Hvernig á að setja upp Linux Malware Detect (Maldet) á Rocky Linux 8

Linux spilliforrit uppgötva (LMD), einnig þekkt sem Maldet, er malware skanni fyrir Linux gefinn út undir GNU GPLv2 leyfinu. Maldet er nokkuð vinsælt meðal stjórnenda og þróunaraðila vefsíðna vegna einbeitingar sinnar á uppgötvun PHP-bakdyra, myrkra póstsendinga og margra annarra skaðlegra skráa sem hægt er að hlaða upp á vefsíðu sem er í hættu með því að nota ógnunargögn frá innbrotsskynjunarkerfum netkerfisins til að vinna út spilliforrit sem er virkur notaður í árásum og býr til undirskriftir til uppgötvunar.

Í eftirfarandi námskeiði muntu læra hvernig á að setja upp og nota Maldet á Rocky Linux 8.

Forsendur

  • Mælt með stýrikerfi: Rocky Linux 8.+.
  • Notendareikningur: Notendareikningur með sudo eða rót aðgang.

Uppfærðu stýrikerfi

Uppfærðu þína Rocky linux stýrikerfi til að tryggja að allir núverandi pakkar séu uppfærðir:

sudo dnf upgrade --refresh -y

Kennsluefnið mun nota sudo skipun og að því gefnu að þú sért með sudo stöðu.

Til að staðfesta sudo stöðu á reikningnum þínum:

sudo whoami

Dæmi um úttak sem sýnir sudo stöðu:

[joshua@rockylinux ~]$ sudo whoami
root

Til að setja upp núverandi eða nýjan sudo reikning skaltu fara á kennsluna okkar á Hvernig á að bæta notanda við Sudoers á Rocky Linux.

Til að nota rótarreikningur, notaðu eftirfarandi skipun með rót lykilorðinu til að skrá þig inn.

su

Fáðu


Settu upp Maldet

Til að setja upp Maldet þarftu pakkaskrána þeirra, sem er að finna á opinbera sækja síðu. Hins vegar, þegar uppfærslur eiga sér stað, breyta þær ekki vefslóð skráarinnar, svo sem betur fer mun niðurhalstengillinn ekki breytast oft.

Á þeim tíma sem þessi einkatími fór fram, útgáfa (1.6.4) er nýjasta; þó mun þetta breytast með tímanum. Til að hlaða niður nýjustu útgáfunni núna og í framtíðinni skaltu slá inn eftirfarandi skipun:

cd /tmp/ && wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Í næsta hluta þarftu að draga út skjalasafnið, sem þú getur gert með eftirfarandi skipun:

tar xfz maldetect-current.tar.gz

Nú hefur þú staðfest að skjalasafnið sé dregið út rétt, þú munt gera það (Geisladiskur) inn í möppuna og keyrðu uppsetningarforskriftina til að setja upp Maldet með eftirfarandi skipun:

cd maldetect-1.6.4 && ./install.sh

Uppsetningunni ætti að vera lokið á nokkrum sekúndum og þú munt fá svipaða útkomu og hér að neðan:

Stilla Maldet

Nú þegar þú hefur lokið við uppsetningarforskriftina geturðu breytt stillingarskránni með því að nota textaritilinn sem þú vilt. Hér að neðan eru nokkur dæmi um nokkrar vinsælar stillingar og venjur við notkun (nano) textaritill:

Fyrst skaltu opna (conf.maldet) file:

sudo nano /usr/local/maldetect/conf.maldet

Næst skaltu finna eftirfarandi línur og breyta þeim í eins og hér að neðan:

# To enable the email notification.
email_alert="1"

# Specify the email address on which you want to receive an email notification.
email_addr="user@domain.com"

# Enable the LMD signature autoupdate.
autoupdate_signatures="1"

# Enable the automatic updates of the LMD installation.
autoupdate_version="1"

# Enable the daily automatic scanning.
cron_daily_scan="1"

# Allows non-root users to perform scans.
scan_user_access="1"
 
# Move hits to quarantine & alert
quarantine_hits="1"

# Clean string based malware injections.
quarantine_clean="0"

# Suspend user if malware found. 
quarantine_suspend_user="1"

# Minimum userid value that be suspended
quarantine_suspend_user_minuid="500"

# Enable Email Alerting
email_alert="1"

# Email Address in which you want to receive scan reports
email_addr="you@domain.com"

# Use with ClamAV
scan_clamscan="1"

# Enable scanning for root-owned files. Set 1 to disable.
scan_ignore_root="0"

Athugaðu, allar stillingar hér eru valfrjálsar og þú getur stillt þínar eigin þar sem engin rétt eða röng svör eru hér.


Fáðu


Uppfærðu skilgreiningar Maldet veira & Hugbúnaður

Í fyrsta lagi þarftu að ganga úr skugga um scan_user_access="1″ er kveikt á í stillingarskránni sem nefnd var áður til að halda áfram.

Næst skaltu keyra eftirfarandi skipun til að búa til réttar slóðir fyrir innskráðan notanda; þú gætir átt í vandræðum með að uppfæra án þess að gera þetta.

sudo /usr/local/sbin/maldet --mkpubpaths

Ef þú tekst ekki að gera þetta færðu eftirfarandi villu.

public scanning is enabled (scan_user_access=1) but paths do not exist, please contact your system administrator to run '/usr/local/sbin/maldet --mkpubpaths' or wait for cron.pub to execute in ~10 minutes.

Til að uppfæra Maldet vírusskilgreiningargagnagrunninn skaltu framkvæma eftirfarandi skipun:

maldet -u

Dæmi úttak:

Í öðru lagi, til að leita að nýrri útgáfum af núverandi hugbúnaði, sláðu inn eftirfarandi skipun:

maldet -d

Dæmi úttak:

Valfrjálst - Settu upp ClamAV

Einn af bestu hlutunum við notkun Maldet er samhæfni þess við ClamAV, sem getur aukið skönnunarmöguleika Maldet um mikið.

Settu fyrst upp EPEL geymsluna til að setja upp nýjustu ClamAV útgáfuna sem til er ásamt ósjálfstæði hennar:

sudo dnf install epel-release

Til að setja upp ClamAV geturðu gert það með því að framkvæma eftirfarandi skipun:

sudo dnf install clamav clamav-devel -y

Vinsamlegast sjáðu leiðbeiningar okkar á setja upp og nota ClamAV fyrir Rocky Linux 8 eða heildarleiðbeiningar um uppsetningu ClamAV.


Fáðu


Skönnun með Maldet – Dæmi

Í fyrsta lagi ættir þú að kynnast Maldet setningafræðinni. Allar skipanir byrja á maldet og síðan fylgja valkostir og möppuslóð, til dæmis, maldet [VALKOSTI] [MÁLSLEI].

Hér að neðan er fjallað um flest setningafræðidæmin með Maldet:

  • -b: Framkvæma aðgerðir í bakgrunni.
  • -u: Uppfærðu undirskriftir fyrir uppgötvun spilliforrita.
  • -l: Skoða maldet log skrá atburði.
  • -d: Uppfærðu uppsettu útgáfuna.
  • -a: Skannaðu allar skrár á slóðinni.
  • -p: Hreinsaðu annála, lotu og tímabundin gögn.
  • -q: Settu allt spilliforrit úr skýrslunni í sóttkví.
  • -n: Hreinsaðu og endurheimtu spilliforrit úr skýrslunni.

Til að prófa Maldet og ganga úr skugga um að það virki rétt geturðu prófað virkni LMD með því að hlaða niður a (sýnishorn af vírusundirskrift) af vefsíðu EICAR.

cd /tmp
wget http://www.eicar.org/download/eicar_com.zip
wget http://www.eicar.org/download/eicarcom2.zip

Næst muntu framkvæma (maldet) skipun til að skanna (tmp) skrá sem hér segir:

maldet -a /tmp

Nú, með sýktum skrám okkar, muntu fá svipað framleiðsla og hér að neðan:

Eins og þú gætir hafa tekið eftir er kennsla ekki stillt sjálfkrafa á sóttkví fyrir uppsetningu okkar. Stundum geta rangar jákvæðar upplýsingar og að fjarlægja skrár á netþjónum í beinni valdið fleiri vandamálum en það leysir. Góður stjórnandi eða miðlaraeigandi mun stöðugt athuga stöðugt til að athuga niðurstöðurnar og sannreyna.

Einnig, af úttakinu, geturðu séð að á prófunarþjóninum okkar höfum við sett upp ClamAV og að Maldet notar ClamAV skannavélina til að framkvæma skönnunina og tókst að finna spilliforrit.

Sumar aðrar skipanir sem þú getur gert er að miða á skráarviðbót netþjónsins; PHP skrár eru oft skotmark margra árása. Til að skanna .php skrár skaltu nota eftirfarandi:

maldet -a /var/www/html/*.php

Þetta er tilvalið fyrir stærri vefsíður eða netþjóna með fullt af skrám til að skanna og smærri netþjónar myndu njóta góðs af því að skanna alla möppuna.

Maldet Scan skýrslur

Maldet geymir skannaskýrslur undir möppu (/usr/local/maldetect/sess/). Þú getur notað eftirfarandi skipun ásamt (skanna auðkenni) til að sjá ítarlega skýrslu sem hér segir:

maldet --report 210911-0929.26646

Næst verður þú færð í sprettigluggaskýrslu í textaritli (nano) eins og dæmið hér að neðan:

Eins og þú sérð er heildarskýrslan um högglistann og upplýsingar um skrárnar til frekari skoðunar og rannsóknar.

Skráin er þegar vistuð (CTRL+X) að hætta þegar yfirferð er lokið.

Valfrjálst, ef þú vilt setja sýktu skrárnar í sóttkví eftir það úr skýrslunni fljótt, keyrðu eftirfarandi skipun:

maldet -q "report number"

Dæmi:

maldet -q 210911-0929.26646

Fáðu


Athugasemdir og niðurstaða

Í eftirfarandi kennslu hefurðu lært hvernig á að setja upp Maldet á Rocky Linux 8 og nota grunnatriðin á vefþjóni til að skanna sýktar skrár. Á heildina litið er hugbúnaðurinn áhrifarík leið til að hreinsa sýkingarnar og er nokkuð góður í því, þó að tryggja öryggi notandans eða vefsíðunnar sem er í hættu er samt nauðsynleg til að forðast endursýkingu og ætti að vera fyrsti punkturinn áður en Maldet er notað, þar sem góðar öryggisreglur og stillingar mun næstum alltaf koma í veg fyrir að sýkingar eigi sér stað í fyrsta lagi.

Ef þú vilt vita meira um Maldet skipanir skaltu heimsækja embættismanninn skjalasíðan.

Leyfi a Athugasemd