LMD (Linux Malware Detect) ist ein Open-Source-Malware-Detektor für Linux-Betriebssysteme. LMD wurde speziell für gemeinsam genutzte Hosting-Umgebungen entwickelt, um Bedrohungen in Benutzerdateien zu erkennen und zu beseitigen.
In dieser Anleitung installieren wir Linux Malware Detect (LMD) mit ClamAV auf Debian 9 / Ubuntu 16.04 / LinuxMint 18 .
Installieren Sie Linux Malware Detect unter Debian
LMD ist in Basis-Repositories nicht als vorgefertigtes Paket verfügbar, aber Sie können LMD als Tarball von der offiziellen Projekt-Website herunterladen.
Laden Sie die neueste Version von LMD herunter (v1.6.2) mit dem folgenden Befehl.
cd /tmp/ curl -O http://www.rfxn.com/downloads/maldetect-current.tar.gz
Entpacken Sie den Tarball mit dem tar-Befehl .
tar -zxvf maldetect-current.tar.gz
Wechseln Sie in das entpackte Verzeichnis.
cd maldetect-1.6.2/
Führen Sie das Installationsskript install.sh aus, das sich im extrahierten Verzeichnis befindet.
bash install.sh
Ausgabe:
Created symlink /etc/systemd/system/multi-user.target.wants/maldet.service → /usr/lib/systemd/system/maldet.service.
update-rc.d: error: unable to read /etc/init.d/maldet
Linux Malware Detect v1.6
(C) 2002-2017, R-fx Networks <[email protected]>
(C) 2017, Ryan MacDonald <[email protected]>
This program may be freely redistributed under the terms of the GNU GPL
installation completed to /usr/local/maldetect
config file: /usr/local/maldetect/conf.maldet
exec file: /usr/local/maldetect/maldet
exec link: /usr/local/sbin/maldet
exec link: /usr/local/sbin/lmd
cron.daily: /etc/cron.daily/maldet
maldet(933): {sigup} performing signature update check...
maldet(933): {sigup} local signature set is version 2017070716978
maldet(933): {sigup} new signature set (201708255569) available
maldet(933): {sigup} downloading https://cdn.rfxn.com/downloads/maldet-sigpack.tgz
maldet(933): {sigup} downloading https://cdn.rfxn.com/downloads/maldet-cleanv2.tgz
maldet(933): {sigup} verified md5sum of maldet-sigpack.tgz
maldet(933): {sigup} unpacked and installed maldet-sigpack.tgz
maldet(933): {sigup} verified md5sum of maldet-clean.tgz
maldet(933): {sigup} unpacked and installed maldet-clean.tgz
maldet(933): {sigup} signature set update completed
maldet(933): {sigup} 15218 signatures (12485 MD5 | 1954 HEX | 779 YARA | 0 USER) Linux-Malware-Erkennung konfigurieren
/usr/local/maldetect/conf.maldet ist die Hauptkonfigurationsdatei von LMD. Sie können seine Parameter gemäß Ihren Anforderungen ändern.
nano /usr/local/maldetect/conf.maldet
Unten sind die wenigen Einstellungen, die Sie auf LMD haben sollten, um Malware-Bedrohungen erfolgreich zu erkennen und zu löschen.
# Enable Email Alerting email_alert="1" # Email Address in which you want to receive scan reports email_addr="[email protected]" # Use with ClamAV scan_clamscan="1" # Enable scanning for root-owned files. Set 1 to disable. scan_ignore_root="0" # Move threats to quarantine quarantine_hits="1" # Clean string based malware injections quarantine_clean="1" # Suspend user if malware found. quarantine_suspend_user="1" # Minimum userid value that be suspended quarantine_suspend_user_minuid="500"
Wenn Sie LMD nicht mit ClamAV verwenden möchten, überspringen Sie den folgenden Teil.
Linux-Malware-Erkennung mit ClamAV
LMD schneidet mit ClamAV besser ab, insbesondere beim Scannen großer Dateisätze. ClamAV (Clam Antivirus) ist eine Open-Source-Antivirus-Engine zur Erkennung von Viren, Malware, Trojanern und anderen bösartigen Bedrohungen.
ClamAV ist im Basis-Repository verfügbar, sodass Sie es mit dem Befehl apt installieren können.
apt-get -y install clamav clamav-daemon clamdscan
Standardmäßig ist die Verwendung von ClamAV mit LMD aktiviert.
Mit Linux Malware Detect scannen
Lassen Sie uns die Funktionalität von LMD testen, indem Sie eine Mustervirensignatur von der EICAR-Website herunterladen.
cd /tmp wget http://www.eicar.org/download/eicar_com.zip wget http://www.eicar.org/download/eicarcom2.zip
Scannen Sie nun das /tmp-Verzeichnis auf Malware.
maldet -a /tmp
Ausgabe:
Linux Malware Detect v1.6.2
(C) 2002-2017, R-fx Networks <[email protected]>
(C) 2017, Ryan MacDonald <[email protected]>
This program may be freely redistributed under the terms of the GNU GPL v2
maldet(4209): {scan} signatures loaded: 15218 (12485 MD5 | 1954 HEX | 779 YARA | 0 USER)
maldet(4209): {scan} building file list for /tmp, this might take awhile...
maldet(4209): {scan} setting nice scheduler priorities for all operations: cpunice 19 , ionice 6
maldet(4209): {scan} file list completed in 0s, found 4 files...
maldet(4209): {scan} found clamav binary at /usr/bin/clamscan, using clamav scanner engine...
maldet(4209): {scan} scan of /tmp (4 files) in progress...
maldet(4209): {scan} processing scan results for hits: 2 hits 0 cleaned
maldet(4209): {scan} scan completed on /tmp: files 4, malware hits 2, cleaned hits 0, time 12s
maldet(4209): {scan} scan report saved, to view run: maldet --report 171026-1103.4209 Aus der Ausgabe können Sie erkennen, dass LMD die ClamAV-Scanner-Engine verwendet, um den Scan durchzuführen, und erfolgreich zwei Malware-Treffer gefunden hat.
Linux-Malware-Detektor-Scanbericht
LMD speichert seine Scan-Berichte unter /usr/local/maldetect/sess/ . Verwenden Sie den Befehl maldet zusammen mit der SCAN-ID, um den detaillierten Scan-Bericht anzuzeigen.
maldet --report 171026-1103.4209
Ausgabe:
HOST: lmd
SCAN ID: 171026-1103.4209
STARTED: Oct 26 2017 11:03:16 +0000
COMPLETED: Oct 26 2017 11:03:28 +0000
ELAPSED: 12s [find: 0s]
PATH: /tmp
TOTAL FILES: 4
TOTAL HITS: 2
TOTAL CLEANED: 0
FILE HIT LIST:
{HEX}EICAR.TEST.10 : /tmp/eicar_com.zip => /usr/local/maldetect/quarantine/eicar_com.zip.296395948
{HEX}EICAR.TEST.10 : /tmp/eicarcom2.zip => /usr/local/maldetect/quarantine/eicarcom2.zip.418410660
===============================================
Linux Malware Detect v1.6.2 < [email protected] > Linux-Malware-Erkennung aktualisieren
Verwenden Sie den folgenden Befehl, um Ihr LMD zu aktualisieren.
maldet -d
Um LMD-Signaturen zu aktualisieren, führen Sie Folgendes aus:
maldet -u
Das ist alles.