本文中介绍在是在RHEL 7.0/6.x(x是版本号)、CentOS 7.0/6.x和Fedora 21-12系统中,这是采用GPL v2许可证发布的一款恶意软件扫描工具又叫MalDet,或简称LMD)和ClamAV(反病毒引擎,专门为主机托管环境而设计。
将LMD安装到RHEL/CentOS 7.0/6.x和Fedora 21-12上
# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
然后,我们需要解压该打包文件,并进入提取/解压内容的目录。由于当前版本是1.4.2,目录为maldetect-1.4.2。我们会在该目录中找到安装脚本install.sh。
# tar -xvf maldetect-current.tar.gz
# ls -l | grep maldetect
Linux恶意软件检测和反病毒引擎ClamAV安装使用教程
如果我们检查安装脚本,该脚本长度只有75行(包括注释),就会发现,它不仅安装该工具,还执行预检测,看看默认安装目录(/usr/local/maldetect)有无存在。要是不存在,脚本就会先创建安装目录,然后执行下一步。
最后,安装完成后,只要将cron.daily脚本(参阅上图)放入到/etc/cron.daily,就可以排定通过cron(计划任务)的每天执行。这个帮助脚本具有诸多功能,包括清空旧的临时数据,检查新的LMD版本,扫描默认Apache和Web控制面板(比如CPanel和DirectAdmin等)默认数据目录。
话虽如此,还是按平常那样运行安装脚本:
# ./install.sh
配置Linux恶意软件检测工具
配置LDM的工作通过/usr/local/maldetect/conf.maldet来处理,所以选项都进行了充分的注释,以便配置起来相当容易。万一你哪里卡住了,还可以参阅/usr/local/src/maldetect-1.4.2/README,了解进一步的指示。
在配置文件中,你会找到用方括号括起来的下列部分:
•EMAIL ALERTS(邮件提醒) •QUARANTINE OPTIONS(隔离选项) •SCAN OPTIONS(扫描选项) •STATISTICAL ANALYSIS(统计分析) •MONITORING OPTIONS(监控选项)
这每个部分都含有几个变量,表明LMD会如何运行、有哪些功能特性可以使用。
•如果你想收到通知恶意软件检测结果的电子邮件,就设置email_alert=1。为了简洁起见,我们只将邮件转发到本地系统用户,但是你同样可以探究其他选项,比如将邮件提醒发送到外部用户。
•如果你之前已设置了email_alert=1,设置email_subj=”Your subject here”和email_addr=username@localhost。
•至于quar_hits,即针对恶意软件袭击的默认隔离操作(0 =仅仅提醒,1 = 转而隔离并提醒),你告诉LMD在检测到恶意软件后执行什么操作。
•quar_clean将让你决定想不想清理基于字符串的恶意软件注入。牢记一点:就本身而言,字符串特征是“连续的字节序列,有可能与恶意软件家族的许多变种匹配。”
•quar_susp,即针对遭到袭击的用户采取的默认暂停操作,让你可以禁用其所属文件已被确认为遭到袭击的帐户。
•clamav_scan=1将告诉LMD试图检测有无存在ClamAV二进制代码,并用作默认扫描器引擎。这可以获得最多快出四倍的扫描性能和出色的十六进制分析。这个选项只使用ClamAV作为扫描器引擎,LMD特征仍是检测威胁的基础。
重要提示:
请注意:quar_clean和quar_susp需要quar_hits被启用(=1)。
总之,在/usr/local/maldetect/conf.maldet中,有这些变量的行应该看起来如下:
email_alert=1 email_addr=gacanepa@localhost email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)" quar_hits=1 quar_clean=1 quar_susp=1 clam_av=1
想安装ClamAV以便充分利用clamav_scan设置,请遵循这些步骤:
创建软件库文件/etc/yum.repos.d/dag.repo:
[dag] name=Dag RPM Repository for Red Hat Enterprise Linux baseurl=http://apt.sw.be/redhat/el$releasever/en/$basearch/dag/ gpgcheck=1 gpgkey=http://dag.wieers.com/packages/RPM-GPG-KEY.dag.txt enabled=1
然后运行命令:
# yum update && yum install clamd
注意:这些只是安装ClamAV的基本指令,以便将它与LMD整合起来。我们在ClamAV设置方面不作详细介绍,因为正如前面所述,LMD特征仍是检测和清除威胁的基础。
测试Linux恶意软件检测工具
现在就可以检测我们刚刚安装的LMD / ClamAV了。不是使用实际的恶意软件,我们将使用EICAR测试文件(http://www.eicar.org/86-0-Intended-use.html),这些文件可从EICAR网站下载获得。
# cd /var/www/html # wget http://www.eicar.org/download/eicar.com # wget http://www.eicar.org/download/eicar.com.txt # wget http://www.eicar.org/download/eicar_com.zip # wget http://www.eicar.org/download/eicarcom2.zip
这时候,你可以等待下一个cron任务运行,也可以自行手动执行maldet。我们将采用第二种方法:
# maldet --scan-all /var/www/
LMD还接受通配符,所以如果你只想扫描某种类型的文件(比如说zip文件),就可以这么做:
# maldet --scan-all /var/www/*.zip
扫描Linux中的恶意软件
扫描完成后,你可以查阅LMD发送过来的电子邮件,也可以用下列命令查看报告:
# maldet --report 021015-1051.3559
Linux恶意软件扫描报告
其中021015-1051.3559是SCANID(SCANID与你的实际结果会略有不同)。
重要提示:请注意:由于eicar.com文件下载了两次(因而导致eicar.com和eicar.com.1),LMD发现了5次袭击。
如果你检查隔离文件夹(我只留下了一个文件,删除了其余文件),我们会看到下列结果:
# ls –l
Linux恶意软件检测工具隔离文件
你然后可以用下列命令删除所有隔离的文件:
# rm -rf /usr/local/maldetect/quarantine/*
万一那样,
# maldet --clean SCANID
最后的考虑因素
由于maldet需要与cron整合起来,你就需要在root的crontab中设置下列变量(以root用户的身份键入crontab –e,并按回车键),也许你会注意到LMD并没有每天正确运行:
PATH=/sbin:/bin:/usr/sbin:/usr/bin MAILTO=root HOME=/ SHELL=/bin/bash
这将有助于提供必要的调试信息。
文章评论