So installieren Sie Linux Malware Detect (Maldet) auf Fedora 34

Linux-Malware-Erkennung (LMD) , auch bekannt als Maldet , ist ein Malware-Scanner für Linux, der unter der GNU GPLv2-Lizenz veröffentlicht wurde. Maldet ist bei Systemadministratoren und Website-Entwicklern sehr beliebt, da es sich auf die Erkennung von PHP-Hintertüren, Dark Mailern und vielen anderen schädlichen Dateien konzentriert, die auf eine kompromittierte Website hochgeladen werden können, indem Bedrohungsdaten von Netzwerk-Edge-Intrusion-Detection-Systemen verwendet werden, um Malware zu extrahieren wird aktiv bei Angriffen verwendet und generiert Signaturen zur Erkennung.

Im folgenden Tutorial erfahren Sie, wie Sie Maldet auf Fedora 34 installieren und verwenden.

Voraussetzungen

• Empfohlenes Betriebssystem: Fedora Linux 34 (Neuere Versionen funktionieren auch)
• Benutzerkonto: Ein Benutzerkonto mit Sudo- oder Root-Zugriff.

Betriebssystem aktualisieren

Aktualisieren Sie Ihren Fedora Betriebssystem, um sicherzustellen, dass alle vorhandenen Pakete auf dem neuesten Stand sind:

sudo dnf update && sudo dnf upgrade -y

Maldet installieren

Um Maldet zu installieren, benötigen Sie deren Paketarchiv, das auf der offiziellen Download-Seite zu finden ist. Wenn jedoch Upgrades durchgeführt werden, ändern sie nicht die Datei-URL, sodass sich der Download-Link glücklicherweise nicht oft ändert.

Zum Zeitpunkt dieses Tutorials war Version (1.6.4 ) ist die neueste; Dies wird sich jedoch mit der Zeit ändern. Um die neueste Version jetzt und in Zukunft herunterzuladen, geben Sie den folgenden Befehl ein:

cd /tmp/ && wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Im nächsten Teil müssen Sie das Archiv extrahieren, was Sie mit dem folgenden Befehl tun können:

tar xfz maldetect-current.tar.gz

Nachdem Sie nun bestätigt haben, dass das Archiv korrekt entpackt wurde, werden Sie (CD) in das Verzeichnis und führen Sie das Installationsskript aus, um Maldet mit dem folgenden Befehl zu installieren:

cd maldetect-1.6.4 && sudo ./install.sh

Die Installation sollte in wenigen Sekunden abgeschlossen sein und Sie erhalten eine ähnliche Ausgabe wie unten:

Maldet konfigurieren

Nachdem Sie das Installationsskript erfolgreich abgeschlossen haben, können Sie die Konfigurationsdatei mit Ihrem bevorzugten Texteditor ändern. Nachfolgend finden Sie einige Beispiele für einige beliebte Einstellungen und Vorgehensweisen bei der Verwendung von (nano) Texteditor:

Öffnen Sie zuerst die (conf.maldet) Datei:

sudo nano /usr/local/maldetect/conf.maldet

Suchen Sie als Nächstes die folgenden Zeilen und bearbeiten Sie sie wie folgt:

# To enable the email notification.
email_alert="1"

# Specify the email address on which you want to receive an email notification.
email_addr="[email protected]"

# Enable the LMD signature autoupdate.
autoupdate_signatures="1"

# Enable the automatic updates of the LMD installation.
autoupdate_version="1"

# Enable the daily automatic scanning.
cron_daily_scan="1"

# Allows non-root users to perform scans.
scan_user_access="1"
 
# Move hits to quarantine & alert
quarantine_hits="1"

# Clean string based malware injections.
quarantine_clean="0"

# Suspend user if malware found. 
quarantine_suspend_user="1"

# Minimum userid value that be suspended
quarantine_suspend_user_minuid="500"

# Enable Email Alerting
email_alert="1"

# Email Address in which you want to receive scan reports
email_addr="[email protected]"

# Use with ClamAV
scan_clamscan="1"

# Enable scanning for root-owned files. Set 1 to disable.
scan_ignore_root="0"

Beachten Sie, dass alle Einstellungen hier optional sind und Sie Ihre eigenen festlegen können, da es hier keine richtigen oder falschen Antworten gibt.

Maldet-Virendefinitionen und -Software aktualisieren

Um die Maldet-Virendefinitionsdatenbank zu aktualisieren, führen Sie den folgenden Befehl aus:

sudo maldet -u

Beispielausgabe:

Geben Sie zweitens den folgenden Befehl ein, um nach neueren Versionen der vorhandenen Software zu suchen:

sudo maldet -d

Beispielausgabe:

Optional – Installieren Sie ClamAV

Einer der besten Aspekte bei der Verwendung von Maldet ist die Kompatibilität mit ClamAV, wodurch die Scanleistung von Maldet erheblich gesteigert werden kann.

Um ClamAV zu installieren, können Sie dies tun, indem Sie den folgenden Befehl ausführen:

sudo dnf install clamav clamav-devel -y

Als nächstes aktivieren Sie ClamAV:

sudo systemctl enable clamav-freshclam && sudo systemctl start clamav-freshclam

Aktualisieren Sie zuletzt Ihre ClamAV-Signaturen mit dem freshclam-Befehl :

sudo freshclam

Beispielausgabe:

Database test passed.
main.cvd updated (version: 62, sigs: 6647427, f-level: 90, builder: sigmgr)
bytecode database available for download (remote version: 333)
Time:    0.4s, ETA:    0.0s [========================>]  286.79KiB/286.79KiB
Testing database: '/var/lib/clamav/tmp.c736fe0d50/clamav-c52c6549b6ff30a71e65db0c5647f2de.tmp-bytecode.cvd' ...
Database test passed.
bytecode.cvd updated (version: 333, sigs: 92, f-level: 63, builder: awillia2)

Scannen mit Maldet – Beispiele

Zunächst sollten Sie sich mit der Maldet-Syntax vertraut machen. Alle Befehle beginnen mit maldet, gefolgt von einer Option und einem Verzeichnispfad, zum Beispiel maldet [OPTION] [VERZEICHNISPFAD] .

Nachfolgend werden die meisten Syntaxbeispiele mit Maldet behandelt:

• -b : Operationen im Hintergrund ausführen.
• -u : Malware-Erkennungssignaturen aktualisieren.
• -l : Maldet-Protokolldateiereignisse anzeigen.
• -d : Aktualisieren Sie die installierte Version.
• -a : Alle Dateien im Pfad scannen.
• -p : Protokolle, Sitzungs- und temporäre Daten löschen.
• -q : Alle Malware aus dem Bericht isolieren.
• -n : Malware-Treffer aus dem Bericht bereinigen und wiederherstellen.

Um Maldet zu testen und sicherzustellen, dass es ordnungsgemäß funktioniert, können Sie die Funktionalität von LMD testen, indem Sie eine (Beispielvirensignatur) herunterladen von der EICAR-Website.

cd /tmp
wget http://www.eicar.org/download/eicar_com.zip
wget http://www.eicar.org/download/eicarcom2.zip

Als Nächstes befinden Sie sich im /tmp-Verzeichnis , führen Sie den (maldet) aus Befehl zum Scannen des (tmp) Verzeichnis wie folgt:

sudo maldet -a /tmp

Sollten Sie nun Dateien infiziert haben, erhalten Sie eine ähnliche Ausgabe wie unten:

Wie Sie vielleicht bemerkt haben, wird das Tutorial für unsere Konfiguration nicht automatisch auf Quarantäne gesetzt. Manchmal können Fehlalarme und das Entfernen von Dateien auf Live-Servern mehr Probleme verursachen als lösen. Ein guter Sysadmin oder Serverbesitzer wird ständig nachsehen, um die Ergebnisse zu überprüfen und zu verifizieren.

Aus der Ausgabe können Sie auch ersehen, dass wir auf unserem Testserver ClamAV installiert haben und dass Maldet die ClamAV-Scanner-Engine verwendet, um den Scan durchzuführen, und erfolgreich 16 Malware-Treffer gefunden hat .

Einige andere Befehle, die Sie ausführen können, zielen auf Ihre Server-Dateierweiterungen ab; PHP-Dateien sind oft das Ziel vieler Angriffe. Um .php-Dateien zu scannen, verwenden Sie Folgendes:

maldet -a /var/www/html/*.php

Dies ist ideal für größere Websites oder Server mit vielen zu scannenden Dateien, und kleinere Server würden davon profitieren, das gesamte Verzeichnis zu scannen.

Maldet-Scan-Berichte

Maldet speichert die Scan-Berichte im Verzeichnis (/usr/local/maldetect/sess/) . Sie können den folgenden Befehl zusammen mit (Scan-ID) verwenden um einen detaillierten Bericht wie folgt anzuzeigen:

Nur Beispiel:

sudo maldet -q 210920-0904.6208

Als nächstes sehen Sie den in Ihrem Terminal aufgelisteten Bericht mit den Details des Scans.

Beispielausgabe:

Von hier aus können Sie sie überprüfen und Maßnahmen ergreifen, um sie zu entfernen, auf die weiße Liste zu setzen oder weitere Untersuchungen durchzuführen.