Rilevamento malware Linux (LMD) , noto anche come Maldet , è uno scanner di malware per Linux rilasciato con licenza GNU GPLv2. Maldet è piuttosto popolare tra gli amministratori di sistema e gli sviluppatori di siti Web grazie alla sua attenzione al rilevamento di backdoor PHP, dark mailer e molti altri file dannosi che possono essere caricati su un sito Web compromesso utilizzando i dati sulle minacce dai sistemi di rilevamento delle intrusioni ai margini della rete per estrarre malware che è attivamente utilizzato negli attacchi e genera firme per il rilevamento.
Nel seguente tutorial imparerai come installare e utilizzare Maldet su Fedora 34.
Prerequisiti
- Sistema operativo consigliato: Fedora Linux 34 (funzionano anche le versioni più recenti)
- Account utente: Un account utente con accesso sudo o root.
Aggiornamento del sistema operativo
Aggiorna il tuo Fedora sistema operativo per assicurarsi che tutti i pacchetti esistenti siano aggiornati:
sudo dnf update && sudo dnf upgrade -y
Installa Maldet
Per installare Maldet, avrai bisogno del loro archivio di pacchetti, che puoi trovare nella pagina di download ufficiale. Tuttavia, quando si verificano aggiornamenti, non cambiano l'URL del file, quindi fortunatamente il link per il download non cambierà spesso.
Al momento di questo tutorial, la versione (1.6.4 ) è l'ultimo; tuttavia, nel tempo, questo cambierà. Per scaricare l'ultima versione ora e in futuro, digita il seguente comando:
cd /tmp/ && wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
Nella parte successiva, dovrai estrarre l'archivio, cosa che puoi fare con il seguente comando:
tar xfz maldetect-current.tar.gz
Ora che hai confermato che l'archivio è stato estratto correttamente, (CD) nella directory ed eseguire lo script di installazione per installare Maldet con il seguente comando:
cd maldetect-1.6.4 && sudo ./install.sh
L'installazione dovrebbe essere completata in pochi secondi e otterrai un output simile al seguente:
Configura Maldet
Ora che hai terminato con successo lo script di installazione, puoi modificare il file di configurazione usando il tuo editor di testo preferito. Di seguito sono riportati alcuni esempi di alcune impostazioni e pratiche popolari che utilizzano (nano) editor di testo:
Innanzitutto, apri il (conf.maldet) file:
sudo nano /usr/local/maldetect/conf.maldet
Quindi, trova le seguenti righe e modificale come di seguito:
# To enable the email notification.
email_alert="1"
# Specify the email address on which you want to receive an email notification.
email_addr="[email protected]"
# Enable the LMD signature autoupdate.
autoupdate_signatures="1"
# Enable the automatic updates of the LMD installation.
autoupdate_version="1"
# Enable the daily automatic scanning.
cron_daily_scan="1"
# Allows non-root users to perform scans.
scan_user_access="1"
# Move hits to quarantine & alert
quarantine_hits="1"
# Clean string based malware injections.
quarantine_clean="0"
# Suspend user if malware found.
quarantine_suspend_user="1"
# Minimum userid value that be suspended
quarantine_suspend_user_minuid="500"
# Enable Email Alerting
email_alert="1"
# Email Address in which you want to receive scan reports
email_addr="[email protected]"
# Use with ClamAV
scan_clamscan="1"
# Enable scanning for root-owned files. Set 1 to disable.
scan_ignore_root="0"
Nota, tutte le impostazioni qui sono facoltative e puoi impostarne di tue in quanto non ci sono risposte giuste o sbagliate qui.
Aggiorna le definizioni dei virus e il software Maldet
Per aggiornare il database delle definizioni dei virus Maldet, eseguire il comando seguente:
sudo maldet -u
Esempio di output:
In secondo luogo, per verificare la presenza di versioni più recenti del software esistente, digita il seguente comando:
sudo maldet -d
Esempio di output:
Facoltativo:installa ClamAV
Una delle parti migliori dell'utilizzo di Maldet è la sua compatibilità con ClamAV, che può aumentare notevolmente la capacità di scansione di Maldet.
Per installare ClamAV, puoi farlo eseguendo il seguente comando:
sudo dnf install clamav clamav-devel -y
Quindi, abilita ClamAV:
sudo systemctl enable clamav-freshclam && sudo systemctl start clamav-freshclam
Infine, aggiorna le tue firme ClamAV usando il comando freshclam :
sudo freshclam
Esempio di output:
Database test passed.
main.cvd updated (version: 62, sigs: 6647427, f-level: 90, builder: sigmgr)
bytecode database available for download (remote version: 333)
Time: 0.4s, ETA: 0.0s [========================>] 286.79KiB/286.79KiB
Testing database: '/var/lib/clamav/tmp.c736fe0d50/clamav-c52c6549b6ff30a71e65db0c5647f2de.tmp-bytecode.cvd' ...
Database test passed.
bytecode.cvd updated (version: 333, sigs: 92, f-level: 63, builder: awillia2)
Scansione con Maldet – Esempi
In primo luogo, dovresti familiarizzare con la sintassi di Maldet. Tutti i comandi iniziano con maldet, quindi sono seguiti da opzione e percorso di directory, ad esempio maldet [OPZIONE] [PERCORSO DIRECTORY] .
Di seguito viene illustrata la maggior parte degli esempi di sintassi con Maldet:
- -b : Esegui operazioni in background.
- -u : Aggiorna le firme di rilevamento malware.
- -l : Visualizza gli eventi del file di registro maldet.
- -d : Aggiorna la versione installata.
- -a : Scansiona tutti i file nel percorso.
- -p : Cancella log, sessione e dati temporanei.
- -q : Metti in quarantena tutto il malware dal rapporto.
- -n : Pulisci e ripristina i colpi di malware dal rapporto.
Per testare Maldet e assicurarti che funzioni correttamente, puoi testare la funzionalità di LMD scaricando una (firma del virus di esempio) dal sito web dell'EICAR.
cd /tmp
wget http://www.eicar.org/download/eicar_com.zip
wget http://www.eicar.org/download/eicarcom2.zip
Successivamente, mentre sei nella directory/tmp , eseguirai il (maldet) comando per eseguire la scansione di (tmp) directory come segue:
sudo maldet -a /tmp
Ora, con i file che dovresti infettare, otterrai un output simile come di seguito:
Come avrai notato, il tutorial non è impostato automaticamente in quarantena per la nostra configurazione. A volte, i falsi positivi e la rimozione di file sui server live possono causare più problemi di quanti ne risolvano. Un buon amministratore di sistema o proprietario di server controllerà costantemente i risultati e verifica.
Inoltre, dall'output, puoi vedere che nel nostro server di prova abbiamo installato ClamAV e che Maldet sta utilizzando il motore di scansione ClamAV per eseguire la scansione ed è riuscito a trovare 16 hit di malware .
Alcuni altri comandi che puoi eseguire sono come target le estensioni dei file del tuo server; I file PHP sono spesso il bersaglio di molti attacchi. Per scansionare i file .php, usa quanto segue:
maldet -a /var/www/html/*.php
Questo è l'ideale per siti Web o server più grandi con molti file da scansionare e server più piccoli trarrebbero vantaggio dalla scansione dell'intera directory.
Rapporti Scansione Maldet
Maldet archivia i rapporti di scansione nella posizione della directory (/usr/local/maldetect/sess/) . Puoi utilizzare il seguente comando insieme a (Scan ID) per visualizzare un rapporto dettagliato come segue:
Solo esempio:
sudo maldet -q 210920-0904.6208
Successivamente, vedrai il rapporto elencato nel tuo terminale, annotando i dettagli della scansione.
Esempio di output:
Da qui, puoi esaminare e intraprendere azioni per rimuovere, inserire nella whitelist o cercare di condurre ulteriori indagini.