Linux Malware Detect (LMD) per proteggere Linux

Linux Malware Detect (LMD) per proteggere Linux

introduzione
Uno dei maggiori problemi a cui sono esposti server, posta e servizi web sono i attacchi di malware.

Uno dei metodi per prevenire questo problema è Rilevamento malware per Linux (LMD), un'applicazione che può essere installata su qualsiasi sistema Linux e preverrà questo tipo di attacco.

Installazione
Supponiamo di avere accesso SSH al server che utilizziamo per eseguire l'installazione e che può essere eseguito da qualsiasi sistema operativo poiché eseguiamo l'attività connessa al server.

1. Entriamo nella nostra console di comando tramite SSH al nostro server: 

 ssh [email protected] [email protected] password di: *******
2. Una volta che ci siamo collegati al server scarichiamo il pacchetto gratuito di rilevamento malware per Linux sul nostro server: 
 [root @ server1 ~] # wget www.rfxn.com/downloads/maldetect-current.tar.gz
3. Decomprimi il file: 
 [root @ server1 ~] # tar xfz maldetect-current.tar.gz
Con istruzioni ls possiamo controllare in quale directory hai decompresso verrà generalmente chiamato come versione di maldetect in questo caso maldetect-1.4.2

4. Entriamo nella directory e procediamo con l'installazione di Maldetect. Ecco un'installazione che verrà visualizzata in pochi comandi: 

 [root @ server1 ~] # cd maldetect-1.4.2 [root @ server1 maldetect-1.4.2] # ./install.sh Linux Malware Detect v1.4.1 © 2002-2013, R-fx Networks © 2013, Ryan MacDonald inotifywait © 2007, Rohan McGovern Questo programma può essere liberamente ridistribuito secondo i termini dell'installazione GNU GPL completata nel file di configurazione /usr/local/maldetect: /usr/local/maldetect/conf.maldet file exec: /usr/local/maldetect/ collegamento maldet exec: / usr / local / sbin / collegamento maldet exec: / usr / local / sbin / lmd cron.daily: /etc/cron.daily/maldet maldet (10805): {sigup} esecuzione del controllo dell'aggiornamento della firma… maldet ( 10805): {sigup} set di firme locali è la versione 201205035915 maldet (10805): {sigup} nuovo set di firme (2013041816820) disponibile maldet (10805): {sigup} scaricato http://www.rfxn.com/downloads/md5. dat maldet (10805): {sigup} scaricato http://www.rfxn.com/downloads/hex.dat maldet (10805): {sigup} scaricato http://www.rfxn.com/downloads/rfxn.ndb maldet (10805): {sigup} scaricato http://www.rfxn.com/downloads/rfxn.hdb maldet (10805): {successivo p} scaricato http://www.rfxn.com/… aldet-clean.tgz maldet (10805): {sigup} aggiornamento del set di firme completato maldet (10805): {sigup} 11203 firme (9335 MD5 / 1868 HEX) Quindi noi fare un aggiornamento del database delle firme maleare [root @ server1 ~] # maldet -update

Ambientazione
Nella finestra di comando scriviamo di seguito utilizzando il nostro editor preferito fratello maggiore, vim o quello che usiamo spesso: 

 nano /usr/local/maldetect/conf.maldet

Stabiliamo se quando trova un malware ci avviserà via e-mail:

  • 0 = disabilitato
  • 1 = abilitato
E definiamo la posta, come si vede nello screenshot: 
 # [0 = disabilitato, 1 = abilitato] email_alert = 1
Definiamo anche se riceviamo solo un avviso e spostiamo il file infetto in quarantena in modo che non possa essere eseguito. 
 # [0 = solo avviso, 1 = passa alla quarantena e allerta] quar_hits = 0

Come eseguire la scansione


A seconda della struttura del server e del percorso del dominio o del file da scansionare.
L'opzione -a indica Tutto scansiona tutti i file in quella directory. 
 [root @ server1 maldetect-1.4.2] # maldet -a / home / utente / public_html
Per vedere l'ultimo report che abbiamo generato eseguiremo: 
 [root @ server1 maldetect-1.4.2] # maldet -report
Di seguito mostriamo un esempio di un report di malware trovato in una scansione di tutti i domini di un server, nell'elenco verrà visualizzato in Elenco risultati file il nome del malware, il file e il numero della riga di codice in cui si trova, in questo caso sono stati trovati 2 file infetti. 
 [root @ server1 maldetect-1.4.2] # maldet --scan-all / home report di scansione rilevamento malware per server.mydomain.com: ID SCANSIONE: 02233-0315.9516 ORA: 6 GIU 07:02:44 +0300 PERCORSO: / home * / * / public_html RANGE: 2 giorni TOTALE FILE: 8406 TOTALE RISULTATI: 1 TOTALE PULITO: 0 FILE HIT LIST: {HEX} php.cmdshell.unclassed.344: /home/user1/public_html/images/upload/files / asphoto.php.pjpg.webp {HEX} php.nested.base64.513: /home/user2/public_html/formulario.php
Se viene rilevato un falso positivo, il file può essere recuperato dalla quarantena con: 
 [root @ server1 maldetect-1.4.2] # maldet -restore /home/user2/public_html/form.php
Ci sono altre impostazioni più avanzate per Malrilevamento, anche per farlo funzionare usando il Antivirus Clamav presente su molti server.

Ti è piaciuto e hai aiutato questo Tutorial?Puoi premiare l'autore premendo questo pulsante per dargli un punto positivo

Aiuterete lo sviluppo del sito, condividere la pagina con i tuoi amici

wave wave wave wave wave

Messaggi Popolari

wave
1
post-title
Bilanciamento del carico con Nagwin (Nagios)
2
post-title
Come crittografare e password disco USB Ubuntu Linux (LUKS cryptsetup)
3
post-title
Come ripristinare l'hard reset di Huawei P30 Pro
4
post-title
Come cancellare la cache Xiaomi Mi A2 Lite
5
post-title
Nginx - Primi passi

Raccomandato

wave
- Sponsored Ad -

Scelta Del Redattore

wave
- Sponsored Ad -