Detección de malware de Linux (LMD) es un detector de malware para sistemas operativos Linux , publicado bajo GNU GPLv2. LMD está especialmente diseñado para entornos de alojamiento compartido para eliminar o detectar amenazas en el archivo de los usuarios.
En esta publicación, instalaremos Linux Malware Detect con ClamAV en CentOS 7 .
Instalar LMD en CentOS 7/RHEL 7
LMD no está disponible en CentOS repositorios oficiales como un paquete prediseñado, pero está disponible como tarball en el sitio web del proyecto LMD. Descarga la última versión de LMD usando el siguiente comando.
cd /tmp/ curl -O http://www.rfxn.com/downloads/maldetect-current.tar.gz
Descomprima el tarball y acceda al directorio extraído.
tar -zxvf maldetect-current.tar.gz cd maldetect*
Ejecute el script de instalación install.sh presente en el directorio extraído.
bash install.sh
Salida:
Created symlink from /etc/systemd/system/multi-user.target.wants/maldet.service to /usr/lib/systemd/system/maldet.service. Linux Malware Detect v1.6 (C) 2002-2017, R-fx Networks <[email protected]> (C) 2017, Ryan MacDonald <[email protected]> This program may be freely redistributed under the terms of the GNU GPL installation completed to /usr/local/maldetect config file: /usr/local/maldetect/conf.maldet exec file: /usr/local/maldetect/maldet exec link: /usr/local/sbin/maldet exec link: /usr/local/sbin/lmd cron.daily: /etc/cron.daily/maldet maldet(1344): {sigup} performing signature update check... maldet(1344): {sigup} local signature set is version 2017070716978 maldet(1344): {sigup} new signature set (2017080720059) available maldet(1344): {sigup} downloading https://cdn.rfxn.com/downloads/maldet-sigpack.tgz maldet(1344): {sigup} downloading https://cdn.rfxn.com/downloads/maldet-cleanv2.tgz maldet(1344): {sigup} verified md5sum of maldet-sigpack.tgz maldet(1344): {sigup} unpacked and installed maldet-sigpack.tgz maldet(1344): {sigup} verified md5sum of maldet-clean.tgz maldet(1344): {sigup} unpacked and installed maldet-clean.tgz maldet(1344): {sigup} signature set update completed maldet(1344): {sigup} 15215 signatures (12485 MD5 | 1951 HEX | 779 YARA | 0 USER)
Configurar detección de malware de Linux
El archivo de configuración principal de LMD es /usr/local/maldetect/conf.maldet y puedes modificarlo de acuerdo a tus requerimientos.
vi /usr/local/maldetect/conf.maldet
A continuación se muestran algunas de las configuraciones importantes que debe tener en su sistema para detectar y eliminar amenazas con éxito.
# Enable Email Alerting email_alert="1" # Email Address in which you want to receive scan reports email_addr="[email protected]" # Use with ClamAV scan_clamscan="1" # Enable scanning for root owned files. Set 1 to disable. scan_ignore_root="0" # Move threats to quarantine quarantine_hits="1" # Clean string based malware injections quarantine_clean="1" # Suspend user if malware found. quarantine_suspend_user="1" # Minimum userid value that be suspended quarantine_suspend_user_minuid="500"
Pase a escanear en busca de malware si no desea utilizar LMD con ClamAV.
Detección de malware de Linux con ClamAV
LMD funciona mejor al escanear conjuntos de archivos grandes con ClamAV. ClamAV (Clam Antivirus) es una solución antivirus de código abierto para detectar virus, malware, troyanos y otros programas maliciosos.
ClamAV está disponible en el repositorio EPEL , así que configúralo en tu CentOS/RHEL máquina.
rpm -ivh https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
Instale ClamAV usando el comando YUM.
yum -y install clamav clamav-devel clamav-update inotify-tools
Ahora, actualice las bases de datos de virus ClamAV usando el siguiente comando.
freshclam
No se requiere configuración adicional con LMD ya que el uso de ClamAV con LMD está habilitado de forma predeterminada.
Prueba de detección de malware de Linux
Probemos la funcionalidad de LMD usando el virus de prueba. Descargue la firma del virus del sitio web de EICAR .
cd /tmp wget http://www.eicar.org/download/eicar_com.zip wget http://www.eicar.org/download/eicarcom2.zip
Ahora, escanea el directorio en busca de malware.
maldet -a /tmp
Salida:
Linux Malware Detect v1.6.2
(C) 2002-2017, R-fx Networks <[email protected]>
(C) 2017, Ryan MacDonald <[email protected]>
This program may be freely redistributed under the terms of the GNU GPL v2
maldet(2004): {scan} signatures loaded: 15215 (12485 MD5 | 1951 HEX | 779 YARA | 0 USER)
maldet(2004): {scan} building file list for /tmp, this might take awhile...
maldet(2004): {scan} setting nice scheduler priorities for all operations: cpunice 19 , ionice 6
maldet(2004): {scan} file list completed in 0s, found 74 files...
maldet(2004): {scan} found clamav binary at /bin/clamscan, using clamav scanner engine...
maldet(2004): {scan} scan of /tmp (74 files) in progress...
maldet(2004): {scan} processing scan results for hits: 2 hits 0 cleaned
maldet(2004): {scan} scan completed on /tmp: files 74, malware hits 2, cleaned hits 0, time 11s
maldet(2004): {scan} scan report saved, to view run: maldet --report 170814-1058.2004
maldet(2004): {alert} sent scan report to [email protected] A partir de la salida, puede ver que LMD está utilizando el motor de exploración ClamAV para realizar la exploración y resultó en la búsqueda de dos accesos de malware.
Informe de análisis del detector de malware de Linux
LMD almacena informes de análisis en /usr/local/maldetect/sess/ . Use el comando maldet con SCAN ID para ver el informe de escaneo detallado.
maldet --report 170808-1035.18497
Salida:
SUBJECT: maldet alert from server.itzgeek.local
HOST: lmddd
SCAN ID: 170814-1058.2004
STARTED: Aug 14 2017 10:58:20 +0000
COMPLETED: Aug 14 2017 10:58:31 +0000
ELAPSED: 11s [find: 0s]
PATH: /tmp
TOTAL FILES: 74
TOTAL HITS: 2
TOTAL CLEANED: 0
FILE HIT LIST:
{HEX}EICAR.TEST.10 : /tmp/eicar_com.zip => /usr/local/maldetect/quarantine/eicar_com.zip.491714154
{HEX}EICAR.TEST.10 : /tmp/eicarcom2.zip => /usr/local/maldetect/quarantine/eicarcom2.zip.506330946
===============================================
Linux Malware Detect v1.6.2 < [email protected] > Puede ver que ambos archivos ahora están en cuarentena.
Actualizar la detección de malware de Linux
Utilice el siguiente comando para actualizar su LMD.
maldet -d
Para actualizar las firmas LMD, ejecute:
maldet -u
Eso es todo.