LMD (Linux Malware Detect) è un rilevatore di malware open source per sistemi operativi Linux. LMD è particolarmente progettato per ambienti di hosting condiviso per rilevare e cancellare le minacce nei file degli utenti.
In questa guida, installeremo Linux Malware Detect (LMD) con ClamAV su Debian 9 / Ubuntu 16.04 / LinuxMint 18 .
Installa Linux Malware Detect su Debian
LMD non è disponibile nei repository di base come pacchetto precompilato, ma puoi ottenere LMD come tarball dal sito Web ufficiale del progetto.
Scarica l'ultima versione di LMD (v1.6.2) utilizzando il comando seguente.
cd /tmp/ curl -O http://www.rfxn.com/downloads/maldetect-current.tar.gz
Decomprimi il tarball usando il comando tar .
tar -zxvf maldetect-current.tar.gz
Vai alla directory estratta.
cd maldetect-1.6.2/
Esegui lo script di installazione install.sh presente nella directory estratta.
bash install.sh
Risultato:
Created symlink /etc/systemd/system/multi-user.target.wants/maldet.service → /usr/lib/systemd/system/maldet.service.
update-rc.d: error: unable to read /etc/init.d/maldet
Linux Malware Detect v1.6
(C) 2002-2017, R-fx Networks <[email protected]>
(C) 2017, Ryan MacDonald <[email protected]>
This program may be freely redistributed under the terms of the GNU GPL
installation completed to /usr/local/maldetect
config file: /usr/local/maldetect/conf.maldet
exec file: /usr/local/maldetect/maldet
exec link: /usr/local/sbin/maldet
exec link: /usr/local/sbin/lmd
cron.daily: /etc/cron.daily/maldet
maldet(933): {sigup} performing signature update check...
maldet(933): {sigup} local signature set is version 2017070716978
maldet(933): {sigup} new signature set (201708255569) available
maldet(933): {sigup} downloading https://cdn.rfxn.com/downloads/maldet-sigpack.tgz
maldet(933): {sigup} downloading https://cdn.rfxn.com/downloads/maldet-cleanv2.tgz
maldet(933): {sigup} verified md5sum of maldet-sigpack.tgz
maldet(933): {sigup} unpacked and installed maldet-sigpack.tgz
maldet(933): {sigup} verified md5sum of maldet-clean.tgz
maldet(933): {sigup} unpacked and installed maldet-clean.tgz
maldet(933): {sigup} signature set update completed
maldet(933): {sigup} 15218 signatures (12485 MD5 | 1954 HEX | 779 YARA | 0 USER) Configura il rilevamento malware Linux
/usr/local/maldetect/conf.maldet è il file di configurazione principale di LMD. Puoi modificarne i parametri in base alle tue esigenze.
nano /usr/local/maldetect/conf.maldet
Di seguito sono elencate le poche impostazioni che dovresti avere su LMD per rilevare ed eliminare con successo le minacce malware.
# Enable Email Alerting email_alert="1" # Email Address in which you want to receive scan reports email_addr="[email protected]" # Use with ClamAV scan_clamscan="1" # Enable scanning for root-owned files. Set 1 to disable. scan_ignore_root="0" # Move threats to quarantine quarantine_hits="1" # Clean string based malware injections quarantine_clean="1" # Suspend user if malware found. quarantine_suspend_user="1" # Minimum userid value that be suspended quarantine_suspend_user_minuid="500"
Se non desideri utilizzare LMD con ClamAV, salta la parte seguente.
Rileva malware Linux con ClamAV
LMD funziona meglio con ClamAV, specialmente quando si tratta di scansionare set di file di grandi dimensioni. ClamAV (Clam Antivirus) è un motore antivirus open source per rilevare virus, malware, trojan e altre minacce dannose.
ClamAV è disponibile nel repository di base, quindi puoi usare il comando apt per installarlo.
apt-get -y install clamav clamav-daemon clamdscan
Per impostazione predefinita, l'utilizzo di ClamAV con LMD è abilitato.
Scansione con rilevamento malware Linux
Proviamo la funzionalità di LMD scaricando la firma del virus di esempio dal sito Web EICAR.
cd /tmp wget http://www.eicar.org/download/eicar_com.zip wget http://www.eicar.org/download/eicarcom2.zip
Ora, scansiona la directory /tmp alla ricerca di malware.
maldet -a /tmp
Risultato:
Linux Malware Detect v1.6.2
(C) 2002-2017, R-fx Networks <[email protected]>
(C) 2017, Ryan MacDonald <[email protected]>
This program may be freely redistributed under the terms of the GNU GPL v2
maldet(4209): {scan} signatures loaded: 15218 (12485 MD5 | 1954 HEX | 779 YARA | 0 USER)
maldet(4209): {scan} building file list for /tmp, this might take awhile...
maldet(4209): {scan} setting nice scheduler priorities for all operations: cpunice 19 , ionice 6
maldet(4209): {scan} file list completed in 0s, found 4 files...
maldet(4209): {scan} found clamav binary at /usr/bin/clamscan, using clamav scanner engine...
maldet(4209): {scan} scan of /tmp (4 files) in progress...
maldet(4209): {scan} processing scan results for hits: 2 hits 0 cleaned
maldet(4209): {scan} scan completed on /tmp: files 4, malware hits 2, cleaned hits 0, time 12s
maldet(4209): {scan} scan report saved, to view run: maldet --report 171026-1103.4209 Dall'output, puoi notare che LMD utilizza il motore di scansione ClamAV per eseguire la scansione ed è riuscito a trovare due attacchi di malware.
Rapporto scansione rilevatore malware Linux
LMD archivia i rapporti di scansione in /usr/local/maldetect/sess/ . Utilizzare il comando maldet insieme a SCAN ID per visualizzare il rapporto di scansione dettagliato.
maldet --report 171026-1103.4209
Risultato:
HOST: lmd
SCAN ID: 171026-1103.4209
STARTED: Oct 26 2017 11:03:16 +0000
COMPLETED: Oct 26 2017 11:03:28 +0000
ELAPSED: 12s [find: 0s]
PATH: /tmp
TOTAL FILES: 4
TOTAL HITS: 2
TOTAL CLEANED: 0
FILE HIT LIST:
{HEX}EICAR.TEST.10 : /tmp/eicar_com.zip => /usr/local/maldetect/quarantine/eicar_com.zip.296395948
{HEX}EICAR.TEST.10 : /tmp/eicarcom2.zip => /usr/local/maldetect/quarantine/eicarcom2.zip.418410660
===============================================
Linux Malware Detect v1.6.2 < [email protected] > Aggiorna rilevamento malware Linux
Usa il comando seguente per aggiornare il tuo LMD.
maldet -d
Per aggiornare le firme LMD, esegui:
maldet -u
Questo è tutto.