmantè
Aliye komantè
Wè tout kòmantè
0
Ta renmen panse ou, tanpri fè kòmantè.x