Линук откривање злонамерног софтвера (ЛМД) ради заштите Линука

Увод
Један од највећих проблема којима су изложени сервери, пошта и веб услуге су напади злонамерног софтвера.

Један од начина за спречавање овог проблема је Откривање Линук злонамерног софтвера (ЛМД), апликација која се може инсталирати на било који Линук систем и спречиће ову врсту напада.

Инсталација
Претпоставићемо да имамо ССХ приступ серверу који користимо за инсталацију и то се може урадити са било ког оперативног система пошто обавимо задатак повезан са сервером.

1. Улазимо у нашу командну конзолу путем ССХ -а на наш сервер:

 ссх роот@КСКС.КСКС.Кс.КСКС роот@КСКС.КСКС.КСКС.КСКС лозинка: ******* 

2. Када се повежемо са сервером, преузимамо бесплатни пакет за откривање злонамерног софтвера Линук на нашем серверу:

 [роот @ сервер1 ~] # вгет ввв.рфкн.цом/довнлоадс/малдетецт-цуррент.тар.гз

3. Распакујте датотеку:

 [роот @ сервер1 ~] # тар кфз малдетецт-цуррент.тар.гз

Са упутством лс можемо да проверимо у којем директоријуму сте распаковали да ће се генерално звати као верзија малдетецт у овом случају малдетецт-1.4.2

4. Улазимо у директоријум и настављамо са инсталирањем Малдетецт -а. Ево инсталације која ће се видети у неколико команди:

 [роот @ сервер1 ~] # цд малдетецт-1.4.2 [роот @ сервер1 малдетецт-1.4.2] # ./инсталл.сх Линук Малваре Детецт в1.4.1 © 2002-2013, Р-фк Нетворкс © 2013, Риан МацДоналд инотифиваит © 2007, Рохан МцГоверн Овај програм се може слободно дистрибуирати према условима ГНУ ГПЛ инсталације довршене у / уср / лоцал / малдетецт конфигурацијску датотеку: /уср/лоцал/малдетецт/цонф.малдет екец датотека: / уср / лоцал / малдетецт / малдет екец веза: / уср / лоцал / сбин / малдет екец веза: / уср / лоцал / сбин / лмд црон.даили: /етц/црон.даили/малдет малдет (10805): {сигуп} извршавање провере ажурирања потписа … малдет ( 10805): {сигуп} Локални скуп потписа је верзија 201205035915 малдет (10805): {сигуп} нови скуп потписа (2013041816820) доступан малдет (10805): {сигуп} преузет са хттп://ввв.рфкн.цом/довнлоадс/мд5. дат малдет (10805): {сигуп} преузето хттп://ввв.рфкн.цом/довнлоадс/хек.дат малдет (10805): {сигуп} преузето хттп://ввв.рфкн.цом/довнлоадс/рфкн.ндб малдет (10805): {сигуп} преузето хттп://ввв.рфкн.цом/довнлоадс/рфкн.хдб малдет (10805): {следеће п} преузето хттп://ввв.рфкн.цом/… алдет-цлеан.тгз малдет (10805): {сигуп} ажурирање скупа потписа завршено малдет (10805): {сигуп} 11203 потписа (9335 МД5/1868 ХЕКС) Затим смо извршите ажурирање базе података малеаре потписа [роот @ сервер1 ~] # малдет -упдате

Подешавање
У командном прозору испод пишемо помоћу нашег жељеног уређивача старији брат, вим или онај који често користимо:

 нано /уср/лоцал/малдетецт/цонф.малдет

Утврђујемо да ли ће нас упозорити путем е -поште када пронађе малвер:

• 0 = онемогућено
• 1 = омогућено

И дефинишемо пошту, као што се види на снимку екрана:

 # [0 = онемогућено, 1 = омогућено] емаил_алерт = 1

Такође дефинишемо да ли примамо само упозорење и премештамо заражену датотеку у карантин тако да се не може извршити.

 # [0 = само упозорење, 1 = пребаци у карантин и упозорење] куар_хитс = 0

Како скенирати

У зависности од структуре сервера и путање домена или датотеке за скенирање.
Опција -а означава Све скенирајте све датотеке у том директоријуму.

 [роот @ сервер1 малдетецт -1.4.2] # малдет -а / хоме / усер / публиц_хтмл

Да бисмо видели последњи извештај који смо генерисали, извршићемо:

 [роот @ сервер1 малдетецт -1.4.2] # малдет -репорт

У наставку приказујемо пример извештаја о злонамерном софтверу који је пронађен у скенирању свих домена сервера, а на листи ће се видети у Листа погођених датотека назив злонамерног софтвера, датотеку и број линије кода у којој се налази, у овом случају су пронађене 2 заражене датотеке.

 [роот @ сервер1 малдетецт-1.4.2] # малдет --сцан-алл / хоме малваре репорт сцан репорт фор сервер.мидомаин.цом: СЦАН ИД: 02233-0315.9516 ВРИЈЕМЕ: 6. ЈУНА 07:02:44 +0300 ПУТ: / хоме * / * / публиц_хтмл ДИЗАЈН: 2 дана УКУПНО ДАТОТЕКА: 8406 УКУПНО ХИТОВАЊА: 1 УКУПНО ОЧИШЋЕНО: 0 ЛИСТА ХИТОВАЊА ДАТОТЕКА: {ХЕКС} пхп.цмдсхелл.унцлассед.344: / хоме / усер1 / публиц_хтмл / имагес / уплоад / филес / аспхото.пхп.пјпг {ХЕКС} пхп.нестед.басе64.513: /хоме/усер2/публиц_хтмл/формуларио.пхп

Ако се пронађе лажно позитивно откривање, датотека се може опоравити из карантене помоћу:

 [роот @ сервер1 малдетецт -1.4.2] # малдет -ресторе /хоме/усер2/публиц_хтмл/форм.пхп

Постоје и друга напреднија подешавања за Малдетецт, чак и да ради помоћу Цламав антивирус присутни на многим серверима.

Да ли вам се допао и помогао овај водич?Можете наградити аутора притиском на ово дугме да бисте му дали позитиван поен