Jinsi ya Kusakinisha na Kutumia Kigunduzi cha Malware ya Linux (LMD) na ClamAV kama Injini ya Kuzuia Virusi


Programu hasidi, au programu hasidi, ni jina linalotolewa kwa programu yoyote ambayo inalenga kutatiza utendakazi wa kawaida wa mfumo wa kompyuta. Ingawa aina zinazojulikana zaidi za programu hasidi ni virusi, vidadisi na matangazo, madhara ambayo wanakusudia kusababisha yanaweza kuanzia kuiba taarifa za kibinafsi hadi kufuta data ya kibinafsi, na kila kitu kilicho katikati, huku matumizi mengine ya kawaida ya programu hasidi ni kudhibiti mfumo ili kuitumia kuzindua botnets katika shambulio la (D)DoS.

Kwa maneno mengine, huwezi kumudu kufikiria, \Sihitaji kulinda mfumo/mifumo yangu dhidi ya programu hasidi kwa kuwa sihifadhi data yoyote nyeti au muhimu, kwa sababu hizo sio shabaha pekee za programu hasidi. .

Kwa sababu hiyo, katika makala haya, tutaeleza jinsi ya kusakinisha na kusanidi Linux Malware Detect (aka MalDet au LMD kwa ufupi) pamoja na ClamAV (Injini ya Antivirus) katika RHEL 8/7/6 (ambapo x ndio nambari ya toleo), CentOS 8/7/6 na Fedora 30-32 (maelekezo sawa pia hufanya kazi kwenye mifumo ya Ubuntu na Debian) .

Kichanganuzi cha programu hasidi kilichotolewa chini ya leseni ya GPL v2, iliyoundwa mahususi kwa mazingira ya kupangisha. Hata hivyo, utatambua kwa haraka kuwa utafaidika na MalDet bila kujali aina ya mazingira unayofanyia kazi.

Kufunga LMD kwenye RHEL/CentOS na Fedora

LMD haipatikani kutoka kwa hazina za mtandaoni lakini inasambazwa kama tarball kutoka kwa tovuti ya mradi. Tarball iliyo na msimbo wa chanzo wa toleo la hivi karibuni inapatikana kila wakati kwenye kiunga kifuatacho, ambapo inaweza kupakuliwa kwa amri ya wget:

# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Kisha tunahitaji kufuta tarball na kuingia saraka ambapo yaliyomo yake yalitolewa. Kwa kuwa toleo la sasa ni 1.6.4, saraka ni maldetect-1.6.4. Hapo tutapata hati ya usakinishaji, install.sh.

# tar -xvf maldetect-current.tar.gz
# ls -l | grep maldetect
# cd maldetect-1.6.4/
# ls

Tukikagua hati ya usakinishaji, ambayo ni 75 pekee ya mistari (pamoja na maoni), tutaona kwamba haisakinishi tu zana lakini pia hufanya ukaguzi wa mapema ili kuona ikiwa saraka ya usakinishaji chaguomsingi ( /usr/local/maldetect) ipo. Ikiwa sivyo, hati huunda saraka ya usakinishaji kabla ya kuendelea.

Hatimaye, baada ya usakinishaji kukamilika, utekelezaji wa kila siku kupitia cron unaratibiwa kwa kuweka hati ya cron.daily (rejelea picha iliyo hapo juu) katika /etc/ cron.daily. Hati hii ya msaidizi, miongoni mwa mambo mengine, itafuta data ya muda ya zamani, kuangalia matoleo mapya ya LMD, na kuchanganua vidhibiti chaguo-msingi vya Apache na wavuti (yaani, CPanel, DirectAdmin, kutaja chache) saraka za data chaguo-msingi.

Hiyo inasemwa, endesha hati ya usakinishaji kama kawaida:

# ./install.sh

Inasanidi Utambuzi wa Malware ya Linux

Usanidi wa LMD unashughulikiwa kupitia /usr/local/maldetect/conf.maldet na chaguo zote zimetolewa maoni vizuri ili kufanya usanidi kuwa kazi rahisi. Iwapo utakwama, unaweza pia kurejelea /maldetect-1.6.4/README kwa maagizo zaidi.

Katika faili ya usanidi utapata sehemu zifuatazo, zimefungwa ndani ya mabano ya mraba:

  1. TAARIFA ZA BARUA PEPE
  2. CHAGUO ZA KARABATI
  3. CHANGANUA CHAGUO
  4. UCHAMBUZI WA TAKWIMU
  5. CHAGUO ZA KUFUATILIA

Kila moja ya sehemu hizi ina vigeu kadhaa vinavyoonyesha jinsi LMD itafanya kazi na vipengele vipi vinavyopatikana.

  1. Weka email_alert=1 kama ungependa kupokea arifa za barua pepe za matokeo ya ukaguzi wa programu hasidi. Kwa ajili ya ufupi, tutatuma barua pepe kwa watumiaji wa mfumo wa ndani pekee, lakini unaweza kuchunguza chaguo zingine kama vile kutuma arifa za barua kwa nje pia.
  2. Weka email_subj=”Somo lako hapa” na [email  ikiwa hapo awali uliweka email_alert=1.
  3. Kwa quar_hits, kitendo chaguo-msingi cha karantini kwa migongano ya programu hasidi (0 = arifa pekee, 1 = kusogezwa kwa karantini & tahadhari) utaiambia LMD nini cha kufanya wakati programu hasidi imegunduliwa.
  4. quar_clean itakuruhusu kuamua kama ungependa kusafisha sindano za programu hasidi zinazotegemea kamba. Kumbuka kwamba sahihi ya mfuatano ni, kwa ufafanuzi, \mfuatano wa baiti unaofanana ambao unaweza kulingana na anuwai nyingi za familia ya programu hasidi.
  5. quar_susp, kitendo chaguo-msingi cha kusimamisha kwa watumiaji walio na vibao, itakuruhusu kuzima akaunti ambayo faili zake zinazomilikiwa zimetambuliwa kuwa bora.
  6. clamav_scan=1 itaambia LMD kujaribu kugundua uwepo wa mfumo wa jozi wa ClamAV na kutumia kama injini ya kichanganuzi chaguo-msingi. Hii hutoa hadi utendaji wa kasi wa kuchanganua mara nne na uchanganuzi bora wa hex. Chaguo hili hutumia ClamAV tu kama injini ya kichanganuzi, na sahihi za LMD bado ni msingi wa kugundua vitisho.

Kwa muhtasari, mistari iliyo na vigeu hivi inapaswa kuonekana kama ifuatavyo katika /usr/local/maldetect/conf.maldet:

email_alert=1
[email 
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quar_hits=1
quar_clean=1
quar_susp=1
clam_av=1

Kufunga ClamAV kwenye RHEL/CentOS na Fedora

Ili kusakinisha ClamAV ili kufaidika na mpangilio wa clamav_scan, fuata hatua hizi:

Washa hazina ya EPEL.

# yum install epel-release

Kisha fanya:

# yum update && yum install clamd
# apt update && apt-get install clamav clamav-daemon  [Ubuntu/Debian]

Kumbuka: Kwamba haya ni maagizo ya msingi tu ya kusakinisha ClamAV ili kuiunganisha na LMD. Hatutaelezea kwa undani jinsi mipangilio ya ClamAV inavyohusika kwani kama tulivyosema hapo awali, saini za LMD bado ni msingi wa kugundua na kusafisha vitisho.

Inajaribu Utambuzi wa Malware ya Linux

Sasa ni wakati wa kujaribu usakinishaji wetu wa hivi majuzi wa LMD/ClamAV. Badala ya kutumia programu hasidi halisi, tutatumia faili za majaribio za EICAR, ambazo zinapatikana kwa kupakuliwa kutoka kwa tovuti ya EICAR.

# cd /var/www/html
# wget http://www.eicar.org/download/eicar.com 
# wget http://www.eicar.org/download/eicar.com.txt 
# wget http://www.eicar.org/download/eicar_com.zip 
# wget http://www.eicar.org/download/eicarcom2.zip 

Katika hatua hii, unaweza kusubiri cron kazi inayofuata ili kutekeleza au kutekeleza maldet wewe mwenyewe. Tutaenda na chaguo la pili:

# maldet --scan-all /var/www/

LMD pia inakubali kadi-mwitu, kwa hivyo ikiwa ungependa kuchanganua aina fulani tu ya faili, (yaani, faili za zip, kwa mfano), unaweza kufanya hivyo:

# maldet --scan-all /var/www/*.zip

Uchanganuzi utakapokamilika, unaweza kuangalia barua pepe iliyotumwa na LMD au kutazama ripoti kwa:

# maldet --report 021015-1051.3559

Ambapo 021015-1051.3559 ilipo SCANID (SCANID itakuwa tofauti kidogo katika kesi yako).

Muhimu: Tafadhali kumbuka kuwa LMD imepata vibao 5 kwa kuwa faili ya eicar.com ilipakuliwa mara mbili (hivyo kusababisha eicar.com na eicar.com.1).

Ukiangalia folda ya karantini (nimeacha faili moja tu na kufuta zingine), tutaona yafuatayo:

# ls -l

Kisha unaweza kuondoa faili zote zilizowekwa karantini na:

# rm -rf /usr/local/maldetect/quarantine/*

Ikitokea hivyo,

# maldet --clean SCANID

Haifanyi kazi kwa sababu fulani. Unaweza kurejelea skrini ifuatayo kwa maelezo ya hatua kwa hatua ya mchakato ulio hapo juu:

Kwa kuwa maldet inahitaji kuunganishwa na cron, unahitaji kuweka vigeu vifuatavyo kwenye crontab ya mzizi (aina crontab -e kama mzizi na ugonge Ingiza ufunguo) endapo utagundua kuwa LMD haifanyi kazi ipasavyo kila siku:

PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
SHELL=/bin/bash

Hii itasaidia kutoa taarifa muhimu za utatuzi.

Hitimisho

Katika makala haya, tumejadili jinsi ya kusakinisha na kusanidi Ugunduzi wa Malware ya Linux, pamoja na ClamAV, mshirika mkubwa. Kwa msaada wa zana hizi 2, kugundua programu hasidi inapaswa kuwa kazi rahisi.

Hata hivyo, jifanyie upendeleo na ufahamu faili ya SOMA kama ilivyoelezwa hapo awali, na utaweza kuwa na uhakika kwamba mfumo wako unahesabiwa vyema na unasimamiwa vyema.

Usisite kuacha maoni au maswali yako, ikiwa yapo, kwa kutumia fomu iliyo hapa chini.

Viungo vya Marejeleo

Ukurasa wa nyumbani wa LMD