Linux Malware Detect (LMD) là trình phát hiện và quét phần mềm độc hại dành cho Linux, được thiết kế cho môi trường lưu trữ chia sẻ. LMD được phát hành theo giấy phép GNU GPLV2, có thể cài đặt trên cPanel WHM và môi trường Linux cùng với các công cụ phát hiện khác như ClamAV.
Clam AntiVirus (ClamAV) là giải pháp diệt vi-rút nguồn mở để phát hiện trojan, phần mềm độc hại, vi-rút và các phần mềm độc hại khác. ClamAV hỗ trợ nhiều nền tảng bao gồm Linux, Windows và MacOS.
Trong hướng dẫn này, tôi sẽ chỉ cho bạn cách cài đặt Linux Malware Detect (LMD) với Clam AntiVirus (ClamAV). Tôi sẽ sử dụng CentOS 7 làm hệ điều hành.
Điều kiện tiên quyết
Cài đặt mailx để chúng ta có thể sử dụng lệnh mail trên CentOS 7:
Tải xuống LMD và giải nén:
Đi tới thư mục maldetect và chạy tập lệnh cài đặt 'install.sh' với tư cách là root:
Tiếp theo, tạo liên kết tượng trưng đến lệnh maldet trong thư mục /bin/:
Bật cảnh báo qua email bằng cách thay đổi giá trị thành '1' ở dòng 16.
Nhập địa chỉ email của bạn vào dòng 21.
Chúng tôi sẽ sử dụng nhị phân ClamAV clamscan làm công cụ quét mặc định vì nó cung cấp khả năng quét hiệu suất cao trên các tập tin lớn. Thay đổi giá trị thành '1' ở dòng 114.
Tiếp theo, bật chế độ cách ly để tự động di chuyển phần mềm độc hại vào vùng cách ly trong quá trình quét. Thay đổi giá trị thành '1' ở dòng 180.
Thay đổi giá trị thành 1 ở dòng 185 để kích hoạt tính năng tiêm phần mềm độc hại dựa trên bản sạch.
Lưu và thoát.
Cài đặt ClamAV và ClamAV devel bằng lệnh yum:
Sau khi ClamAV đã được cài đặt, hãy cập nhật cơ sở dữ liệu vi-rút ClamAV bằng lệnh freshclam:
Truy cập thư mục gốc của web và tải xuống một số phần mềm độc hại mẫu (eicar) bằng wget:
Tiếp theo, quét thư mục gốc của web bằng lệnh themaldet bên dưới:
Bạn có thể thấy rằng LMD đang sử dụng công cụ quét ClamAV để thực hiện quét và có 'malware hits 3' và các tệp phần mềm độc hại đã được tự động chuyển đến thư mục cách ly.
Kiểm tra báo cáo quét bằng lệnh bên dưới:
SCANID = 161008-0524.9466 được tìm thấy trong đầu ra của Maldet.
Bây giờ hãy kiểm tra báo cáo email từ LMD:
Như bạn thấy, báo cáo quét đã được gửi đến địa chỉ email đích.
Lấy danh sách tất cả các báo cáo:
Quét các tệp đã được tạo/sửa đổi trong X ngày qua.
5 = số ngày gần nhất.
Khôi phục các tệp từ thư mục cách ly.
Bật giám sát một thư mục.
Kiểm tra tệp nhật ký giám sát:
Clam AntiVirus (ClamAV) là giải pháp diệt vi-rút nguồn mở để phát hiện trojan, phần mềm độc hại, vi-rút và các phần mềm độc hại khác. ClamAV hỗ trợ nhiều nền tảng bao gồm Linux, Windows và MacOS.
Trong hướng dẫn này, tôi sẽ chỉ cho bạn cách cài đặt Linux Malware Detect (LMD) với Clam AntiVirus (ClamAV). Tôi sẽ sử dụng CentOS 7 làm hệ điều hành.
Điều kiện tiên quyết
- CentOS 7
- Quyền root
Bước 1 - Cài đặt kho lưu trữ Epel và Mailx
Cài đặt kho lưu trữ Epel (Gói bổ sung cho Enterprise Linux) và lệnh mailx bằng yum. Chúng ta cần cài đặt mailx trên hệ thống để LMD có thể gửi báo cáo quét đến địa chỉ email của bạn.
Mã:
yum -y install epel-release
Mã:
yum -y install mailxBước 2 - Cài đặt Linux Malware Detect (LMD)
Linux Malware Detect không có sẵn trong kho lưu trữ CentOS hoặc Epel, chúng ta cần cài đặt thủ công từ nguồn.Tải xuống LMD và giải nén:
Mã:
cd /tmp
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar -xzvf maldetect-current.tar.gz
Mã:
cd maldetect-1.5
./install.sh
Mã:
ln -s /usr/local/maldetect/maldet /bin/maldet
hash -rBước 3 - Cấu hình Linux Malware Detect (LMD)
LMD đã được cài đặt vào thư mục '/usr/local/maldet/'. Vào thư mục đó và chỉnh sửa tệp cấu hình 'conf.maldet' bằng vim:
Mã:
cd /usr/local/maldetect/
vim conf.maldet
Mã:
email_alert="1"
Mã:
email_addr="[emailprotected]"
Mã:
scan_clamscan="1"
Mã:
quarantine_hits="1"
Mã:
quarantine_clean="1"Bước 4 - Cài đặt ClamAV
Ở bước này, chúng ta sẽ cài đặt Clam AntiVirus hoặc ClamAV để có kết quả quét LMD tốt nhất. ClamAV có sẵn trong kho lưu trữ Epel (mà chúng tôi đã cài đặt ở bước đầu tiên).Cài đặt ClamAV và ClamAV devel bằng lệnh yum:
Mã:
yum -y install clamav clamav-devel
Mã:
freshclamBước 5 - Kiểm tra LMD và ClamAV
Chúng tôi sẽ kiểm tra quét thủ công LMD bằng lệnh themaldet. Chúng tôi sẽ sử dụng lệnh themaldet để quét thư mục web '/var/www/html/'.Truy cập thư mục gốc của web và tải xuống một số phần mềm độc hại mẫu (eicar) bằng wget:
Mã:
cd /var/www/html
wget http://www.eicar.org/download/eicar.com.txt
wget http://www.eicar.org/download/eicar_com.zip
wget http://www.eicar.org/download/eicarcom2.zip
Mã:
maldet -a /var/www/htmlBạn có thể thấy rằng LMD đang sử dụng công cụ quét ClamAV để thực hiện quét và có 'malware hits 3' và các tệp phần mềm độc hại đã được tự động chuyển đến thư mục cách ly.
Kiểm tra báo cáo quét bằng lệnh bên dưới:
Mã:
maldet --report 161008-0524.9466Bây giờ hãy kiểm tra báo cáo email từ LMD:
Mã:
tail -f /var/mail/rootNhư bạn thấy, báo cáo quét đã được gửi đến địa chỉ email đích.
Bước 6 - Các lệnh LMD khác
Chỉ thực hiện quét cho phần mở rộng tệp cụ thể:
Mã:
maldet -a /var/www/html/*.php
Mã:
maldet -e listQuét các tệp đã được tạo/sửa đổi trong X ngày qua.
Mã:
maldet -r /var/www/html/ 5Khôi phục các tệp từ thư mục cách ly.
Mã:
maldet -s SCANIDBật giám sát một thư mục.
Mã:
maldet -m /var/www/html/
Mã:
tail -f /usr/local/maldetect/logs/inotify_log