Hur man installerar och konfigurerar Linux Malware Detect (Maldet) på AlmaLinux 8

Linux Malware Detect (LMD), också känd som Maldet, är en skanning av skadlig programvara för Linux släppt under GNU GPLv2-licensen. Maldet är ganska populärt bland systemadministratörer och webbplatsutvecklare på grund av dess fokus på detektering av PHP-bakdörrar, mörka e-postmeddelanden och många andra skadliga filer som kan laddas upp på en komprometterad webbplats med hjälp av hotdata från nätverkskantintrångsdetekteringssystem för att extrahera skadlig programvara som är används aktivt i attacker och genererar signaturer för upptäckt.

I följande handledning kommer du att lära dig hur man installerar och använder Maldet på AlmaLinux 8.

Förutsättningar

  • Rekommenderat OS: Alma Linux 8.
  • Användarkonto: Ett användarkonto med sudo privilegier or root access (su kommando).

Uppdaterar operativsystem

Uppdatera din SoulLinux operativsystem för att se till att alla befintliga paket är uppdaterade:

sudo dnf upgrade --refresh -y

Handledningen kommer att använda sudo kommando och förutsatt att du har sudo-status.

Så här verifierar du sudo-status på ditt konto:

sudo whoami

Exempel på utdata som visar sudo-status:

[joshua@localhost ~]$ sudo whoami
root

För att konfigurera ett befintligt eller nytt sudo-konto, besök vår handledning på Hur man lägger till en användare till Sudoers på AlmaLinux.

Att använda root-konto, använd följande kommando med root-lösenordet för att logga in.

su

Installera Maldet

För att installera Maldet behöver du deras paketarkiv, som finns på den officiella ladda sidan. Men när uppgraderingar sker ändrar de inte filens URL, så lyckligtvis ändras inte nedladdningslänken ofta.

Vid tidpunkten för denna handledning, version (1.6.4) är den senaste; men med tiden kommer detta att förändras. För att ladda ner den senaste versionen nu och i framtiden, skriv följande kommando:

cd /tmp/ && wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

I nästa del måste du extrahera arkivet, vilket du kan göra med följande kommando:

tar xfz maldetect-current.tar.gz

Nu har du bekräftat att arkivet har extraherats korrekt, det kommer du att göra (CD) in i katalogen och kör installationsskriptet för att installera Maldet med följande kommando:

cd maldetect-1.6.4 && sudo ./install.sh

Installationen bör vara klar på några sekunder, och du kommer att få en liknande utdata som nedan:

Konfigurera Maldet

Nu när du har slutfört installationsskriptet kan du ändra konfigurationsfilen med din föredragna textredigerare. Nedan finns några exempel på några populära inställningar och metoder (nano) textredigerare:

Öppna först (conf.maldet) fil:

sudo nano /usr/local/maldetect/conf.maldet

Hitta sedan följande rader och redigera dem enligt nedan:

# To enable the email notification.
email_alert="1"

# Specify the email address on which you want to receive an email notification.
email_addr="user@domain.com"

# Enable the LMD signature autoupdate.
autoupdate_signatures="1"

# Enable the automatic updates of the LMD installation.
autoupdate_version="1"

# Enable the daily automatic scanning.
cron_daily_scan="1"

# Allows non-root users to perform scans.
scan_user_access="1"
 
# Move hits to quarantine & alert
quarantine_hits="1"

# Clean string based malware injections.
quarantine_clean="0"

# Suspend user if malware found. 
quarantine_suspend_user="1"

# Minimum userid value that be suspended
quarantine_suspend_user_minuid="500"

# Enable Email Alerting
email_alert="1"

# Email Address in which you want to receive scan reports
email_addr="you@domain.com"

# Use with ClamAV
scan_clamscan="1"

# Enable scanning for root-owned files. Set 1 to disable.
scan_ignore_root="0"

Observera att alla inställningar här är valfria och du kan ställa in dina egna eftersom det inte finns några rätt eller fel svar här.

Uppdatera Maldet Virus Definitions & Software

För det första måste du se till scan_user_access=”1″ är på i den tidigare nämnda konfigurationsfilen för att fortsätta.

Kör sedan följande kommando för att skapa rätt sökvägar för den inloggade användaren; du kan ha problem med att uppdatera utan att göra detta.

sudo /usr/local/sbin/maldet --mkpubpaths

Om du misslyckas med detta får du följande fel.

public scanning is enabled (scan_user_access=1) but paths do not exist, please contact your system administrator to run '/usr/local/sbin/maldet --mkpubpaths' or wait for cron.pub to execute in ~10 minutes.

För att uppdatera Maldet-virusdefinitionsdatabasen, kör följande kommando:

maldet -u

Exempel utmatning:

För det andra, för att leta efter nyare versioner av den befintliga programvaran, skriv följande kommando:

maldet -d

Exempel utmatning:

Valfritt – Installera ClamAV

En av de bästa delarna med att använda Maldet är dess kompatibilitet med ClamAV, vilket kan öka skanningsförmågan hos Maldet med mycket.

Installera först EPEL-förvaret för att installera den senaste tillgängliga ClamAV-versionen tillsammans med dess beroenden:

sudo dnf install epel-release

För att installera ClamAV kan du göra det genom att utföra följande kommando:

sudo dnf install clamav clamav-devel -y

För en komplett handledning om ClamAV med AlmaLinux 8, besök vår handledning om Hur man installerar och använder ClamAV på AlmaLinux 8.

Scanning med Maldet – Exempel

För det första bör du bekanta dig med Maldet-syntaxen. Alla kommandon börjar med maldet och följs sedan av alternativ och katalogsökväg, till exempel, maldet [ALTERNATIV] [KATALOG].

Nedan täcker de flesta syntaxexemplen med Maldet:

  • -b: Utför operationer i bakgrunden.
  • -u: Uppdatera signaturer för upptäckt av skadlig programvara.
  • -l: Visa händelser i maldet-loggfilen.
  • -d: Uppdatera den installerade versionen.
  • -a: Skanna alla filer i sökvägen.
  • -p: Rensa loggar, session och temporär data.
  • -q: Sätt all skadlig programvara i karantän från rapporten.
  • -n: Rensa och återställ skadliga träffar från rapporten.

För att testa Maldet och se till att det fungerar korrekt kan du testa LMDs funktionalitet genom att ladda ner en (exempel på virussignatur) från EICARs webbplats.

cd /tmp
wget http://www.eicar.org/download/eicar_com.zip
wget http://www.eicar.org/download/eicarcom2.zip

Därefter kommer du att köra (maldet) kommandot för att skanna (tmp) katalog enligt följande:

maldet -a /tmp

Nu, med våra infekterade filer, kommer du att få en liknande utdata som nedan:

Som du kanske har märkt är handledningen inställd på att inte automatiskt sätta i karantän för vår konfiguration eftersom ibland falska positiva resultat och att ta bort filer på liveservrar kan orsaka fler problem än det löser. En bra systemadministratör eller serverägare kommer kontinuerligt att kontrollera ständigt för att kontrollera resultaten och verifiera.

Från utgången kan du också se att vi har installerat ClamAV i vår testserver och att Maldet använder ClamAV-skannermotorn för att utföra skanningen och lyckades hitta skadliga program.

Några andra kommandon du kan göra är att rikta in din serverfiltillägg; PHP-filer är ofta målet för många attacker. För att skanna .php-filer, använd följande:

maldet -a /var/www/html/*.php

Detta är idealiskt för större webbplatser eller servrar med massor av filer att skanna, och mindre servrar skulle dra nytta av att skanna hela katalogen.

Maldet Scan Reports

Maldet lagrar skanningsrapporterna under katalogen (/usr/local/maldetect/sess/). Du kan använda följande kommando tillsammans med (Skanna ID) för att se en detaljerad rapport enligt följande:

maldet --report 211018-2316.5816

Exempelvis:

Därefter kommer du att tas till en popup-rapport i en textredigerare (nano) som exemplet nedan:

Som du kan se är den fullständiga rapporten för träfflistan och detaljer kring filerna för ytterligare granskning och utredning.

Filen är redan sparad (CTRL+X) för att avsluta när granskningen är klar.

Alternativt, om du snabbt vill sätta de infekterade filerna i karantän efteråt från rapporten, kör följande kommando:

maldet -q "report number"

Exempelvis:

maldet -q 211018-2316.5816

Kommentarer och slutsats

I följande handledning har du lärt dig hur du installerar Maldet på AlmaLinux 8 och använder grunderna på en webbserver för att skanna infekterade filer. Sammantaget är programvaran ett effektivt sätt att rensa infektioner och är ganska bra på det, men att säkra den komprometterade användaren eller webbplatsen är fortfarande nödvändigt för att undvika återinfektion och bör vara den första punkten innan du använder Maldet, eftersom bra säkerhetsprotokoll och konfiguration kommer nästan alltid att förhindra att infektioner uppstår i första hand.

Om du vill veta mer om Maldet-kommandon, besök tjänstemannen dokumentationssida.


Inte vad du letade efter? Försök att söka efter ytterligare tutorials.

2 tankar om "Hur man installerar och konfigurerar Linux Malware Detect (Maldet) på AlmaLinux 8"

  1. Filen maldetect-current.tar.gz som jag just drog ner är TVÅ ÅR gammal så tvivlar verkligen på att den skulle upptäcka något aktivt som orsakar problem...

    Svara
    • Tack för meddelandet.

      Programmet är två år gammalt är giltigt. Du använder dock AlmaLinux och de flesta paket är mer än två år gamla eftersom de är stabila, samma sak med Rocky Linux och liknande distributioner. Så genom att använda AlmaLinux, som den här handledningen är till för, och sedan bekymrad över paketets ålder, är jag inte säker på var du kommer ifrån, för att inte vara oförskämd.

      Det används fortfarande i stor utsträckning bland många människor på distributioner, givet att mer utveckling kan läggas på det, men de verkar vara nöjda där det är.

      Slutligen, kontrollera definitionerna...

      Uppdateras dagligen!!!!!!!!!!!!!! Jag drog nyss i morse.

      maldet(3197): {sigup} utför signaturuppdateringskontroll...
      maldet(3197): {sigup} lokal signaturuppsättning är version 202110162383422
      maldet(3197): {sigup} ny signaturuppsättning 202110193057414 tillgänglig
      maldet(3197): {sigup} laddar ner https://cdn.rfxn.com/downloads/maldet-sigpack.tgz
      maldet(3197): {sigup} laddar ner https://cdn.rfxn.com/downloads/maldet-cleanv2.tgz
      maldet(3197): {sigup} verifierad md5summa av maldet-sigpack.tgz
      maldet(3197): {sigup} packade upp och installerade maldet-sigpack.tgz
      maldet(3197): {sigup} verifierad md5summa av maldet-clean.tgz
      maldet(3197): {sigup} packade upp och installerade maldet-clean.tgz
      maldet(3197): {sigup} uppdatering av signaturuppsättningen slutförd
      maldet(3197): {sigup} 17258 signaturer (14436 MD5 | 2039 HEX | 783 YARA | 0 ANVÄNDARE)

      Det är därför folk fortfarande använder det. Visst, det finns några alternativ som kan göra jobbet bättre men Maldet är ett alternativ för att skanna efter skadlig programvara som fortfarande har giltiga och fortsatt uppdaterade signaturer som visas uppdaterade en till två gånger om dagen.

      Svara

Lämna en kommentar