Come installare e configurare Linux Malware Detect (Maldet) su AlmaLinux 8

Linux Malware Detect (LMD), conosciuto anche come Maldet, è uno scanner di malware per Linux rilasciato sotto licenza GNU GPLv2. Maldet è piuttosto popolare tra gli amministratori di sistema e gli sviluppatori di siti Web grazie alla sua attenzione sul rilevamento di backdoor PHP, dark mailer e molti altri file dannosi che possono essere caricati su un sito Web compromesso utilizzando i dati delle minacce dai sistemi di rilevamento delle intrusioni ai margini della rete per estrarre il malware che è attivamente utilizzato negli attacchi e genera firme per il rilevamento.

Nel seguente tutorial imparerai come installare e utilizzare Maldet su AlmaLinux 8.

Prerequisiti

  • Sistema operativo consigliato: AlmaLinux 8.
  • Account utente: Un account utente con privilegi sudo or accesso root (comando su).

Aggiornamento del sistema operativo

Aggiorna il tuo AlmaLinux sistema operativo per assicurarsi che tutti i pacchetti esistenti siano aggiornati:

sudo dnf upgrade --refresh -y

Il tutorial utilizzerà il comando sudo che collaborano con noi, attingono direttamente dalla storia e dalla tradizione veneziana supponendo che tu abbia lo stato di sudo.

Per verificare lo stato di sudo sul tuo account:

sudo whoami

Esempio di output che mostra lo stato di sudo:

[joshua@localhost ~]$ sudo whoami
root

Per configurare un account sudo esistente o nuovo, visita il nostro tutorial su Come aggiungere un utente a Sudoers su AlmaLinux.

Per utilizzare l' account di root, usa il seguente comando con la password di root per accedere.

su

pubblicità


Installa Maldet

Per installare Maldet, avrai bisogno del loro archivio di pacchetti, che può essere trovato sul sito ufficiale pagina di download. Tuttavia, quando si verificano aggiornamenti, non cambiano l'URL del file, quindi fortunatamente il collegamento per il download non cambierà spesso.

Al momento di questo tutorial, versione (1.6.4) è l'ultima; tuttavia, nel tempo, questo cambierà. Per scaricare l'ultima versione ora e in futuro, digita il seguente comando:

cd /tmp/ && wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Nella parte successiva, dovrai estrarre l'archivio, cosa che puoi fare con il seguente comando:

tar xfz maldetect-current.tar.gz

Ora hai confermato che l'archivio è stato estratto correttamente, lo farai (CD) nella directory ed eseguire lo script di installazione per installare Maldet con il seguente comando:

cd maldetect-1.6.4 && sudo ./install.sh

L'installazione dovrebbe essere completata in pochi secondi e otterrai un output simile a quello di seguito:

Configura Maldet

Ora che hai terminato con successo lo script di installazione, puoi modificare il file di configurazione utilizzando il tuo editor di testo preferito. Di seguito sono riportati alcuni esempi di alcune impostazioni e pratiche popolari che utilizzano (nano) editor di testo:

Innanzitutto, apri il (conf.maldet) file:

sudo nano /usr/local/maldetect/conf.maldet

Quindi, trova le seguenti righe e modificale come di seguito:

# To enable the email notification.
email_alert="1"

# Specify the email address on which you want to receive an email notification.
email_addr="user@domain.com"

# Enable the LMD signature autoupdate.
autoupdate_signatures="1"

# Enable the automatic updates of the LMD installation.
autoupdate_version="1"

# Enable the daily automatic scanning.
cron_daily_scan="1"

# Allows non-root users to perform scans.
scan_user_access="1"
 
# Move hits to quarantine & alert
quarantine_hits="1"

# Clean string based malware injections.
quarantine_clean="0"

# Suspend user if malware found. 
quarantine_suspend_user="1"

# Minimum userid value that be suspended
quarantine_suspend_user_minuid="500"

# Enable Email Alerting
email_alert="1"

# Email Address in which you want to receive scan reports
email_addr="you@domain.com"

# Use with ClamAV
scan_clamscan="1"

# Enable scanning for root-owned files. Set 1 to disable.
scan_ignore_root="0"

Nota, tutte le impostazioni qui sono facoltative e puoi impostare le tue poiché non ci sono risposte giuste o sbagliate qui.


pubblicità


Aggiorna le definizioni e il software dei virus Maldet

In primo luogo, dovrai assicurarti scan_user_access="1" è attivo nel file di configurazione menzionato in precedenza per continuare.

Quindi, esegui il seguente comando per creare i percorsi corretti per l'utente connesso; potresti avere problemi con l'aggiornamento senza farlo.

sudo /usr/local/sbin/maldet --mkpubpaths

Se non lo fai, otterrai il seguente errore.

public scanning is enabled (scan_user_access=1) but paths do not exist, please contact your system administrator to run '/usr/local/sbin/maldet --mkpubpaths' or wait for cron.pub to execute in ~10 minutes.

Per aggiornare il database delle definizioni dei virus Maldet, eseguire il seguente comando:

maldet -u

Esempio di output:

In secondo luogo, per verificare la presenza di versioni più recenti del software esistente, digita il seguente comando:

maldet -d

Esempio di output:

Opzionale – Installa ClamAV

Una delle parti migliori dell'utilizzo di Maldet è la sua compatibilità con ClamAV, che può aumentare notevolmente la capacità di scansione di Maldet.

Innanzitutto, installa il repository EPEL per installare l'ultima versione ClamAV disponibile insieme alle sue dipendenze:

sudo dnf install epel-release

Per installare ClamAV, puoi farlo eseguendo il seguente comando:

sudo dnf install clamav clamav-devel -y

Per un tutorial completo su ClamAV con AlmaLinux 8, visita il nostro tutorial su Come installare e utilizzare ClamAV su AlmaLinux 8.


pubblicità


Scansione con Maldet – Esempi

Innanzitutto, dovresti familiarizzare con la sintassi di Maldet. Tutti i comandi iniziano con maldet, quindi sono seguiti dall'opzione e dal percorso della directory, ad esempio maldet [OPZIONE] [PERCORSO DIRECTORY].

Di seguito viene illustrata la maggior parte degli esempi di sintassi con Maldet:

  • -B : Eseguire operazioni in background.
  • -u: Aggiorna le firme di rilevamento del malware.
  • -l: Visualizza gli eventi del file di registro maldet.
  • -D : Aggiorna la versione installata.
  • -un : Scansiona tutti i file nel percorso.
  • -P : Cancella log, sessione e dati temporanei.
  • -Q : Metti in quarantena tutto il malware dal rapporto.
  • -n : Pulisci e ripristina gli hit malware dal rapporto.

Per testare Maldet e assicurarti che funzioni correttamente, puoi testare la funzionalità di LMD scaricando a (esempio di firma del virus) dal sito dell'EICAR.

cd /tmp
wget http://www.eicar.org/download/eicar_com.zip
wget http://www.eicar.org/download/eicarcom2.zip

Successivamente, eseguirai il (maldetto) comando per scansionare il (tmp) directory come segue:

maldet -a /tmp

Ora, con i nostri file infetti, otterrai un output simile come di seguito:

Come avrai notato, il tutorial è impostato per non mettere automaticamente in quarantena per la nostra configurazione poiché a volte i falsi positivi e la rimozione di file sui server live possono causare più problemi di quanti ne risolvano. Un buon amministratore di sistema o proprietario del server controllerà continuamente costantemente per controllare i risultati e verificare.

Inoltre, dall'output, puoi vedere che nel nostro server di test abbiamo installato ClamAV e che Maldet sta utilizzando il motore di scansione ClamAV per eseguire la scansione ed è riuscito a trovare hit malware.

Alcuni altri comandi che puoi fare sono indirizzare le estensioni dei file del tuo server; I file PHP sono spesso il bersaglio di molti attacchi. Per scansionare i file .php, usa quanto segue:

maldet -a /var/www/html/*.php

Questo è l'ideale per siti Web o server più grandi con molti file da scansionare e i server più piccoli trarrebbero vantaggio dalla scansione dell'intera directory.

Rapporti di scansione Maldet

Maldet memorizza i rapporti di scansione nella posizione della directory (/usr/local/maldetect/sess/). È possibile utilizzare il seguente comando insieme a (ID scansione) per vedere un rapporto dettagliato come segue:

maldet --report 211018-2316.5816

Esempio:

Successivamente, verrai indirizzato a un rapporto pop-up in un editor di testo (nano) come l'esempio qui sotto:

Come puoi vedere, il rapporto completo dell'elenco dei risultati e i dettagli che circondano i file sono per ulteriori revisioni e indagini.

Il file è già stato salvato (CTRL+X) per uscire una volta terminata la revisione.

Facoltativamente, se si desidera mettere rapidamente in quarantena i file infetti successivamente al rapporto, eseguire il comando seguente:

maldet -q "report number"

Esempio:

maldet -q 211018-2316.5816

pubblicità


Commenti e Conclusione

Nel seguente tutorial, hai imparato come installare Maldet su AlmaLinux 8 e utilizzare le basi su un server web per scansionare i file infetti. Nel complesso, il software è un mezzo efficace per pulire le infezioni ed è abbastanza bravo a farlo, tuttavia è ancora necessario proteggere l'utente o il sito Web compromesso per evitare la reinfezione e dovrebbe essere il primo punto prima di utilizzare Maldet, come buoni protocolli di sicurezza e configurazione quasi sempre preverrà le infezioni che si verificano in primo luogo.

Se vuoi saperne di più sui comandi Maldet, visita il sito ufficiale pagina di documentazione.

2 pensieri su "Come installare e configurare Linux Malware Detect (Maldet) su AlmaLinux 8"

  1. Il file maldetect-current.tar.gz che ho appena scaricato ha DUE ANNI, quindi dubito davvero che rileverà qualcosa attualmente attivo che causa problemi...

    Rispondi
    • Grazie per il messaggio.

      Il programma è di due anni è valido. Tuttavia, stai usando AlmaLinux e la maggior parte dei pacchetti ha più di due anni perché sono stabili, lo stesso con Rocky Linux e distribuzioni simili. Quindi, usando AlmaLinux, per cui questo tutorial è, quindi preoccupato per l'età del pacchetto, non sono sicuro da dove vieni, per non essere scortese.

      È ancora ampiamente utilizzato tra molte persone nelle distribuzioni, ammesso che si possa inserire più sviluppo, ma sembrano essere felici dove si trova.

      Infine, controlla le definizioni……

      Aggiornato ogni giorno!!!!!!!!!!!!!! Ho tirato fresco stamattina.

      maldet(3197): {sigup} esegue il controllo dell'aggiornamento della firma...
      maldet(3197): il set di firme locali {sigup} è la versione 202110162383422
      maldet(3197): {sigup} nuovo set di firme 202110193057414 disponibile
      maldet(3197): {sigup} download https://cdn.rfxn.com/downloads/maldet-sigpack.tgz
      maldet(3197): {sigup} download https://cdn.rfxn.com/downloads/maldet-cleanv2.tgz
      maldet(3197): {sigup} verificato md5sum di maldet-sigpack.tgz
      maldet(3197): {sigup} decompresso e installato maldet-sigpack.tgz
      maldet(3197): {sigup} verificato md5sum di maldet-clean.tgz
      maldet(3197): {sigup} decompresso e installato maldet-clean.tgz
      maldet(3197): {sigup} aggiornamento del set di firme completato
      maldet(3197): {sigup} 17258 firme (14436 MD5 | 2039 HEX | 783 YARA | 0 UTENTE)

      Questo è il motivo per cui le persone lo usano ancora. Certo, esistono alcune alternative che potrebbero fare meglio il lavoro, ma Maldet è un'opzione per la scansione di malware che ha ancora firme aggiornate valide e continue che vengono aggiornate una o due volte al giorno.

      Rispondi

Lascia un tuo commento