Maldet Kurulumu ve kullanımı (malware detect for linux) ?

04-03-2019 12:25    56

CentOS 7'de Linux Kötü Amaçlı Yazılım Algılama Nasıl Yüklenir ve Yapılandırılır?

Not: LMD nedir? LMD Linux Malware Detect in açılımıdır.

Linux Kötü Amaçlı Yazılım Algıla (LMD) veya yalnızca Maldet, GNU GPLv2 altında yayınlanan Linux makineleri için tasarlanmış ücretsiz bir kötü amaçlı yazılım tarayıcısıdır. Özel olarak paylaşılan barındırılan ortamdaki tehditler etrafında tasarlanmıştır. LMD, saldırılarda kullanılan asıl kötü amaçlı yazılımları elde etmek için ağ kenarı saldırı tespit sistemlerinden gelen tehdit verilerini kullanır ve tespit için çeşitli imzalar oluşturur. Bu özelliklere ek olarak, LMD tehdit verileri, LMD'deki ödeme özelliğiyle kullanıcı gönderimlerinden kötü amaçlı yazılım kaynaklarından da çıkarılabilir. HEX deseni ve MD5 dosya karmaları gibi imzaları kullanır. Ayrıca ClamAV dahil çeşitli tespit araçlarından da çıkarılabilirler. Kurulum işlemine başlamadan önce, bu eğitimde bazı temel SSH bilgisine sahip olduğunuz varsayılmaktadır. Bu talimatlar VPS (Sanal Özel Sunucular) veya Özel sunucularla ilgilenen kullanıcılar için geçerlidir.
Başlayalım.

 

Adım 1: Paketleri Güncelleme

İlk olarak paketlerin güncel olduğundan emin olun ve aşağıda ki komutu çalıştırın.

 

$ yum -y update

 

Adım 2: Linux Kötü Amaçlı Yazılım Algılama'yı yükleme

Resmi Linux Kötü Amaçlı Yazılım Algılama sayfasına gidin ve yazılımı sunucunuza indirin:

 

$ wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

indirilmiş olan Linux Malware dosyasını açın:

#tar xfz maldetect-current.tar.gz

 

Geçerli dizini aşağıdaki komutla değiştirebilirsiniz:

$ cd maldetect-*

Şimdi betiği kurmak için dosyayı çalıştırın:

./install.sh

Kurulum işlemi tamamlandıktan sonra aşağıdaki çıktıya sahip olmalısınız:

  1. Created symlink from /etc/systemd/system/multi-user.target.wants/maldet.service to /usr/lib/systemd/system/maldet.service.
  2. Linux Malware Detect v1.6
  3. (C) 2002-2017, R-fx Networks <proj@r-fx.org>
  4. (C) 2017, Ryan MacDonald <ryan@r-fx.org>
  5. This program may be freely redistributed under the terms of the GNU GPL
  6.  
  7. installation completed to /usr/local/maldetect
  8. config file: /usr/local/maldetect/conf.maldet
  9. exec file: /usr/local/maldetect/maldet
  10. exec link: /usr/local/sbin/maldet
  11. exec link: /usr/local/sbin/lmd
  12. cron.daily: /etc/cron.daily/maldet
  13. maldet(1344): {sigup} performing signature update check...
  14. maldet(1344): {sigup} local signature set is version 2017070716978
  15. maldet(1344): {sigup} new signature set (2017080720059) available
  16. maldet(1344): {sigup} downloading https://cdn.rfxn.com/downloads/maldet-sigpack.tgz
  17. maldet(1344): {sigup} downloading https://cdn.rfxn.com/downloads/maldet-cleanv2.tgz
  18. maldet(1344): {sigup} verified md5sum of maldet-sigpack.tgz
  19. maldet(1344): {sigup} unpacked and installed maldet-sigpack.tgz
  20. maldet(1344): {sigup} verified md5sum of maldet-clean.tgz
  21. maldet(1344): {sigup} unpacked and installed maldet-clean.tgz
  22. maldet(1344): {sigup} signature set update completed
  23. maldet(1344): {sigup} 15215 signatures (12485 MD5 | 1951 HEX | 779 YARA | 0 USER

Adım 3: LMD'yi yapılandırma

Linux Kötü Amaçlı Yazılım Algılama yapılandırma dosyası /usr/local/maldetect/conf.maldet'tir ve aşağıdaki gereksinimlere göre değiştirilebilir:

 

$ vi / usr/local/maldetect/conf.maldet

Sisteminizdeki varsayılan dosya şöyle görünmelidir:

  1. # E-posta Uyarısını Etkinleştir
  2. email_alert = "1"
  3. # Tarama raporlarını almak istediğiniz e-posta adresi
  4. email_addr = "igeek.web@gmail.com"
  5. # ClamAV ile kullanın
  6. scan_clamscan = "1"
  7. # Sahip olduğunuz kök dosyalar için taramayı etkinleştirin. Devre dışı bırakmak için 1 ayarlayın.
  8. scan_ignore_root = "0"
  9. # Tehditleri karantinaya al
  10. quarantine_hits = "1"
  11. # Temiz dize tabanlı kötü amaçlı yazılım enjeksiyonları
  12. quarantine_clean = "1"
  13. # Kötü amaçlı yazılım bulunursa kullanıcıyı askıya alın.
  14. quarantine_suspend_user = "1"
  15. # Askıya alınacak minimum kullanıcı kimliği değeri
  16. quarantine_suspend_user_minuid = "500"  

Şimdi aşağıdaki ayarları değiştirin:

email_alert = 1 - E-posta uyarıları almak istiyorsanız

email_addr = ”user@yourdomain.tld” - Kötü amaçlı yazılım e-postası uyarılarını almak istediğiniz adresi yazın

quar_hits = 1 - Kötü amaçlı yazılım isabetleri için varsayılan karantina uyarısı

quar_clean = 1 - Algılanan kötü amaçlı yazılım enjeksiyonlarını temizler

Adım 4: CronJob'u Otomatik Tarama için Ayarlayın

Kurulum sürecinde, /etc/cron.daily/maldet dizinine bir cron iş dosyası yüklenmiştir.

LMD tarafından yüklenen bu dosyalar, mevcut oturumu sürdürmede, imza dosyalarının günlük güncellemelerini gerçekleştirmede, geçici işlemlerin yanı sıra karantina verilerini iki hafta veya 14 günden fazla olmamak üzere yararlıdır. Sistemdeki tüm son dosyaların günlük taramasını gerçekleştirir.

Bu dosyaların sunucunuzun yapısı ve Cron dosyasındakilerle uyumlu olmasını sağlamak için kontrol panelini kontrol edin ve gerekli değişiklikleri yapın.

  1. #!/bin/bash
  2.  
  3. # clear quarantine/session/tmp data every 14 days
  4. /usr/sbin/tmpwatch 336 /usr/local/maldetect/tmp >> /dev/null 2>&1
  5. /usr/sbin/tmpwatch 336 /usr/local/maldetect/sess >> /dev/null 2>&1
  6. /usr/sbin/tmpwatch 336 /usr/local/maldetect/quarantine >> /dev/null 2>&1
  7. /usr/sbin/tmpwatch 336 /usr/local/maldetect/pub/*/ >> /dev/null 2>&1
  8.  
  9. # check for new release version
  10. /usr/local/maldetect/maldet -d >> /dev/null 2>&1
  11.  
  12. # check for new definition set
  13. /usr/local/maldetect/maldet -u >> /dev/null 2>&1
  14.  
  15. # if were running inotify monitoring, send daily hit summary
  16. if [ "$(ps -A --user root -o "comm" | grep inotifywait)" ]; then
  17. /usr/local/maldetect/maldet --alert-daily >> /dev/null 2>&1
  18. else
  19. # scan the last 2 days of file changes
  20. if [ -d "/home/virtual" ] && [ -d "/usr/lib/opcenter" ]; then
  21. # ensim
  22. /usr/local/maldetect/maldet -b -r /home/virtual/?/fst/var/www/html 2 >> /dev/null 2>&1
  23. /usr/local/maldetect/maldet -b -r /home/virtual/?/fst/home/?/public_html 2 >> /dev/null 2>&1
  24. elif [ -d "/etc/psa" ] && [ -d "/var/lib/psa" ]; then
  25. # psa
  26. /usr/local/maldetect/maldet -b -r /var/www/vhosts/?/httpdocs 2 >> /dev/null 2>&1
  27. /usr/local/maldetect/maldet -b -r /var/www/vhosts/?/subdomains/?/httpdocs 2 >> /dev/null 2>&1
  28. elif [ -d "/usr/local/directadmin" ]; then
  29. # DirectAdmin
  30. /usr/local/maldetect/maldet -b -r /var/www/html/?/ 2 >> /dev/null 2>&1
  31. /usr/local/maldetect/maldet -b -r /home?/?/domains/?/public_html 2 >> /dev/null 2>&1
  32. else
  33. # cpanel, interworx and other standard home/user/public_html setups
  34. /usr/local/maldetect/maldet -b -r /home?/?/public_html 2 >> /dev/null 2>&

Bir kötü amaçlı yazılım algılandığında e-posta uyarılarını etkinleştirmek için, /usr/local/maldetect/conf.maldet konumunda bulunan Maldet yapılandırma dosyasını açın ve aşağıdakini yazın:

  1. email_alert = 1
  2. email_subj = "$ den Maldet uyarısı (ana bilgisayar adı)
  3. EMAIL_ADDR = "email@domain.com

Adım 5: Manuel Tarama

Kullanmak istediğiniz bir dizini taramak için aşağıdaki komutu çalıştırın:

  1. $ maldet -a / yol / dizin / dizin

Maldet'in güncel olduğundan emin olmak için aşağıdaki komutu çalıştırın:

  1. $ maldet -u

Aşağıdaki komutu çalıştırarak mevcut seçeneklerin ayrıntılarını görebilirsiniz:

  1. $ maldet - s

Şimdi Linux Kötü Amaçlı Yazılım Algılama (LMD) başarıyla kuruldu.

Sonuç

Tebrikler, LMD şimdi CentOS 7 sistemine kuruludur ve kullanıma hazırdır. LMD'yi ihtiyaçlarınıza göre yapılandırmak için bu adımları izleyin ve gerekli düzenlemeleri yapın.

 


Etiketler: