Wykrywanie złośliwego oprogramowania w systemie Linux (LMD) w celu zabezpieczenia systemu Linux

Wykrywanie złośliwego oprogramowania w systemie Linux (LMD) w celu zabezpieczenia systemu Linux | Bezpieczeństwo 2024
Wykrywanie złośliwego oprogramowania w systemie Linux (LMD) w celu zabezpieczenia systemu Linux | Bezpieczeństwo 2024
Spisie treści

Wstęp
Jednym z największych problemów, na jakie narażone są serwery, poczta i usługi internetowe, są ataki złośliwego oprogramowania.

Jedną z metod zapobiegania temu problemowi jest: Wykrywanie złośliwego oprogramowania w systemie Linux (LMD), aplikacja, którą można zainstalować w dowolnym systemie Linux i która zapobiegnie tego typu atakom.

Instalacja
Założymy, że mamy dostęp SSH do serwera, którego używamy do przeprowadzenia instalacji i można to zrobić z dowolnego systemu operacyjnego, ponieważ wykonujemy zadanie połączone z serwerem.

1. Wchodzimy naszą konsolę poleceń przez SSH na nasz serwer: 

 ssh [email protected] [email protected] hasło użytkownika: *******
2. Po połączeniu się z serwerem pobieramy darmowy pakiet Linux Malware Detect na naszym serwerze: 
 [root @ serwer1 ~] # wget www.rfxn.com/downloads/maldetect-current.tar.gz
3. Rozpakuj plik: 
 [root @ serwer1 ~] # tar xfz maldetect-current.tar.gz
Z instrukcją ls możemy sprawdzić, w którym katalogu rozpakowałeś, będzie to generalnie nazwane jako wersja maldetect w tym przypadku maldetect-1.4.2

4. Wchodzimy do katalogu i przystępujemy do instalacji Maldetect. Oto instalacja, która będzie widoczna w kilku poleceniach: 

 [root @ server1 ~] # cd maldetect-1.4.2 [root @ server1 maldetect-1.4.2] # ./install.sh Linux Malware Detect v1.4.1 © 2002-2013, R-fx Networks © 2013, Ryan MacDonald inotifywait © 2007, Rohan McGovern Ten program może być swobodnie rozpowszechniany na warunkach zakończonej instalacji GNU GPL do /usr/local/maldetect config file: /usr/local/maldetect/conf.maldet exec file: /usr/local/maldetect/ maldet exec link: / usr / local / sbin / maldet exec link: / usr / local / sbin / lmd cron.daily: /etc/cron.daily/maldet maldet (10805): {sigup} sprawdzanie aktualizacji sygnatur… maldet ( 10805): {sigup} lokalny zestaw podpisów to wersja 201205035915 maldet (10805): {sigup} nowy zestaw podpisów (2013041816820) dostępny maldet (10805): {sigup} pobrany http://www.rfxn.com/downloads/md5. dat maldet (10805): {sigup} pobrano http://www.rfxn.com/downloads/hex.dat maldet (10805): {sigup} pobrano http://www.rfxn.com/downloads/rfxn.ndb maldet (10805): {sigup} pobrano http://www.rfxn.com/downloads/rfxn.hdb maldet (10805): {następny p} pobrano http://www.rfxn.com/… aldet-clean.tgz maldet (10805): aktualizacja zestawu sygnatur {sigup} zakończona maldet (10805): {sigup} 11203 sygnatury (9335 MD5/1868 HEX) zaktualizuj bazę sygnatur maleare [root @ serwer1 ~] # maldet -update

Ustawienie
W oknie poleceń piszemy poniżej, korzystając z naszego preferowanego edytora starszy brat, krzepkość lub ten, którego często używamy: 

 nano /usr/local/maldetect/conf.maldet

Ustalamy, czy gdy znajdzie jakiekolwiek złośliwe oprogramowanie, powiadomi nas e-mailem:

  • 0 = wyłączone
  • 1 = włączone
I definiujemy pocztę, jak widać na zrzucie ekranu: 
 # [0 = wyłączone, 1 = włączone] email_alert = 1
Określamy również, czy otrzymujemy tylko alert i przenosimy zainfekowany plik do kwarantanny, aby nie mógł zostać wykonany. 
 # [0 = tylko alert, 1 = przenieś do kwarantanny i alertu] quar_hits = 0

Jak skanować


W zależności od struktury serwera i ścieżki domeny lub pliku do przeskanowania.
Opcja -a wskazuje Wszystkie przeskanuj wszystkie pliki w tym katalogu. 
 [root @ server1 maldetect-1.4.2] # maldet -a / home / user / public_html
Aby zobaczyć ostatni wygenerowany przez nas raport, wykonamy: 
 [root @ server1 maldetect-1.4.2] # maldet -report
Poniżej przedstawiamy przykładowy raport o złośliwym oprogramowaniu znalezionym podczas skanowania wszystkich domen serwera, na liście będzie on widoczny w Lista trafień plików nazwę złośliwego oprogramowania, plik i numer linii kodu, w której zostało znalezione, w tym przypadku znaleziono 2 zainfekowane pliki. 
 [root @ server1 maldetect-1.4.2] # maldet --scan-all / home malware wykrywa raport skanowania dla server.mydomain.com: SCAN ID: 02233-0315.9516 CZAS: 6 CZE 07:02:44 +0300 ŚCIEŻKA: / home * / * / public_html ZAKRES: 2 dni RAZEM PLIKÓW: 8406 RAZEM HIT: 1 RAZEM WYCZYSZCZONE: 0 LISTA HIT PLIKÓW: {HEX} php.cmdshell.unclassed.344: / home / user1 / public_html / images / upload / files / asphoto.php.pjpg.webp {HEX} php.nested.base64.513: /home/user2/public_html/formulario.php
W przypadku wykrycia fałszywie pozytywnego wykrycia plik można odzyskać z kwarantanny za pomocą: 
 [root @ server1 maldetect-1.4.2] # maldet -restore /home/user2/public_html/form.php
Istnieją inne bardziej zaawansowane ustawienia dla Maldetect, nawet aby działała przy użyciu Antywirus Clamav obecny na wielu serwerach.

Podobał Ci się i pomógł ten samouczek?Możesz nagrodzić autora, naciskając ten przycisk, aby dać mu pozytywny punkt
wave wave wave wave wave

Popularne Wiadomości

wave
1
post-title
Zabezpiecz naszą iCloud
2
post-title
▷ Jak udostępniać profil na Instagramie w opowiadaniach
3
post-title
Tłumacz Skype usuwa barierę językową w rozmowach
4
post-title
▷ Napraw problem automatycznego wyłączania lub ponownego uruchamiania systemu Windows 10 2021
5
post-title
MWC18: Jakość i cena wyróżniają 3 nowe smartfony Thomson

Zalecane

wave
- Sponsored Ad -

Wybór Redakcji

wave
- Sponsored Ad -