LMD (Linux Malware Detect) adalah pendeteksi malware open source untuk sistem operasi Linux. LMD dirancang khusus untuk lingkungan hosting bersama guna mendeteksi dan menghapus ancaman di file pengguna.
Dalam panduan ini, kita akan menginstal Linux Malware Detect (LMD) dengan ClamAV di Debian 9 / Ubuntu 16.04 / LinuxMint 18 .
Instal Linux Malware Detect di Debian
LMD tidak tersedia di repositori dasar sebagai paket yang dibuat sebelumnya, tetapi Anda bisa mendapatkan LMD sebagai tarball dari situs web proyek resmi.
Unduh LMD versi terbaru (v1.6.2) menggunakan perintah berikut.
cd /tmp/ curl -O http://www.rfxn.com/downloads/maldetect-current.tar.gz
Buka kemasan tarball menggunakan perintah tar .
tar -zxvf maldetect-current.tar.gz
Buka direktori yang diekstrak.
cd maldetect-1.6.2/
Jalankan skrip instalasi install.sh yang ada di direktori yang diekstrak.
bash install.sh
Keluaran:
Created symlink /etc/systemd/system/multi-user.target.wants/maldet.service → /usr/lib/systemd/system/maldet.service.
update-rc.d: error: unable to read /etc/init.d/maldet
Linux Malware Detect v1.6
(C) 2002-2017, R-fx Networks <[email protected]>
(C) 2017, Ryan MacDonald <[email protected]>
This program may be freely redistributed under the terms of the GNU GPL
installation completed to /usr/local/maldetect
config file: /usr/local/maldetect/conf.maldet
exec file: /usr/local/maldetect/maldet
exec link: /usr/local/sbin/maldet
exec link: /usr/local/sbin/lmd
cron.daily: /etc/cron.daily/maldet
maldet(933): {sigup} performing signature update check...
maldet(933): {sigup} local signature set is version 2017070716978
maldet(933): {sigup} new signature set (201708255569) available
maldet(933): {sigup} downloading https://cdn.rfxn.com/downloads/maldet-sigpack.tgz
maldet(933): {sigup} downloading https://cdn.rfxn.com/downloads/maldet-cleanv2.tgz
maldet(933): {sigup} verified md5sum of maldet-sigpack.tgz
maldet(933): {sigup} unpacked and installed maldet-sigpack.tgz
maldet(933): {sigup} verified md5sum of maldet-clean.tgz
maldet(933): {sigup} unpacked and installed maldet-clean.tgz
maldet(933): {sigup} signature set update completed
maldet(933): {sigup} 15218 signatures (12485 MD5 | 1954 HEX | 779 YARA | 0 USER) Konfigurasi Deteksi Malware Linux
/usr/local/maldetect/conf.maldet adalah file konfigurasi utama LMD. Anda dapat mengubah parameternya sesuai dengan kebutuhan Anda.
nano /usr/local/maldetect/conf.maldet
Berikut adalah beberapa setelan yang harus Anda miliki di LMD agar berhasil mendeteksi dan menghapus ancaman malware.
# Enable Email Alerting email_alert="1" # Email Address in which you want to receive scan reports email_addr="[email protected]" # Use with ClamAV scan_clamscan="1" # Enable scanning for root-owned files. Set 1 to disable. scan_ignore_root="0" # Move threats to quarantine quarantine_hits="1" # Clean string based malware injections quarantine_clean="1" # Suspend user if malware found. quarantine_suspend_user="1" # Minimum userid value that be suspended quarantine_suspend_user_minuid="500"
Jika Anda tidak ingin menggunakan LMD dengan ClamAV, lewati bagian di bawah ini.
Deteksi Malware Linux dengan ClamAV
LMD berkinerja lebih baik dengan ClamAV, terutama saat memindai kumpulan file besar. ClamAV (Clam Antivirus) adalah mesin antivirus open source untuk mendeteksi virus, malware, trojan &ancaman berbahaya lainnya.
ClamAV tersedia di repositori dasar, jadi Anda dapat menggunakan perintah apt untuk menginstalnya.
apt-get -y install clamav clamav-daemon clamdscan
Secara default, penggunaan ClamAV dengan LMD telah diaktifkan.
Pindai dengan Linux Malware Detect
Mari kita uji fungsionalitas LMD dengan mengunduh sampel tanda tangan virus dari situs web EICAR.
cd /tmp wget http://www.eicar.org/download/eicar_com.zip wget http://www.eicar.org/download/eicarcom2.zip
Sekarang, pindai direktori /tmp untuk mencari malware.
maldet -a /tmp
Keluaran:
Linux Malware Detect v1.6.2
(C) 2002-2017, R-fx Networks <[email protected]>
(C) 2017, Ryan MacDonald <[email protected]>
This program may be freely redistributed under the terms of the GNU GPL v2
maldet(4209): {scan} signatures loaded: 15218 (12485 MD5 | 1954 HEX | 779 YARA | 0 USER)
maldet(4209): {scan} building file list for /tmp, this might take awhile...
maldet(4209): {scan} setting nice scheduler priorities for all operations: cpunice 19 , ionice 6
maldet(4209): {scan} file list completed in 0s, found 4 files...
maldet(4209): {scan} found clamav binary at /usr/bin/clamscan, using clamav scanner engine...
maldet(4209): {scan} scan of /tmp (4 files) in progress...
maldet(4209): {scan} processing scan results for hits: 2 hits 0 cleaned
maldet(4209): {scan} scan completed on /tmp: files 4, malware hits 2, cleaned hits 0, time 12s
maldet(4209): {scan} scan report saved, to view run: maldet --report 171026-1103.4209 Dari output, Anda dapat melihat bahwa LMD menggunakan mesin pemindai ClamAV untuk melakukan pemindaian dan berhasil menemukan dua serangan malware.
Laporan Pemindaian Pendeteksi Malware Linux
LMD menyimpan laporan pemindaiannya di /usr/local/maldetect/sess/ . Gunakan perintah maldet bersama dengan SCAN ID untuk melihat laporan pemindaian mendetail.
maldet --report 171026-1103.4209
Keluaran:
HOST: lmd
SCAN ID: 171026-1103.4209
STARTED: Oct 26 2017 11:03:16 +0000
COMPLETED: Oct 26 2017 11:03:28 +0000
ELAPSED: 12s [find: 0s]
PATH: /tmp
TOTAL FILES: 4
TOTAL HITS: 2
TOTAL CLEANED: 0
FILE HIT LIST:
{HEX}EICAR.TEST.10 : /tmp/eicar_com.zip => /usr/local/maldetect/quarantine/eicar_com.zip.296395948
{HEX}EICAR.TEST.10 : /tmp/eicarcom2.zip => /usr/local/maldetect/quarantine/eicarcom2.zip.418410660
===============================================
Linux Malware Detect v1.6.2 < [email protected] > Perbarui Deteksi Malware Linux
Gunakan perintah di bawah ini untuk memperbarui LMD Anda.
maldet -d
Untuk memperbarui tanda tangan LMD, jalankan:
maldet -u
Itu saja.