Com instal·lar i utilitzar Linux Malware Detect (LMD) amb ClamAV com a motor antivirus

Programari maliciós, o programari maliciós, és la designació que es dóna a qualsevol programa que tingui com a objectiu interrompre el funcionament normal d'un sistema informàtic. Tot i que les formes més conegudes de programari maliciós són els virus, el programari espia i el programari publicitari, el dany que pretenen causar pot anar des del robatori d'informació privada fins a la supressió de dades personals i tot el que hi ha entremig, mentre que un altre ús clàssic del programari maliciós és controlar el sistema per utilitzar-lo per llançar botnets en un atac (D)DoS.

En altres paraules, no us podeu permetre el luxe de pensar: No necessito protegir els meus sistemes contra programari maliciós, ja que no emmagatzeme cap dada sensible o important, perquè aquests no són els únics objectius del programari maliciós. .

Per aquest motiu, en aquest article, explicarem com instal·lar i configurar Linux Malware Detect (també conegut com a MalDet o LMD per abreujar) juntament amb ClamAV (motor antivirus) a RHEL 8/7/6 (on x és el número de versió), CentOS 8/7/6 i Fedora 30-32 (les mateixes instruccions també funcionen als sistemes Ubuntu i Debian) .

Un escàner de programari maliciós llançat sota la llicència GPL v2, especialment dissenyat per a entorns d'allotjament. Tanmateix, ràpidament us adonareu que us beneficiareu de MalDet independentment del tipus d'entorn en què treballeu.

Instal·lació de LMD a RHEL/CentOS i Fedora

LMD no està disponible als repositoris en línia, però es distribueix com a tarball des del lloc web del projecte. El fitxer tarball que conté el codi font de l'última versió està sempre disponible al següent enllaç, on es pot descarregar amb l'ordre wget:

# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Aleshores hem de desempaquetar el fitxer tarball i entrar al directori on s'ha extret el seu contingut. Com que la versió actual és 1.6.4, el directori és maldetect-1.6.4. Allà trobarem l'script d'instal·lació, install.sh.

# tar -xvf maldetect-current.tar.gz
# ls -l | grep maldetect
# cd maldetect-1.6.4/
# ls

Si inspeccionem l'script d'instal·lació, que només té 75 línies (inclosos els comentaris), veurem que no només instal·la l'eina sinó que també fa una comprovació prèvia per veure si el directori d'instal·lació predeterminat ( /usr/local/maldetect) existeix. Si no, l'script crea el directori d'instal·lació abans de continuar.

Finalment, un cop finalitzada la instal·lació, es programa una execució diària mitjançant cron col·locant l'script cron.daily (consulteu la imatge de dalt) a /etc/ cron.diària. Aquest script d'ajuda, entre altres coses, esborrarà dades temporals antigues, comprovarà si hi ha noves versions de LMD i escanejarà els panells de control web i Apache predeterminats (és a dir, CPanel, DirectAdmin, per citar-ne alguns) directoris de dades predeterminats.

Dit això, executeu l'script d'instal·lació com de costum:

# ./install.sh

Configuració de la detecció de programari maliciós de Linux

La configuració de LMD es gestiona a través de /usr/local/maldetect/conf.maldet i totes les opcions estan ben comentades perquè la configuració sigui una tasca bastant fàcil. En cas que us encalleu, també podeu consultar /maldetect-1.6.4/README per obtenir més instruccions.

Al fitxer de configuració trobareu els següents apartats, inclosos entre claudàtors:

  1. ALERTES PER CORREU ELECTRÒNIC
  2. OPCIONS DE QUARENTENA
  3. OPCIONS D'ESCANEIG
  4. ANÀLISI ESTADÍSTICA
  5. OPCIONS DE CONTROL

Cadascuna d'aquestes seccions conté diverses variables que indiquen com es comportarà LMD i quines funcions estan disponibles.

  1. Definiu email_alert=1 si voleu rebre notificacions per correu electrònic dels resultats de la inspecció de programari maliciós. Per a la brevetat, només transmetrem el correu als usuaris del sistema local, però també podeu explorar altres opcions, com ara enviar alertes de correu a l'exterior.
  2. Definiu email_subj=El vostre assumpte aquí i [email  si anteriorment heu definit email_alert=1.
  3. Amb quar_hits, l'acció de quarantena predeterminada per a les visites de programari maliciós (0 = només alerta, 1 = passar a la quarantena i l'alerta), indicaràs a LMD què ha de fer quan es detecti programari maliciós.
  4. quar_clean us permetrà decidir si voleu netejar les injeccions de programari maliciós basades en cadenes. Tingueu en compte que una signatura de cadena és, per definició, \una seqüència de bytes contigua que potencialment pot coincidir amb moltes variants d'una família de programari maliciós.
  5. quar_susp, l'acció de suspensió predeterminada per als usuaris amb visites, us permetrà desactivar un compte els fitxers del qual s'han identificat com a visites.
  6. clamav_scan=1 dirà a LMD que intenti detectar la presència del binari ClamAV i que l'utilitzi com a motor d'escàner predeterminat. Això ofereix un rendiment d'escaneig fins a quatre vegades més ràpid i una anàlisi hexadecimal superior. Aquesta opció només utilitza ClamAV com a motor d'escàner i les signatures LMD segueixen sent la base per detectar amenaces.

En resum, les línies amb aquestes variables haurien de tenir el següent aspecte a /usr/local/maldetect/conf.maldet:

email_alert=1
[email 
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quar_hits=1
quar_clean=1
quar_susp=1
clam_av=1

Instal·lació de ClamAV a RHEL/CentOS i Fedora

Per instal·lar ClamAV i aprofitar la configuració de clamav_scan, seguiu aquests passos:

Activa el repositori EPEL.

# yum install epel-release

Llavors fes:

# yum update && yum install clamd
# apt update && apt-get install clamav clamav-daemon  [Ubuntu/Debian]

Nota: que aquestes són només les instruccions bàsiques per instal·lar ClamAV per tal d'integrar-lo amb LMD. No entrarem en detalls pel que fa a la configuració de ClamAV, ja que com hem dit anteriorment, les signatures LMD segueixen sent la base per detectar i netejar les amenaces.

Prova Linux Malware Detect

Ara és el moment de provar la nostra recent instal·lació LMD/ClamAV. En lloc d'utilitzar programari maliciós real, utilitzarem els fitxers de prova EICAR, que es poden descarregar des del lloc web d'EICAR.

# cd /var/www/html
# wget http://www.eicar.org/download/eicar.com 
# wget http://www.eicar.org/download/eicar.com.txt 
# wget http://www.eicar.org/download/eicar_com.zip 
# wget http://www.eicar.org/download/eicarcom2.zip

En aquest punt, podeu esperar que s'executi el següent treball cron o bé executar maldet manualment. Anirem amb la segona opció:

# maldet --scan-all /var/www/

LMD també accepta comodins, de manera que si només voleu escanejar un determinat tipus de fitxer (és a dir, fitxers zip, per exemple), podeu fer-ho:

# maldet --scan-all /var/www/*.zip

Quan s'hagi completat l'escaneig, podeu consultar el correu electrònic enviat per LMD o veure l'informe amb:

# maldet --report 021015-1051.3559

On 021015-1051.3559 és l'SCANID (l'SCANID serà lleugerament diferent en el vostre cas).

Important: tingueu en compte que LMD va trobar 5 visites ja que el fitxer eicar.com es va baixar dues vegades (d'aquesta manera va resultar eicar.com i eicar.com.1).

Si comproveu la carpeta de quarantena (acabo de deixar un dels fitxers i he suprimit la resta), veurem el següent:

# ls -l

A continuació, podeu eliminar tots els fitxers en quarantena amb:

# rm -rf /usr/local/maldetect/quarantine/*

En cas que,

# maldet --clean SCANID

No fa la feina per algun motiu. Podeu consultar el següent screencast per obtenir una explicació pas a pas del procés anterior:

Com que maldet s'ha d'integrar amb cron, heu d'establir les variables següents al crontab de l'arrel (escriviu crontab -e com a root i premeu el botó Tecla Enter) en cas que observeu que LMD no funciona correctament cada dia:

PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
SHELL=/bin/bash

Això ajudarà a proporcionar la informació de depuració necessària.

Conclusió

En aquest article, hem parlat de com instal·lar i configurar Linux Malware Detect, juntament amb ClamAV, un poderós aliat. Amb l'ajuda d'aquestes dues eines, detectar programari maliciós hauria de ser una tasca bastant fàcil.

Tanmateix, feu-vos un favor i familiaritzeu-vos amb el fitxer README tal com s'ha explicat anteriorment, i podreu estar segurs que el vostre sistema està ben comptat i gestionat.

No dubteu a deixar els vostres comentaris o preguntes, si n'hi ha, utilitzant el següent formulari.

Enllaços de referència

Pàgina d'inici de LMD