Hvernig á að setja upp og stilla Linux Malware Detect (Maldet) á AlmaLinux 8

Linux spilliforrit uppgötva (LMD), einnig þekkt sem Maldet, er malware skanni fyrir Linux gefinn út undir GNU GPLv2 leyfinu. Maldet er nokkuð vinsælt meðal stjórnenda og þróunaraðila vefsíðna vegna einbeitingar sinnar á uppgötvun PHP-bakdyra, myrkra póstsendinga og margra annarra skaðlegra skráa sem hægt er að hlaða upp á vefsíðu sem er í hættu með því að nota ógnunargögn frá innbrotsskynjunarkerfum netkerfisins til að vinna út spilliforrit sem er virkur notaður í árásum og býr til undirskriftir til uppgötvunar.

Í eftirfarandi námskeiði muntu læra hvernig á að setja upp og nota Maldet á AlmaLinux 8.

Forsendur

  • Mælt með stýrikerfi: AlmaLinux 8.
  • Notendareikningur: Notendareikningur með sudo réttindi or rótaraðgangur (su skipun).

Uppfærir stýrikerfi

Uppfærðu þína AlmaLinux stýrikerfi til að tryggja að allir núverandi pakkar séu uppfærðir:

sudo dnf upgrade --refresh -y

Kennsluefnið mun nota sudo skipun og að því gefnu að þú sért með sudo stöðu.

Til að staðfesta sudo stöðu á reikningnum þínum:

sudo whoami

Dæmi um úttak sem sýnir sudo stöðu:

[joshua@localhost ~]$ sudo whoami
root

Til að setja upp núverandi eða nýjan sudo reikning skaltu fara á kennsluna okkar á Hvernig á að bæta notanda við Sudoers á AlmaLinux.

Til að nota rótarreikningur, notaðu eftirfarandi skipun með rót lykilorðinu til að skrá þig inn.

su

Fáðu


Settu upp Maldet

Til að setja upp Maldet þarftu pakkaskrána þeirra, sem er að finna á opinbera sækja síðu. Hins vegar, þegar uppfærslur eiga sér stað, breyta þær ekki vefslóð skráarinnar, svo sem betur fer mun niðurhalstengillinn ekki breytast oft.

Á þeim tíma sem þessi einkatími fór fram, útgáfa (1.6.4) er nýjasta; þó mun þetta breytast með tímanum. Til að hlaða niður nýjustu útgáfunni núna og í framtíðinni skaltu slá inn eftirfarandi skipun:

cd /tmp/ && wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Í næsta hluta þarftu að draga út skjalasafnið, sem þú getur gert með eftirfarandi skipun:

tar xfz maldetect-current.tar.gz

Nú hefur þú staðfest að skjalasafnið sé dregið út rétt, þú munt gera það (Geisladiskur) inn í möppuna og keyrðu uppsetningarforskriftina til að setja upp Maldet með eftirfarandi skipun:

cd maldetect-1.6.4 && sudo ./install.sh

Uppsetningunni ætti að vera lokið á nokkrum sekúndum og þú munt fá svipaða útkomu og hér að neðan:

Stilla Maldet

Nú þegar þú hefur lokið við uppsetningarforskriftina geturðu breytt stillingarskránni með því að nota textaritilinn sem þú vilt. Hér að neðan eru nokkur dæmi um nokkrar vinsælar stillingar og venjur við notkun (nano) textaritill:

Fyrst skaltu opna (conf.maldet) file:

sudo nano /usr/local/maldetect/conf.maldet

Næst skaltu finna eftirfarandi línur og breyta þeim í eins og hér að neðan:

# To enable the email notification.
email_alert="1"

# Specify the email address on which you want to receive an email notification.
email_addr="user@domain.com"

# Enable the LMD signature autoupdate.
autoupdate_signatures="1"

# Enable the automatic updates of the LMD installation.
autoupdate_version="1"

# Enable the daily automatic scanning.
cron_daily_scan="1"

# Allows non-root users to perform scans.
scan_user_access="1"
 
# Move hits to quarantine & alert
quarantine_hits="1"

# Clean string based malware injections.
quarantine_clean="0"

# Suspend user if malware found. 
quarantine_suspend_user="1"

# Minimum userid value that be suspended
quarantine_suspend_user_minuid="500"

# Enable Email Alerting
email_alert="1"

# Email Address in which you want to receive scan reports
email_addr="you@domain.com"

# Use with ClamAV
scan_clamscan="1"

# Enable scanning for root-owned files. Set 1 to disable.
scan_ignore_root="0"

Athugaðu, allar stillingar hér eru valfrjálsar og þú getur stillt þínar eigin þar sem engin rétt eða röng svör eru hér.


Fáðu


Uppfærðu Maldet vírusskilgreiningar og hugbúnað

Í fyrsta lagi þarftu að ganga úr skugga um scan_user_access="1″ er kveikt á í stillingarskránni sem nefnd var áður til að halda áfram.

Næst skaltu keyra eftirfarandi skipun til að búa til réttar slóðir fyrir innskráðan notanda; þú gætir átt í vandræðum með að uppfæra án þess að gera þetta.

sudo /usr/local/sbin/maldet --mkpubpaths

Ef þú tekst ekki að gera þetta færðu eftirfarandi villu.

public scanning is enabled (scan_user_access=1) but paths do not exist, please contact your system administrator to run '/usr/local/sbin/maldet --mkpubpaths' or wait for cron.pub to execute in ~10 minutes.

Til að uppfæra Maldet vírusskilgreiningargagnagrunninn skaltu framkvæma eftirfarandi skipun:

maldet -u

Dæmi úttak:

Í öðru lagi, til að leita að nýrri útgáfum af núverandi hugbúnaði, sláðu inn eftirfarandi skipun:

maldet -d

Dæmi úttak:

Valfrjálst - Settu upp ClamAV

Einn af bestu hlutunum við notkun Maldet er samhæfni þess við ClamAV, sem getur aukið skönnunarmöguleika Maldet um mikið.

Settu fyrst upp EPEL geymsluna til að setja upp nýjustu ClamAV útgáfuna sem til er ásamt ósjálfstæði hennar:

sudo dnf install epel-release

Til að setja upp ClamAV geturðu gert það með því að framkvæma eftirfarandi skipun:

sudo dnf install clamav clamav-devel -y

Til að fá heildar kennslu um ClamAV með AlmaLinux 8, skoðaðu kennsluna okkar um Hvernig á að setja upp og nota ClamAV á AlmaLinux 8.


Fáðu


Skönnun með Maldet – Dæmi

Í fyrsta lagi ættir þú að kynnast Maldet setningafræðinni. Allar skipanir byrja á maldet og síðan fylgja valkostir og möppuslóð, til dæmis, maldet [VALKOSTI] [MÁLSLEI].

Hér að neðan er fjallað um flest setningafræðidæmin með Maldet:

  • -b: Framkvæma aðgerðir í bakgrunni.
  • -u: Uppfærðu undirskriftir fyrir uppgötvun spilliforrita.
  • -l: Skoða maldet log skrá atburði.
  • -d: Uppfærðu uppsettu útgáfuna.
  • -a: Skannaðu allar skrár á slóðinni.
  • -p: Hreinsaðu annála, lotu og tímabundin gögn.
  • -q: Settu allt spilliforrit úr skýrslunni í sóttkví.
  • -n: Hreinsaðu og endurheimtu spilliforrit úr skýrslunni.

Til að prófa Maldet og ganga úr skugga um að það virki rétt geturðu prófað virkni LMD með því að hlaða niður a (sýnishorn af vírusundirskrift) af vefsíðu EICAR.

cd /tmp
wget http://www.eicar.org/download/eicar_com.zip
wget http://www.eicar.org/download/eicarcom2.zip

Næst muntu framkvæma (maldet) skipun til að skanna (tmp) skrá sem hér segir:

maldet -a /tmp

Nú, með sýktum skrám okkar, muntu fá svipað framleiðsla og hér að neðan:

Eins og þú gætir hafa tekið eftir er kennslan stillt á að setja ekki sjálfkrafa í sóttkví fyrir stillingar okkar þar sem stundum rangar jákvæðar upplýsingar og að fjarlægja skrár á lifandi netþjónum getur valdið fleiri vandamálum en það leysir. Góður stjórnandi eða miðlaraeigandi mun stöðugt athuga stöðugt til að athuga niðurstöðurnar og sannreyna.

Einnig, af úttakinu, geturðu séð að á prófunarþjóninum okkar höfum við sett upp ClamAV og að Maldet notar ClamAV skannavélina til að framkvæma skönnunina og tókst að finna spilliforrit.

Sumar aðrar skipanir sem þú getur gert er að miða á skráarviðbót netþjónsins; PHP skrár eru oft skotmark margra árása. Til að skanna .php skrár skaltu nota eftirfarandi:

maldet -a /var/www/html/*.php

Þetta er tilvalið fyrir stærri vefsíður eða netþjóna með fullt af skrám til að skanna og smærri netþjónar myndu njóta góðs af því að skanna alla möppuna.

Maldet Scan skýrslur

Maldet geymir skannaskýrslur undir möppu (/usr/local/maldetect/sess/). Þú getur notað eftirfarandi skipun ásamt (skanna auðkenni) til að sjá ítarlega skýrslu sem hér segir:

maldet --report 211018-2316.5816

Dæmi:

Næst verður þú færð í sprettigluggaskýrslu í textaritli (nano) eins og dæmið hér að neðan:

Eins og þú sérð er heildarskýrslan um högglistann og upplýsingar um skrárnar til frekari skoðunar og rannsóknar.

Skráin er þegar vistuð (CTRL+X) að hætta þegar yfirferð er lokið.

Valfrjálst, ef þú vilt setja sýktu skrárnar í sóttkví eftir það úr skýrslunni skaltu keyra eftirfarandi skipun:

maldet -q "report number"

Dæmi:

maldet -q 211018-2316.5816

Fáðu


Athugasemdir og niðurstaða

Í eftirfarandi kennslu hefur þú lært hvernig á að setja upp Maldet á AlmaLinux 8 og nota grunnatriðin á vefþjóni til að skanna sýktar skrár. Á heildina litið er hugbúnaðurinn áhrifarík leið til að hreinsa sýkingarnar og er nokkuð góður í því, en samt sem áður er nauðsynlegt að tryggja öryggi notandans eða vefsíðunnar sem er í hættu til að forðast endursýkingu og ætti að vera fyrsti punkturinn áður en Maldet er notað, þar sem góðar öryggisreglur og stillingar mun næstum alltaf koma í veg fyrir að sýkingar eigi sér stað í fyrsta lagi.

Ef þú vilt vita meira um Maldet skipanir skaltu heimsækja embættismanninn skjalasíðan.

2 hugsanir um „Hvernig á að setja upp og stilla Linux Malware Detect (Maldet) á AlmaLinux 8“

  1. Skráin maldetect-current.tar.gz sem ég dró bara niður er TVEGJA ÁRA gömul svo efast virkilega um að hún myndi uppgötva eitthvað sem er virkt núna sem veldur vandamálum...

    Svara
    • Takk fyrir skilaboðin.

      Námið er tveggja ára gildir. Hins vegar ertu að nota AlmaLinux og flestir pakkar eru eldri en tveggja ára vegna þess að þeir eru stöðugir, eins og Rocky Linux og svipaðar dreifingar. Þannig að með því að nota AlmaLinux, sem þessi kennsla er fyrir, þá er ég áhyggjufullur um aldur pakkans, ég er svo sem ekki viss um hvaðan þú kemur, ekki til að vera dónalegur.

      Það er enn mikið notað meðal margra við dreifingu, að vísu er hægt að setja meiri þróun í það, en þeir virðast vera ánægðir þar sem það er.

      Að lokum, athugaðu skilgreiningarnar……

      Uppfært daglega!!!!!!!!!!!!!! Ég dró nýlega í morgun.

      maldet(3197): {sigup} framkvæmir athugun á undirskriftaruppfærslu...
      maldet(3197): {sigup} staðbundið undirskriftarsett er útgáfa 202110162383422
      maldet(3197): {sigup} nýtt undirskriftarsett 202110193057414 í boði
      maldet(3197): {sigup} að hlaða niður https://cdn.rfxn.com/downloads/maldet-sigpack.tgz
      maldet(3197): {sigup} að hlaða niður https://cdn.rfxn.com/downloads/maldet-cleanv2.tgz
      maldet(3197): {sigup} staðfest md5summa af maldet-sigpack.tgz
      maldet(3197): {sigup} pakkaði upp og setti upp maldet-sigpack.tgz
      maldet(3197): {sigup} staðfest md5summa af maldet-clean.tgz
      maldet(3197): {sigup} pakkaði upp og setti upp maldet-clean.tgz
      maldet(3197): {sigup} uppfærslu undirskriftarsetts lokið
      maldet(3197): {sigup} 17258 undirskriftir (14436 MD5 | 2039 HEX | 783 YARA | 0 USER)

      Þetta er ástæðan fyrir því að fólk er enn að nota það. Vissulega eru nokkrir kostir til sem gætu gert starfið betur en Maldet er valkostur til að skanna að spilliforriti sem hefur enn gildar og áframhaldandi uppfærðar undirskriftir sem birtast uppfærðar einu sinni til tvisvar á dag.

      Svara

Leyfi a Athugasemd