Jednym z wielkich problemów, z jakimi mamy dziś do czynienia jako użytkownicy i administratorzy, jest walka z wszelkiego rodzaju wirusami, złośliwym oprogramowaniem, trojanami, które dążą do niestabilności systemu i znacząco wpływają na pliki, rejestry i parametry systemu, co ostatecznie wpływa na wszystkich użytkowników .
Najczęściej atakowanymi systemami są Windows wraz z ich przeglądarkami, dobrze jest mieć odpowiedni program antywirusowy i antymalware. Również w przypadku komputerów Mac zyskują na sile i muszą być w równym stopniu chronione, także przed złośliwym oprogramowaniem. W tym samouczku skupiamy się na systemach Linux, które choć są mniej atakowane przez ten rodzaj złośliwego oprogramowania, to konieczne jest, aby zawsze były chronione, a tym bardziej, jeśli używamy komputerów do wielu zadań z otwartym Internetem.
Dziś dysponujemy wieloma narzędziami, które pomagają nam w walce z tego typu niedogodnościami, ale zdecydowana większość nie spełnia poprawnie swojego zadania i istnieje wiele luźnych elementów, które mogą powodować problemy i zmiany w systemie.
Dzisiaj szczegółowo przeanalizujemy te narzędzia, najczęściej używane do analiza podatności na systemy Linux w szczególności użyjemy go w CentOS 7 do testowania:
- ClamAV
- LMD (wykrywanie złośliwego oprogramowania Linux)
Co to jest ClamAVClamAV (Clam Antivirus) to potężny antywirus OpenSource opracowany w celu zwalczania trojanów, wirusów, złośliwego oprogramowania i wszelkiego rodzaju zagrożeń dla systemu.
Wśród głównych cech ClamAV mamy:
- Darmowy.
- Wieloplatformowy, ponieważ można go zainstalować w systemach Windows, Linux lub Mac OS.
- Wysoka wydajność dzięki systemowi skanowania wielu zagrożeń.
- Jest wszechstronny, ponieważ obsługuje różne formaty plików i wiele języków.
- Obsługuje HTML, PDF i zaszyfrowane pliki.
Możemy pobrać ClamAV z poniższego linku:
Co to jest LMDDML (Linux Malware Detect - Linux Malware Detector) to narzędzie, które skanuje i wykrywa złośliwe oprogramowanie w systemach Linux w pełni.
LMD został opracowany dla współdzielonych środowisk komputerowych, ponieważ w takich sytuacjach rozprzestrzenianie się złośliwego oprogramowania jest znacznie bardziej podatne.
Najważniejsze cechy LMD to:
- Darmowy.
- Kompatybilny z innymi narzędziami do monitorowania, takimi jak ClamAV.
- Możesz wykonać skanowanie w tle.
- Wykrywa szeroką gamę zagrożeń.
- Możemy go skonfigurować tak, aby otrzymywać raporty o nowych zagrożeniach za pośrednictwem poczty e-mail.
- Stałe aktualizacje
Narzędzie można pobrać z poniższego linku:
Aby poznać działanie tych narzędzi, użyjemy CentOS 7.
1. Instalowanie repozytoriów i Mailx
Pierwszym krokiem, jaki podejmiemy, jest zainstalowanie repozytoriów EPEL (Extra Packages for Enterprise Linux) oraz polecenia mailx, które pozwolą nam wysyłać raporty na pocztę za pomocą LMD.
W tym celu wprowadzimy następujące polecenia:
sudo mniam -y zainstaluj epel-release sudo mniam -y zainstaluj mailx
2. Instalacja LMD (wykrywanie złośliwego oprogramowania Linux)
Po zainstalowaniu repozytoriów przystępujemy do instalacji LMD, w tym celu wykonamy następujące polecenie, aby pobrać i rozpakować:
cd / tmp wget http://www.rfxn.com/downloads/maldetect-current.tar.gz tar -xzvf maldetect-current.tar.gz
Następnie przejdziemy do katalogu maldetect i uruchomimy instalator o nazwie install.sh, w tym celu użyjemy następujących poleceń:
cd maldect-1,5
./install.sh
Następnym krokiem jest utworzenie dowiązania symbolicznego dla komendy maldet w katalogu / bin:
ln -s / usr / local / maldetect / maldet / bin / maldet hash -rUtwórz dowiązanie symboliczne.
3. Ustawienia LMD w CentOS 7
Po wykonaniu poprzedniego kroku przechodzimy do konfiguracji LMD, pamiętajmy, że LMD został zainstalowany na trasie:
/ usr / lokalny / maldet /I trzeba będzie edytować plik konfiguracyjny o nazwie konf.maldet.
Użyjemy następujących poleceń:
cd / usr / local / maldetect / nano conf.maldetTam wprowadzimy następujące zmiany:
- Na linii email_alert Ustawimy wartość od 0 do 1, aby aktywować pocztę.
- Na linii email_addr Aby otrzymywać alerty, musimy podać nasz adres e-mail.
Dodatkowo na linii scan_clamscan ustawiamy wartość na 1, ponieważ będziemy używać ClamAV. Na linii kwarantanna_hits ustawiamy wartość na 1, aby wysłać wykryte złośliwe oprogramowanie do kwarantanny.
Wreszcie na linii kwarantanna_czyste Ustawiamy wartość 1, aby elementy znajdujące się w kwarantannie zostały wyeliminowane.
Zmiany zapisujemy za pomocą kombinacji klawiszy:
Ctrl + O
I wychodzimy z edytora za pomocą kombinacji:
Ctrl + X
4. Instalowanie ClamAV na CentOS 7
Następnie przeprowadzimy proces Instalacja ClamAV i w tym celu wpiszemy następujące polecenie:
sudo mniam -y zainstaluj clamav clamav-devel
Po pobraniu i zainstalowaniu przechodzimy do zaktualizuj bazę danych ClamAV za pomocą polecenia:
świeży małżDzięki temu będziemy go aktualizować.
5. Analiza systemu
Po skonfigurowaniu tych parametrów przeprowadzimy test, pobierając niektóre złośliwe oprogramowanie z oficjalnej strony internetowej Eicar w celach testowych.
Najpierw uzyskujemy dostęp do ścieżki tmp za pomocą polecenia:
cd / tmpTeraz użyjemy następujących poleceń, aby pobrać odpowiednie złośliwe oprogramowanie:
wget http://www.eicar.org/download/eicar.com wget http://www.eicar.org/download/eicar.com.txtPo pobraniu użyjemy następującego polecenia, aby rozpocząć proces analizy:
maldet --scan-all / tmp
Na koniec zobaczymy wyniki procesu:
Możemy to sprawdzić wykrył 8 złośliwych programów w systemie. Raport możemy wysłać na nasz adres e-mail przy użyciu następującej składni:
maldet – raportNumer raportu widzimy w ostatniej linii wyniku.
6. Dodatkowe parametry do rozważenia
Istnieje kilka opcji, które możemy zaimplementować w celu filtrowania wyników, są to:
Wykonaj skanowanie z określonym rozszerzeniemW tym celu użyjemy następującej składni:
maldet -a /tmp/*.(rozszerzenie)Zmień rozszerzenie na jeden z plików, które chcesz przeskanować.
Pobierz wszystkie raportyUżyjemy następującej składni:
maldet -e lista
Skanuj pliki utworzone w ciągu ostatnich kilku dniUżyjemy następującej składni:
maldet -r / tmp (liczba dni)
Przywróć pliki z folderu kwarantannyAby przywrócić te elementy, użyjemy następującej składni:
maldet -s SCANID
Widzimy, że dzięki tym dwóm narzędziom mamy pod ręką ogromną pomoc w całym zadaniu monitorowanie i kontrola złośliwego oprogramowania i inne zagrożenia w naszych systemach CentOS 7 lub podobnych.
Użyj ClamAV w Ubuntu
