Ricerca nel sito web

Come installare e utilizzare Linux Malware Detect (LMD) con ClamAV come motore antivirus


Malware, o software dannoso, è la designazione data a qualsiasi programma che mira a interrompere il normale funzionamento di un sistema informatico. Sebbene le forme di malware più conosciute siano virus, spyware e adware, il danno che intendono causare può variare dal furto di informazioni private alla cancellazione di dati personali e tutto il resto, mentre un altro uso classico del malware è quello di controllare il sistema per utilizzarlo per lanciare botnet in un attacco (D)DoS.

In altre parole, non puoi permetterti di pensare: “Non ho bisogno di proteggere i miei sistemi dal malware poiché non sto memorizzando dati sensibili o importanti”, perché questi non sono gli unici obiettivi del malware.

Per questo motivo, in questo articolo spiegheremo come installare e configurare Linux Malware Detect (noto anche come MalDet o LMD in breve) insieme a ClamAV (motore antivirus) in RHEL 8/7/6 (dove x è il numero di versione), CentOS 8/7/6 e Fedora 30-32 (le stesse istruzioni funzionano anche su Ubuntu e sistemi Debian).

Uno scanner di malware rilasciato sotto licenza GPL v2, appositamente progettato per ambienti di hosting. Tuttavia, ti renderai presto conto che trarrai vantaggio da MalDet indipendentemente dal tipo di ambiente su cui stai lavorando.

Installazione di LMD su RHEL/CentOS e Fedora

LMD non è disponibile nei repository online ma è distribuito come file tar dal sito web del progetto. Il tarball contenente il codice sorgente dell'ultima versione è sempre disponibile al seguente link, dove può essere scaricato con il comando wget:

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Quindi dobbiamo decomprimere il tarball e accedere alla directory in cui è stato estratto il suo contenuto. Poiché la versione corrente è 1.6.4, la directory è maldetect-1.6.4. Lì troveremo lo script di installazione, install.sh.

tar -xvf maldetect-current.tar.gz
ls -l | grep maldetect
cd maldetect-1.6.4/
ls

Se ispezioniamo lo script di installazione, che è lungo solo 75 righe (compresi i commenti), vedremo che non solo installa lo strumento ma esegue anche un controllo preliminare per vedere se la directory di installazione predefinita ( /usr/local/maldetect) esiste. In caso contrario, lo script crea la directory di installazione prima di procedere.

Infine, una volta completata l'installazione, viene pianificata un'esecuzione giornaliera tramite cron inserendo lo script cron.daily (fare riferimento all'immagine sopra) in /etc/ cron.daily. Questo script di supporto, tra le altre cose, cancellerà i vecchi dati temporanei, verificherà la presenza di nuove versioni di LMD e analizzerà le directory dei dati predefinite di Apache e dei pannelli di controllo Web (ad esempio, CPanel, DirectAdmin, per citarne alcuni).

Detto questo, esegui lo script di installazione come al solito:

./install.sh

Configurazione del rilevamento malware in Linux

La configurazione di LMD è gestita tramite /usr/local/maldetect/conf.maldet e tutte le opzioni sono ben commentate per rendere la configurazione un compito piuttosto semplice. Nel caso in cui rimani bloccato, puoi anche fare riferimento a /maldetect-1.6.4/README per ulteriori istruzioni.

Nel file di configurazione troverete racchiuse tra parentesi quadre le seguenti sezioni:

  1. AVVISI E-MAIL
  2. OPZIONI DI QUARANTENA
  3. OPZIONI DI SCANSIONE
  4. ANALISI STATISTICA
  5. OPZIONI DI MONITORAGGIO

Ognuna di queste sezioni contiene diverse variabili che indicano come si comporterà LMD e quali funzionalità sono disponibili.

  1. Imposta email_alert=1 se desideri ricevere notifiche via email dei risultati dell'ispezione malware. Per brevità, inoltreremo la posta solo agli utenti del sistema locale, ma puoi esplorare anche altre opzioni come l'invio di avvisi via posta all'esterno.
  2. Imposta email_subj=”Il tuo oggetto qui” e email_addr=username@localhost se hai precedentemente impostato email_alert=1.
  3. Con quar_hits, l'azione di quarantena predefinita per i malware (0=solo avviso, 1=sposta in quarantena e avviso) dirai a LMD cosa fare quando viene rilevato malware.
  4. quar_clean ti consentirà di decidere se desideri pulire le iniezioni di malware basate su stringhe. Tieni presente che una firma di stringa è, per definizione, “una sequenza di byte contigua che potenzialmente può corrispondere a molte varianti di una famiglia di malware”.
  5. quar_susp, l'azione di sospensione predefinita per gli utenti con hit, ti consentirà di disabilitare un account i cui file di proprietà sono stati identificati come hit.
  6. clamav_scan=1 dirà a LMD di tentare di rilevare la presenza del binario ClamAV e di utilizzarlo come motore di scansione predefinito. Ciò garantisce prestazioni di scansione fino a quattro volte più veloci e un'analisi esadecimale superiore. Questa opzione utilizza solo ClamAV come motore di scansione e le firme LMD sono ancora la base per il rilevamento delle minacce.

Riassumendo, le righe con queste variabili dovrebbero apparire come segue in /usr/local/maldetect/conf.maldet:

email_alert=1
email_addr=gacanepa@localhost
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quar_hits=1
quar_clean=1
quar_susp=1
clam_av=1

Installazione di ClamAV su RHEL/CentOS e Fedora

Per installare ClamAV e sfruttare l'impostazione clamav_scan, segui questi passaggi:

Abilita archivio EPEL.

yum install epel-release

Quindi fa:


yum update && yum install clamd
apt update && apt-get install clamav clamav-daemon  [Ubuntu/Debian]

Nota: queste sono solo le istruzioni di base per installare ClamAV per integrarlo con LMD. Non entreremo nei dettagli per quanto riguarda le impostazioni di ClamAV poiché, come abbiamo detto prima, le firme LMD sono ancora la base per il rilevamento e la pulizia delle minacce.

Test del rilevamento malware in Linux

Ora è il momento di testare la nostra recente installazione di LMD/ClamAV. Invece di utilizzare malware reale, utilizzeremo i file di test EICAR, disponibili per il download dal sito Web EICAR.

cd /var/www/html
wget http://www.eicar.org/download/eicar.com 
wget http://www.eicar.org/download/eicar.com.txt 
wget http://www.eicar.org/download/eicar_com.zip 
wget http://www.eicar.org/download/eicarcom2.zip 

A questo punto, puoi attendere l'esecuzione del prossimo lavoro cron oppure eseguire manualmente maldet. Sceglieremo la seconda opzione:

maldet --scan-all /var/www/

LMD accetta anche i caratteri jolly, quindi se desideri scansionare solo un determinato tipo di file (ad esempio file zip), puoi farlo:

maldet --scan-all /var/www/*.zip

Una volta completata la scansione, puoi controllare l'e-mail inviata da LMD o visualizzare il report con:

maldet --report 021015-1051.3559

Dove 021015-1051.3559 è lo SCANID (lo SCANID sarà leggermente diverso nel tuo caso).

Importante: tieni presente che LMD ha trovato 5 risultati poiché il file eicar.com è stato scaricato due volte (risultando quindi neicar.com e eicar.com.1).

Se controlli la cartella di quarantena (ho appena lasciato uno dei file e ho eliminato il resto), vedremo quanto segue:

ls -l

È quindi possibile rimuovere tutti i file in quarantena con:

rm -rf /usr/local/maldetect/quarantine/*

Nel caso in cui,

maldet --clean SCANID

Non porta a termine il lavoro per qualche motivo. È possibile fare riferimento al seguente screencast per una spiegazione passo passo del processo sopra descritto:

Considerazioni finali

Poiché maldet deve essere integrato con cron, è necessario impostare le seguenti variabili nel crontab di root (digitare crontab -e come root e premere il pulsante Invio) nel caso in cui noti che LMD non funziona correttamente su base giornaliera:

PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
SHELL=/bin/bash

Ciò contribuirà a fornire le informazioni di debug necessarie.

Conclusione

In questo articolo abbiamo discusso come installare e configurare Linux Malware Detect, insieme a ClamAV, un potente alleato. Con l'aiuto di questi 2 strumenti, rilevare il malware dovrebbe essere un compito piuttosto semplice.

Tuttavia, fatevi un favore e acquisite familiarità con il file README come spiegato in precedenza, e potrete essere certi che il vostro sistema è ben contabilizzato e ben gestito.

Non esitate a lasciare eventuali commenti o domande utilizzando il modulo sottostante.

Collegamenti di riferimento

Home page dell'LMD