Linux恶意软件检测(LMD)是用于Linux的恶意软件检测器和扫描仪,专为共享托管环境而设计。 LMD是根据GNU GPLV2许可证发布的,它可以安装在cPanel WHM和Linux环境中,并配有其他检测工具,如ClamAV。
Clam AntiVirus(ClamAV)是一种开源的防病毒解决方案,用于检测木马,恶意软件,病毒和其他恶意软件。 ClamAV支持多种平台,包括Linux,Windows和MacOS。
在本教程中,我将向您展示如何使用Clam AntiVirus(ClamAV)安装Linux Malware Detect(LMD)。 我将使用CentOS 7作为操作系统。
前提条件
- CentOS 7
- 根权限
第1步 - 安装Epel仓库和Mailx
使用yum安装Epel(Enterprise Linux的额外包)存储库和mailx命令。 我们需要在系统上安装mailx,以便LMD可以将扫描报告发送到您的电子邮件地址。
yum -y install epel-release
安装mailx,以便我们可以在CentOS 7上使用邮件命令:
yum -y install mailx
第2步 - 安装Linux恶意软件检测(LMD)
Linux恶意软件检测在CentOS或Epel存储库中不可用,我们需要从源代码手动安装。
下载LMD并解压:
cd /tmp
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar -xzvf maldetect-current.tar.gz
转到maldetect目录,并以root身份运行安装程序脚本“install.sh”
cd maldetect-1.5
./install.sh
接下来,在/ bin /目录中为maldet命令创建一个符号链接:
ln -s /usr/local/maldetect/maldet /bin/maldet
hash -r
第3步 - 配置Linux恶意软件检测(LMD)
LMD已将benn安装到'/ usr / local / maldet /'目录中。 转到该目录并使用vim编辑配置文件“conf.maldet”:
cd /usr/local/maldetect/
vim conf.maldet
通过将值更改为16的值来启用电子邮件警报。
email_alert="1"
在第21行输入您的电子邮件地址。
email_addr="root@zenzenzense.localdomain"
我们将使用ClamAV clamscan二进制文件作为默认扫描引擎,因为它提供了对大文件集的高性能扫描。 在第114行将值更改为“ 1 ”。
scan_clamscan="1"
接下来,启用隔离在扫描过程中自动将恶意软件移动到隔离区。 在180行将值更改为' 1 '。
quarantine_hits="1"
在185行将值更改为1,以启用基于干净的恶意软件注入。
quarantine_clean="1"
保存并退出。
第4步 - 安装ClamAV
在此步骤中,我们将安装Clam AntiVirus或ClamAV以获得LMD的最佳扫描结果。 ClamAV可在Epel存储库中获得(我们已经在第一步中安装)。
用yum安装ClamAV和ClamAV devel:
yum -y install clamav clamav-devel
安装ClamAV后,使用freshclam命令更新ClamAV病毒数据库:
freshclam
第5步 - 测试LMD和ClamAV
我们将使用maldet命令测试LMD手动扫描。 我们将使用maldet命令扫描web目录'/ var / www / html /'。
转到Web根目录并下载一些示例恶意软件(eicar)与wget:
cd /var/www/html
wget http://www.eicar.org/download/eicar.com.txt
wget http://www.eicar.org/download/eicar_com.zip
wget http://www.eicar.org/download/eicarcom2.zip
接下来,使用maldet命令扫描Web根目录:
maldet -a /var/www/html
您可以看到LMD正在使用ClamAV扫描仪引擎执行扫描,并且存在“恶意软件命中3”,恶意软件文件会自动移动到隔离目录。
使用以下命令检查扫描报告:
maldet --report 161008-0524.9466
在Maldet输出中找到SCANID = 161008-0524.9466。
现在检查LMD的电子邮件报告:
tail -f /var/mail/root
您可以看到,扫描报告已发送到目标电子邮件地址。
第6步 - 其他LMD命令
仅执行特定文件扩展的扫描:
maldet -a /var/www/html/*.php
获取所有报告的列表:
maldet -e list
扫描在最近X天内创建/修改的文件。
maldet -r /var/www/html/ 5
5 =最后几天。
从隔离目录还原文件。
maldet -s SCANID
启用对目录的监视。
maldet -m /var/www/html/
检查监视器日志文件:
tail -f /usr/local/maldetect/logs/inotify_log