Antivirus dwigateli hökmünde ClamAV bilen Linux zyýanly programma üpjünçiligini (LMD) nädip gurmaly we ulanmaly

Zyýanly programma üpjünçiligi ýa-da zyýanly programma üpjünçiligi, hasaplaýyş ulgamynyň kadaly işleýşini bozmagy maksat edinýän islendik programma berlen bellikdir. Zyýanly programma üpjünçiliginiň iň belli görnüşleri wiruslar, içaly programma üpjünçiligi we mahabat programmalary bolsa-da, olaryň ýetirjek zyýany şahsy maglumatlary ogurlamakdan başlap, şahsy maglumatlary pozmak we ş.m. bolup biler, şol bir wagtyň özünde zyýanly programma üpjünçiliginiň başga bir klassiki ulanylyşy gözegçilik etmekdir (D) DoS hüjüminde botnetleri işe girizmek üçin ulgam.

Başga sözler bilen aýdanyňda,\Ulgamlarymy (programma üpjünçiligimi) zyýanly programma üpjünçiliginden goramagyň zerurlygy ýok, sebäbi hiç hili duýgur ýa-da möhüm maglumatlary saklamaýaryn sebäbi bu zyýanly programma üpjünçiliginiň ýeke-täk nyşany däl .

Şol sebäpli, bu makalada Linux Malware Detect (aka MalDet ýa-da gysgaça LMD ) nädip gurmalydygyny we sazlamalydygyny düşündireris. ClamAV (Antivirus Motor) RHEL 8/7/6 (bu ýerde x wersiýa belgisi), CentOS 8/7/6 we Fedora 30-32 (şol bir görkezmeler Ubuntu we Debian ulgamlarynda hem işleýär) .

GPL v2 ygtyýarnamasy boýunça goýberilen zyýanly programma üpjünçiligi skaneri, hosting şertleri üçin ýörite döredildi. Şeýle-de bolsa, haýsy gurşawda işleýändigiňize garamazdan MalDet -den peýdalanjakdygyňyza tiz düşünersiňiz.

RHEL/CentOS we Fedora-da LMD gurmak

LMD onlaýn ammarlarda elýeterli däl, ýöne taslamanyň web sahypasyndan tarbol hökmünde paýlanýar. Iň soňky wersiýanyň deslapky kody öz içine alýan tarbol elmydama aşakdaky baglanyşykda elýeterlidir, ony wget buýrugy bilen göçürip alyp bolýar:

# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Soňra tarboly açyp, mazmuny çykarylan kataloga girmeli. Häzirki wersiýa 1.6.4 bolany üçin, katalog maldetect-1.6.4 . Şol ýerde install.sh gurnama skriptini taparys.

# tar -xvf maldetect-current.tar.gz
# ls -l | grep maldetect
# cd maldetect-1.6.4/
# ls

Diňe 75 setirleriň uzynlygy (teswirleri goşmak bilen) gurnama skriptini gözden geçirsek, onuň diňe bir gural gurman, eýsem deslapky gurnama katalogynyň bardygyny ýa-da ýokdugyny anyklamak üçin deslapky barlag geçirjekdigini göreris ( /usr/ýerli/maldetect ) bar. Notok bolsa, skript dowam etmezden ozal gurnama katalogyny döredýär.

Ahyrynda, gurnama tamamlanandan soň, cron.daily skriptini (ýokardaky surata serediň) /etc/-e ýerleşdirmek bilen, kron arkaly gündelik ýerine ýetiriş meýilleşdirilýär. cron.daily . Bu kömekçi skript, beýleki zatlar bilen bir hatarda köne wagtlaýyn maglumatlary arassalaýar, täze LMD goýberilişini barlar we deslapky Apache we web dolandyryş panellerini (meselem, CPanel, DirectAdmin, birnäçe adyny bellemek üçin) skaner eder.

Aýdylyşy ýaly, gurnama skriptini hemişeki ýaly işlediň:

# ./install.sh

Linux zyýanly programma üpjünçiligini kesgitlemek

LMD-iň konfigurasiýasy /usr/local/maldetect/conf.maldet arkaly işlenýär we konfigurasiýany aňsatlaşdyrmak üçin ähli opsiýalar gowy düşündirilýär. Ýapyşanyňyzda /mallipettr-e iberip bilersiňiz Goşmaça görkezmeler üçin ýüz tutup bilersiňiz.

Sazlama faýlynda inedördül ýaýyň içinde ýerleşdirilen aşakdaky bölümleri tapyp bilersiňiz:

  1. E-poçta habarlary
  2. KARANTINE Opsiýalary
  3. SKAN Opsiýalary
  4. STATISTIK ANALIZI
  5. Gözegçilik opsiýalary

Bu bölümleriň hersinde LMD özüni alyp barşyny we haýsy aýratynlyklaryň bardygyny görkezýän birnäçe üýtgeýjiler bar.

  1. Zyýanly programma üpjünçiliginiň barlag netijeleri barada e-poçta habarnamalaryny almak isleseňiz, email_alert=1 düzüň. Gysga wagtlyklygy üçin diňe ýerli ulgam ulanyjylaryna poçta ibereris, emma daşardan poçta duýduryşlaryny ibermek ýaly beýleki wariantlary öwrenip bilersiňiz.
  2. Öň e-poçta_alert=1. bellän bolsaňyz, email_subj=Bu ýerde mowzugyňyz we [e-poçta goralýar] düzüň.
  3. quar_hits bilen, zyýanly programma üpjünçiligi hitleri üçin deslapky karantin hereketi (diňe 0 duýduryş, 1=karantine geçmek we duýduryş bermek) LMD-e zyýanly programma üpjünçiligi tapylanda näme etmelidigini aýdarsyňyz.
  4. quar_clean simli zyýanly programma üpjünçiliginiň sanjymlaryny arassalamak isleýändigiňizi kesgitlemäge mümkinçilik berer. Setirli goluň, kesgitleme boýunça, zyýanly programma üpjünçiliginiň maşgalasynyň köp wariantyna gabat gelip biljek baýt yzygiderliligini ýadyňyzdan çykarmaň.
  5. quar_susp , hitleri bolan ulanyjylar üçin deslapky togtatmak çäresi, degişli faýllary hit hökmünde kesgitlenen hasaby öçürmäge mümkinçilik berer.
  6. clamav_scan=1 LMD-e ClamAV ikili barlygyny anyklamaga we deslapky skaner hereketlendirijisi hökmünde ulanmaga synanyşar. Bu dört esse çalt skaner öndürijiligini we ýokary derejeli analiz berýär. Bu opsiýa diňe skaner motory hökmünde ClamAV ulanýar we LMD gollary howplary ýüze çykarmak üçin esas bolup durýar.

Jemläp aýtsak, bu üýtgeýjiler bilen setirler /usr/local/maldetect/conf.maldet aşakdaky ýaly görünmeli:

email_alert=1
[email 
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quar_hits=1
quar_clean=1
quar_susp=1
clam_av=1

RHEL/CentOS we Fedora-da ClamAV gurmak

clamav_scan sazlamasyndan peýdalanmak üçin ClamAV gurmak üçin şu ädimleri ýerine ýetiriň:

EPEL ammaryny açyň.

# yum install epel-release

Soňra ýerine ýetiriň:

# yum update && yum install clamd
# apt update && apt-get install clamav clamav-daemon  [Ubuntu/Debian]

Bellik: Bularyň diňe LMD bilen integrasiýa etmek üçin ClamAV gurmak üçin esasy görkezmelerdigi. ClamAV sazlamalary barada jikme-jik maglumat bermeris, sebäbi öňem aýdyşymyz ýaly LMD gollary howplary ýüze çykarmak we arassalamak üçin esas bolup durýar.

Linux zyýanly programma üpjünçiligini barlamak

Indi soňky LMD / ClamAV gurnamagy synap görmegiň wagty geldi. Hakyky zyýanly programma üpjünçiligini ulanmagyň ýerine, EICAR web sahypasyndan göçürip alyp boljak EICAR synag faýllaryny ulanarys.

# cd /var/www/html
# wget http://www.eicar.org/download/eicar.com 
# wget http://www.eicar.org/download/eicar.com.txt 
# wget http://www.eicar.org/download/eicar_com.zip 
# wget http://www.eicar.org/download/eicarcom2.zip

Bu pursatda, indiki kron işiniň maldet el bilen işlemegine garaşyp bilersiňiz. Ikinji wariant bilen bararys:

# maldet --scan-all /var/www/

LMD ýabany kartalary hem kabul edýär, şonuň üçin diňe belli bir faýl görnüşini skanirlemek isleseňiz (mysal üçin zip faýllary), edip bilersiňiz:

# maldet --scan-all /var/www/*.zip

Gözlemek tamamlanandan soň, LMD tarapyndan iberilen e-poçta barlap bilersiňiz ýa-da hasabaty şu görnüşde görüp bilersiňiz:

# maldet --report 021015-1051.3559

021015-1051.3559 nirede SCANID (SCANID siziň ýagdaýyňyzda birneme üýtgeşik bolar).

Üns beriň: eicar.com faýly iki gezek göçürilenden bäri LMD-iň 5 urgy tapandygyny ýadyňyzdan çykarmaň (şeýlelik bilen eicar.com we eicar.com.1).

Karantin bukjasyny barlasaňyz (faýllaryň birini goýup, galanlaryny pozdum) aşakdakylary göreris:

# ls -l

Soňra ähli karantin faýllaryny aýyryp bilersiňiz:

# rm -rf /usr/local/maldetect/quarantine/*

Şeýle bolsa,

# maldet --clean SCANID

Näme üçindir işi bitirenok. Aboveokardaky prosesi ädimme-ädim düşündirmek üçin aşakdaky ekran ýaýlymyna ýüz tutup bilersiňiz:

maldet kron bilen birleşdirilmeli bolansoň, kök üýtgeýjisine aşakdaky üýtgeýjileri bellemeli (kök hökmünde crontab -e ýazyň we basyň) LMD-iň gündelik işlemeýändigini duýsaňyz, Enter düwmesi):

PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
SHELL=/bin/bash

Bu zerur düzediş maglumatlary bermäge kömek eder.

Netije

Bu makalada güýçli ýarany ClamAV bilen bilelikde Linux zyýanly programma üpjünçiligini kesgitlemek nädip gurmalydygyny we sazlamalydygyny ara alyp maslahatlaşdyk. Bu 2 guralyň kömegi bilen zyýanly programma üpjünçiligini tapmak gaty aňsat iş bolmaly.

Şeýle-de bolsa, özüňize peýdaly boluň we ozal düşündirilişi ýaly README faýly bilen tanyşyň, ulgamyňyzyň gowy hasaplanýandygyna we gowy dolandyrylýandygyna arkaýyn bolarsyňyz.

Aşakdaky formany ulanyp, teswirleriňizi ýa-da soraglaryňyzy goýmakdan çekinmäň.

Salgylanma baglanyşyklary

LMD Baş sahypa