introduzione
Uno dei maggiori problemi a cui sono esposti server, posta e servizi web sono i attacchi di malware.
Uno dei metodi per prevenire questo problema è Rilevamento malware per Linux (LMD), un'applicazione che può essere installata su qualsiasi sistema Linux e preverrà questo tipo di attacco.
Installazione
Supponiamo di avere accesso SSH al server che utilizziamo per eseguire l'installazione e che può essere eseguito da qualsiasi sistema operativo poiché eseguiamo l'attività connessa al server.
1. Entriamo nella nostra console di comando tramite SSH al nostro server:
ssh [email protected] [email protected] password di: *******2. Una volta che ci siamo collegati al server scarichiamo il pacchetto gratuito di rilevamento malware per Linux sul nostro server:
[root @ server1 ~] # wget www.rfxn.com/downloads/maldetect-current.tar.gz3. Decomprimi il file:
[root @ server1 ~] # tar xfz maldetect-current.tar.gzCon istruzioni ls possiamo controllare in quale directory hai decompresso verrà generalmente chiamato come versione di maldetect in questo caso maldetect-1.4.2
4. Entriamo nella directory e procediamo con l'installazione di Maldetect. Ecco un'installazione che verrà visualizzata in pochi comandi:
[root @ server1 ~] # cd maldetect-1.4.2 [root @ server1 maldetect-1.4.2] # ./install.sh Linux Malware Detect v1.4.1 © 2002-2013, R-fx Networks © 2013, Ryan MacDonald inotifywait © 2007, Rohan McGovern Questo programma può essere liberamente ridistribuito secondo i termini dell'installazione GNU GPL completata nel file di configurazione /usr/local/maldetect: /usr/local/maldetect/conf.maldet file exec: /usr/local/maldetect/ collegamento maldet exec: / usr / local / sbin / collegamento maldet exec: / usr / local / sbin / lmd cron.daily: /etc/cron.daily/maldet maldet (10805): {sigup} esecuzione del controllo dell'aggiornamento della firma… maldet ( 10805): {sigup} set di firme locali è la versione 201205035915 maldet (10805): {sigup} nuovo set di firme (2013041816820) disponibile maldet (10805): {sigup} scaricato http://www.rfxn.com/downloads/md5. dat maldet (10805): {sigup} scaricato http://www.rfxn.com/downloads/hex.dat maldet (10805): {sigup} scaricato http://www.rfxn.com/downloads/rfxn.ndb maldet (10805): {sigup} scaricato http://www.rfxn.com/downloads/rfxn.hdb maldet (10805): {successivo p} scaricato http://www.rfxn.com/… aldet-clean.tgz maldet (10805): {sigup} aggiornamento del set di firme completato maldet (10805): {sigup} 11203 firme (9335 MD5 / 1868 HEX) Quindi noi fare un aggiornamento del database delle firme maleare [root @ server1 ~] # maldet -update
Ambientazione
Nella finestra di comando scriviamo di seguito utilizzando il nostro editor preferito fratello maggiore, vim o quello che usiamo spesso:
nano /usr/local/maldetect/conf.maldet
Stabiliamo se quando trova un malware ci avviserà via e-mail:
- 0 = disabilitato
- 1 = abilitato
# [0 = disabilitato, 1 = abilitato] email_alert = 1Definiamo anche se riceviamo solo un avviso e spostiamo il file infetto in quarantena in modo che non possa essere eseguito.
# [0 = solo avviso, 1 = passa alla quarantena e allerta] quar_hits = 0
Come eseguire la scansione
A seconda della struttura del server e del percorso del dominio o del file da scansionare.
L'opzione -a indica Tutto scansiona tutti i file in quella directory.
[root @ server1 maldetect-1.4.2] # maldet -a / home / utente / public_htmlPer vedere l'ultimo report che abbiamo generato eseguiremo:
[root @ server1 maldetect-1.4.2] # maldet -reportDi seguito mostriamo un esempio di un report di malware trovato in una scansione di tutti i domini di un server, nell'elenco verrà visualizzato in Elenco risultati file il nome del malware, il file e il numero della riga di codice in cui si trova, in questo caso sono stati trovati 2 file infetti.
[root @ server1 maldetect-1.4.2] # maldet --scan-all / home report di scansione rilevamento malware per server.mydomain.com: ID SCANSIONE: 02233-0315.9516 ORA: 6 GIU 07:02:44 +0300 PERCORSO: / home * / * / public_html RANGE: 2 giorni TOTALE FILE: 8406 TOTALE RISULTATI: 1 TOTALE PULITO: 0 FILE HIT LIST: {HEX} php.cmdshell.unclassed.344: /home/user1/public_html/images/upload/files / asphoto.php.pjpg.webp {HEX} php.nested.base64.513: /home/user2/public_html/formulario.phpSe viene rilevato un falso positivo, il file può essere recuperato dalla quarantena con:
[root @ server1 maldetect-1.4.2] # maldet -restore /home/user2/public_html/form.phpCi sono altre impostazioni più avanzate per Malrilevamento, anche per farlo funzionare usando il Antivirus Clamav presente su molti server. Ti è piaciuto e hai aiutato questo Tutorial?Puoi premiare l'autore premendo questo pulsante per dargli un punto positivo