Comment installer et utiliser Linux Malware Detect (LMD) avec Clamav comme moteur antivirus

Malware, ou un logiciel malveillant, est la désignation donnée à tout programme qui vise à perturber le fonctionnement normal d'un système informatique. Bien que les formes les plus connues de logiciels malveillants soient des virus, des logiciels espions et des logiciels publicitaires, le préjudice qu'ils ont l'intention de provoquer peuvent aller du vol d'informations privées à la suppression des données personnelles, et tout le reste, tandis qu'une autre utilisation classique de logiciels malveillants est de contrôler le Système afin de l'utiliser pour lancer des botnets dans une attaque DOS (D).

Lire aussi: Protéger Apache contre les attaques de force brute ou DDOS à Linux

En d'autres termes, vous ne pouvez pas vous permettre de penser: «Je n'ai pas besoin de sécuriser mon ou les logiciels malveillants car je ne stocke pas de données sensibles ou importantes», car ce ne sont pas les seules cibles de malware.

Pour cette raison, dans cet article, nous expliquerons comment installer et configurer Détection de logiciels malveillants Linux (alias Maldet ou LMD pour court) avec Clamp (Moteur antivirus) RHEL 8/7/6 (où x est le numéro de version), Centos 8/7/6 et Fedora 30-32 (Les mêmes instructions fonctionnent également sur Ubuntu et Debian systèmes).

Un scanner malware publié sous la licence GPL V2, spécialement conçu pour les environnements d'hébergement. Cependant, vous vous rendrez rapidement compte que vous bénéficierez de Maldet Quel que soit le type d'environnement sur lequel vous travaillez.

Installation de LMD sur Rhel / Centos et Fedora

LMD n'est pas disponible auprès des référentiels en ligne mais est distribué comme un tarball à partir du site Web du projet. Le tarball contenant le code source de la dernière version est toujours disponible sur le lien suivant, où il peut être téléchargé avec la commande wget:

# wget http: // www.rfxn.com / téléchargements / maletect-courrent.le goudron.gz 

Ensuite, nous devons déballer le tarball et entrer dans le répertoire où son contenu a été extrait. Puisque la version actuelle est 1.6.4, Le répertoire est maldetect-1.6.4. Là, nous trouverons le script d'installation, installer.shot.

# TAR -XVF MALDETECT-CURRENT.le goudron.gz # ls -l | grep maldetect # cd maldetect-1.6.4 / # ls 

Télécharger Linux Malware Detect

Si nous inspectons le script d'installation, qui n'est que 75 Lignes longues (y compris les commentaires), nous verrons qu'il installe non seulement l'outil mais effectue également un pré-vérification pour voir si le répertoire d'installation par défaut (/ usr / local / maldetect) existe. Sinon, le script crée le répertoire d'installation avant de continuer.

Enfin, une fois l'installation terminée, une exécution quotidienne via cron est programmé en plaçant le cron.quotidien script (voir l'image ci-dessus) dans / etc / cron.quotidien. Ce script d'assistance effacera, entre autres, de vieilles données temporaires, vérifiera les nouvelles versions LMD et analysera les panneaux par défaut d'Apache et de contrôle Web (I.e., Cpanel, DirectAdmin, pour n'en nommer que quelques) répertoires de données par défaut.

Cela étant dit, exécutez le script d'installation comme d'habitude:

# ./installer.shot 

Installer Linux Malware Detect in Linux

Configuration du détection de logiciels malveillants Linux

La configuration de LMD est gérée via / usr / local / maldetect / confr.maldet Et toutes les options sont bien commentées pour faire de la configuration une tâche assez facile. Si vous êtes coincé, vous pouvez également vous référer à / maldetect-1.6.4 / Readme Pour d'autres instructions.

Dans le fichier de configuration, vous trouverez les sections suivantes, enfermées dans les supports carrés:

1. ALERTES COURRIER ÉLECTRONIQUE
2. Options de quarantaine
3. OPTIONS DE NUMÉRISATION
4. ANALYSES STATISTIQUES
5. Options de surveillance

Chacune de ces sections contient plusieurs variables qui indiquent comment LMD se comportera et quelles fonctionnalités sont disponibles.

1. Ensemble email_alert = 1 Si vous souhaitez recevoir des notifications par e-mail de résultats d'inspection de logiciels malveillants. Par souci de concision, nous ne relayerons le courrier que aux utilisateurs du système local, mais vous pouvez également explorer d'autres options telles que l'envoi d'alertes de courrier à l'extérieur.
2. Ensemble email_subj = "Votre sujet ici" et [Protégé par e-mail] Si vous avez précédemment défini email_alert = 1.
3. Avec quar_hits, L'action de quarantaine par défaut pour les hits de logiciels malveillants (0 = alerte uniquement, 1 = passer à la quarantaine et à l'alerte) Vous diraiz à LMD quoi faire lorsque les logiciels malveillants sont détectés.
4. quar_clean vous permettra de décider si vous souhaitez nettoyer les injections de logiciels malveillants basés sur des chaînes. Gardez à l'esprit qu'une signature de chaîne est, par définition, «une séquence d'octet contigu qui peut potentiellement correspondre à de nombreuses variantes d'une famille de logiciels malveillants».
5. quar_susp, L'action de suspension par défaut pour les utilisateurs avec des hits vous permettra de désactiver un compte dont les fichiers détenus ont été identifiés comme des hits.
6. Clamav_scan = 1 ra dire à LMD de tenter de détecter la présence de Clamav Binary et d'utiliser comme moteur de scanner par défaut. Cela donne un Performances de numérisation quatre fois plus rapides et une analyse hexagone supérieure. Cette option n'utilise que Clamav comme moteur de scanner, et les signatures LMD sont toujours à la base de la détection des menaces.

Important: Veuillez noter que quar_clean et quar_susp exiger que quar_hits être activé (= 1).

Résumé, les lignes avec ces variables devraient ressembler comme suit / usr / local / maldetect / confr.maldet:

EMAND_ALERT = 1 [e-mail protégé] e-mail_subj = "Alertes de logiciels malveillants pour $ hostname - $ (date +% y-% m-% d)" Quar_hits = 1 Quar_Clean = 1 Quar_SUSP = 1 Clam_AV = 1 

Installation de Clamav sur Rhel / Centos et Fedora

À installer Clamp afin de profiter du Clamav_scan Réglage, suivez ces étapes:

Activer le référentiel EPEL.

# yum installer EPEL-Release 

Alors fais:

# yum Update && yum install Clamd # Apt Update && apt-get install cllamav cllamav-daemon [ubuntu / debian] 

Note: Que ce ne sont que les instructions de base pour installer Clamav afin de l'intégrer à LMD. Nous n'entrerons pas dans les détails en ce qui concerne les paramètres de ClamAV, car comme nous l'avons dit plus tôt, les signatures LMD sont toujours à la base de la détection et du nettoyage des menaces.

Tester la détection de logiciels malveillants Linux

Il est maintenant temps de tester notre récent LMD / / Clamp installation. Au lieu d'utiliser de vrais logiciels malveillants, nous utiliserons les fichiers de test eicar, qui sont disponibles en téléchargement à partir du site Web EICAR.

# cd / var / www / html # wget http: // www.eicar.org / téléchargement / eicar.com # wget http: // www.eicar.org / téléchargement / eicar.com.txt # wget http: // www.eicar.org / download / eicar_com.zip # wget http: // www.eicar.org / download / eicarcom2.zipper 

À ce stade, vous pouvez soit attendre le prochain cron travail à exécuter ou à exécuter maldet manuellement vous-même. Nous irons avec la deuxième option:

# Maldet --Scan-all / var / www / 

LMD accepte également les caractères génériques, donc si vous voulez scanner seulement un certain type de fichier (i.e. Fichiers zip, par exemple), vous pouvez le faire:

# Maldet --Scan-all / var / www / *.zipper 

Analyser les logiciels malveillants dans Linux

Une fois la numérisation terminée, vous pouvez vérifier l'e-mail envoyé par LMD ou afficher le rapport avec:

# Maldet - Report 021015-1051.3559 

Rapport d'analyse de logiciels malveillants Linux

Où 021015-1051.3559 est le Scanide (Le scanide sera légèrement différent dans votre cas).

Important: Veuillez noter que LMD a trouvé 5 coups sûrs depuis l'Eicar.Le fichier com a été téléchargé deux fois (résultant ainsi en eicar.com et eicar.com.1).

Si vous vérifiez le dossier de quarantaine (je viens de quitter l'un des fichiers et j'ai supprimé le reste), nous verrons ce qui suit:

# ls -l 

Fichiers de quarantaine de logiciels malveillants Linux

Vous pouvez ensuite supprimer tous les fichiers en quarantaine avec:

# RM -RF / USR / LOCAL / MALDETECT / Quarantine / * 

Au cas où,

# Maldet - Clean Scanid 

Ne fait pas le travail pour une raison quelconque. Vous pouvez vous référer au screencast suivant pour une explication étape par étape du processus ci-dessus:

Considérations finales

Depuis maldet doit être intégré à cron, Vous devez définir les variables suivantes dans Root's Crontab (Type crontab -e comme racine et frappez le Entrer clé) dans le cas où vous remarquez que LMD ne fonctionne pas correctement au quotidien:

Path = / sbin: / bin: / usr / sbin: / usr / bin mailto = root home = / shell = / bin / bash 

Cela aidera à fournir les informations de débogage nécessaires.

Conclusion

Dans cet article, nous avons discuté de la façon d'installer et de configurer Détection de logiciels malveillants Linux, avec Clamp, Un allié puissant. À l'aide de ces 2 outils, la détection de logiciels malveillants devrait être une tâche assez facile.

Cependant, faites-vous une faveur et vous familiariser avec le Réadmettre Fichier comme expliqué précédemment, et vous pourrez être assuré que votre système est bien pris en compte et bien géré.

N'hésitez pas à laisser vos commentaires ou questions, le cas échéant, en utilisant le formulaire ci-dessous.

Liens de référence

Page d'accueil LMD