Linux Malware Detect (LMD) adalah pendeteksi malware untuk sistem operasi Linux , dirilis di bawah GNU GPLv2. LMD dirancang khusus untuk lingkungan hosting bersama guna menghapus atau mendeteksi ancaman dalam file pengguna.
Dalam posting ini, kami akan menginstal Linux Malware Detect dengan ClamAV di CentOS 7 .
Instal LMD di CentOS 7 / RHEL 7
LMD tidak tersedia di CentOS repositori resmi sebagai paket yang dibuat sebelumnya, tetapi tersedia sebagai tarball dari situs web proyek LMD. Unduh versi terbaru LMD menggunakan perintah berikut.
cd /tmp/ curl -O http://www.rfxn.com/downloads/maldetect-current.tar.gz
Buka paket tarball dan masuk ke direktori yang diekstrak.
tar -zxvf maldetect-current.tar.gz cd maldetect*
Jalankan skrip instalasi install.sh ada di direktori yang diekstrak.
bash install.sh
Keluaran:
Created symlink from /etc/systemd/system/multi-user.target.wants/maldet.service to /usr/lib/systemd/system/maldet.service. Linux Malware Detect v1.6 (C) 2002-2017, R-fx Networks <[email protected]> (C) 2017, Ryan MacDonald <[email protected]> This program may be freely redistributed under the terms of the GNU GPL installation completed to /usr/local/maldetect config file: /usr/local/maldetect/conf.maldet exec file: /usr/local/maldetect/maldet exec link: /usr/local/sbin/maldet exec link: /usr/local/sbin/lmd cron.daily: /etc/cron.daily/maldet maldet(1344): {sigup} performing signature update check... maldet(1344): {sigup} local signature set is version 2017070716978 maldet(1344): {sigup} new signature set (2017080720059) available maldet(1344): {sigup} downloading https://cdn.rfxn.com/downloads/maldet-sigpack.tgz maldet(1344): {sigup} downloading https://cdn.rfxn.com/downloads/maldet-cleanv2.tgz maldet(1344): {sigup} verified md5sum of maldet-sigpack.tgz maldet(1344): {sigup} unpacked and installed maldet-sigpack.tgz maldet(1344): {sigup} verified md5sum of maldet-clean.tgz maldet(1344): {sigup} unpacked and installed maldet-clean.tgz maldet(1344): {sigup} signature set update completed maldet(1344): {sigup} 15215 signatures (12485 MD5 | 1951 HEX | 779 YARA | 0 USER)
Konfigurasi Deteksi Malware Linux
File konfigurasi utama LMD adalah /usr/local/maldetect/conf.maldet dan Anda dapat memodifikasinya sesuai kebutuhan Anda.
vi /usr/local/maldetect/conf.maldet
Di bawah ini adalah beberapa pengaturan penting yang harus Anda miliki di sistem Anda agar berhasil mendeteksi dan menghapus ancaman.
# Enable Email Alerting email_alert="1" # Email Address in which you want to receive scan reports email_addr="[email protected]" # Use with ClamAV scan_clamscan="1" # Enable scanning for root owned files. Set 1 to disable. scan_ignore_root="0" # Move threats to quarantine quarantine_hits="1" # Clean string based malware injections quarantine_clean="1" # Suspend user if malware found. quarantine_suspend_user="1" # Minimum userid value that be suspended quarantine_suspend_user_minuid="500"
Lewati ke pemindaian malware jika Anda tidak ingin menggunakan LMD dengan ClamAV.
Deteksi Malware Linux dengan ClamAV
LMD berkinerja lebih baik dalam memindai kumpulan file besar dengan ClamAV. ClamAV (Antivirus Clam) adalah solusi antivirus open source untuk mendeteksi virus, malware, trojan, dan program jahat lainnya.
ClamAV tersedia di repositori EPEL , jadi konfigurasikan di CentOS / RHEL your Anda mesin.
rpm -ivh https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
Instal ClamAV menggunakan perintah YUM.
yum -y install clamav clamav-devel clamav-update inotify-tools
Sekarang, perbarui database virus ClamAV menggunakan perintah berikut.
freshclam
Tidak diperlukan konfigurasi tambahan dengan LMD karena penggunaan ClamAV dengan LMD diaktifkan secara default.
Menguji Deteksi Malware Linux
Mari kita uji fungsionalitas LMD menggunakan virus uji. Unduh tanda tangan virus dari situs web EICAR .
cd /tmp wget http://www.eicar.org/download/eicar_com.zip wget http://www.eicar.org/download/eicarcom2.zip
Sekarang, pindai direktori dari malware.
maldet -a /tmp
Keluaran:
Linux Malware Detect v1.6.2
(C) 2002-2017, R-fx Networks <[email protected]>
(C) 2017, Ryan MacDonald <[email protected]>
This program may be freely redistributed under the terms of the GNU GPL v2
maldet(2004): {scan} signatures loaded: 15215 (12485 MD5 | 1951 HEX | 779 YARA | 0 USER)
maldet(2004): {scan} building file list for /tmp, this might take awhile...
maldet(2004): {scan} setting nice scheduler priorities for all operations: cpunice 19 , ionice 6
maldet(2004): {scan} file list completed in 0s, found 74 files...
maldet(2004): {scan} found clamav binary at /bin/clamscan, using clamav scanner engine...
maldet(2004): {scan} scan of /tmp (74 files) in progress...
maldet(2004): {scan} processing scan results for hits: 2 hits 0 cleaned
maldet(2004): {scan} scan completed on /tmp: files 74, malware hits 2, cleaned hits 0, time 11s
maldet(2004): {scan} scan report saved, to view run: maldet --report 170814-1058.2004
maldet(2004): {alert} sent scan report to [email protected] Dari output, Anda dapat melihat bahwa LMD menggunakan mesin pemindai ClamAV untuk melakukan pemindaian dan menghasilkan dua serangan malware.
Laporan Pemindaian Pendeteksi Malware Linux
LMD menyimpan laporan pemindaian di bawah /usr/local/maldetect/sess/ . Gunakan perintah maldet dengan SCAN ID untuk melihat laporan pemindaian mendetail.
maldet --report 170808-1035.18497
Keluaran:
SUBJECT: maldet alert from server.itzgeek.local
HOST: lmddd
SCAN ID: 170814-1058.2004
STARTED: Aug 14 2017 10:58:20 +0000
COMPLETED: Aug 14 2017 10:58:31 +0000
ELAPSED: 11s [find: 0s]
PATH: /tmp
TOTAL FILES: 74
TOTAL HITS: 2
TOTAL CLEANED: 0
FILE HIT LIST:
{HEX}EICAR.TEST.10 : /tmp/eicar_com.zip => /usr/local/maldetect/quarantine/eicar_com.zip.491714154
{HEX}EICAR.TEST.10 : /tmp/eicarcom2.zip => /usr/local/maldetect/quarantine/eicarcom2.zip.506330946
===============================================
Linux Malware Detect v1.6.2 < [email protected] > Anda dapat melihat bahwa kedua file sekarang dikarantina.
Perbarui Deteksi Malware Linux
Gunakan perintah berikut untuk memperbarui LMD Anda.
maldet -d
Untuk memperbarui tanda tangan LMD, jalankan:
maldet -u
Itu saja.