如何在CentOS 7上安装Linux恶意软件检测（LMD）和ClamAV

Linux恶意软件检测（LMD）是用于Linux的恶意软件检测器和扫描仪，专为共享托管环境而设计。 LMD是根据GNU GPLV2许可证发布的，它可以安装在cPanel WHM和Linux环境中，并配有其他检测工具，如ClamAV。

Clam AntiVirus（ClamAV）是一种开源的防病毒解决方案，用于检测木马，恶意软件，病毒和其他恶意软件。 ClamAV支持多种平台，包括Linux，Windows和MacOS。

在本教程中，我将向您展示如何使用Clam AntiVirus（ClamAV）安装Linux Malware Detect（LMD）。 我将使用CentOS 7作为操作系统。

前提条件

• CentOS 7
• 根权限

第1步 - 安装Epel仓库和Mailx

使用yum安装Epel（Enterprise Linux的额外包）存储库和mailx命令。 我们需要在系统上安装mailx，以便LMD可以将扫描报告发送到您的电子邮件地址。

yum -y install epel-release

安装mailx，以便我们可以在CentOS 7上使用邮件命令：

yum -y install mailx

第2步 - 安装Linux恶意软件检测（LMD）

Linux恶意软件检测在CentOS或Epel存储库中不可用，我们需要从源代码手动安装。

下载LMD并解压：

cd /tmp
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar -xzvf maldetect-current.tar.gz

转到maldetect目录，并以root身份运行安装程序脚本“install.sh”

cd maldetect-1.5
./install.sh

接下来，在/ bin /目录中为maldet命令创建一个符号链接：

ln -s /usr/local/maldetect/maldet /bin/maldet
hash -r

第3步 - 配置Linux恶意软件检测（LMD）

LMD已将benn安装到'/ usr / local / maldet /'目录中。 转到该目录并使用vim编辑配置文件“conf.maldet”：

cd /usr/local/maldetect/
vim conf.maldet

通过将值更改为16的值来启用电子邮件警报。

email_alert="1"

在第21行输入您的电子邮件地址。

email_addr="root@zenzenzense.localdomain"

我们将使用ClamAV clamscan二进制文件作为默认扫描引擎，因为它提供了对大文件集的高性能扫描。 在第114行将值更改为“ 1 ”。

scan_clamscan="1"

接下来，启用隔离在扫描过程中自动将恶意软件移动到隔离区。 在180行将值更改为' 1 '。

quarantine_hits="1"

在185行将值更改为1，以启用基于干净的恶意软件注入。

quarantine_clean="1"

保存并退出。

第4步 - 安装ClamAV

在此步骤中，我们将安装Clam AntiVirus或ClamAV以获得LMD的最佳扫描结果。 ClamAV可在Epel存储库中获得（我们已经在第一步中安装）。

用yum安装ClamAV和ClamAV devel：

yum -y install clamav clamav-devel

安装ClamAV后，使用freshclam命令更新ClamAV病毒数据库：

freshclam

第5步 - 测试LMD和ClamAV

我们将使用maldet命令测试LMD手动扫描。 我们将使用maldet命令扫描web目录'/ var / www / html /'。

转到Web根目录并下载一些示例恶意软件（eicar）与wget：

cd /var/www/html
wget http://www.eicar.org/download/eicar.com.txt
wget http://www.eicar.org/download/eicar_com.zip
wget http://www.eicar.org/download/eicarcom2.zip

接下来，使用maldet命令扫描Web根目录：

maldet -a /var/www/html

您可以看到LMD正在使用ClamAV扫描仪引擎执行扫描，并且存在“恶意软件命中3”，恶意软件文件会自动移动到隔离目录。

使用以下命令检查扫描报告：

maldet --report 161008-0524.9466

在Maldet输出中找到SCANID = 161008-0524.9466。

现在检查LMD的电子邮件报告：

tail -f /var/mail/root

您可以看到，扫描报告已发送到目标电子邮件地址。

第6步 - 其他LMD命令

仅执行特定文件扩展的扫描：

maldet -a /var/www/html/*.php

获取所有报告的列表：

maldet -e list

扫描在最近X天内创建/修改的文件。

maldet -r /var/www/html/ 5

5 =最后几天。

从隔离目录还原文件。

maldet -s SCANID

启用对目录的监视。

maldet -m /var/www/html/

检查监视器日志文件：

tail -f /usr/local/maldetect/logs/inotify_log

参考

• https://github.com/andrewelkins/Linux-Malware-Detect