如何在CentOS 7上安装Linux恶意软件检测(LMD)和ClamAV

Linux恶意软件检测(LMD)是用于Linux的恶意软件检测器和扫描仪,专为共享托管环境而设计。 LMD是根据GNU GPLV2许可证发布的,它可以安装在cPanel WHM和Linux环境中,并配有其他检测工具,如ClamAV。

Clam AntiVirus(ClamAV)是一种开源的防病毒解决方案,用于检测木马,恶意软件,病毒和其他恶意软件。 ClamAV支持多种平台,包括Linux,Windows和MacOS。

在本教程中,我将向您展示如何使用Clam AntiVirus(ClamAV)安装Linux Malware Detect(LMD)。 我将使用CentOS 7作为操作系统。

前提条件

  • CentOS 7
  • 根权限

第1步 - 安装Epel仓库和Mailx

使用yum安装Epel(Enterprise Linux的额外包)存储库和mailx命令。 我们需要在系统上安装mailx,以便LMD可以将扫描报告发送到您的电子邮件地址。

yum -y install epel-release

安装mailx,以便我们可以在CentOS 7上使用邮件命令:

yum -y install mailx

第2步 - 安装Linux恶意软件检测(LMD)

Linux恶意软件检测在CentOS或Epel存储库中不可用,我们需要从源代码手动安装。

下载LMD并解压:

cd /tmp
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar -xzvf maldetect-current.tar.gz

转到maldetect目录,并以root身份运行安装程序脚本“install.sh”

cd maldetect-1.5
./install.sh

接下来,在/ bin /目录中为maldet命令创建一个符号链接:

ln -s /usr/local/maldetect/maldet /bin/maldet
hash -r

第3步 - 配置Linux恶意软件检测(LMD)

LMD已将benn安装到'/ usr / local / maldet /'目录中。 转到该目录并使用vim编辑配置文件“conf.maldet”:

cd /usr/local/maldetect/
vim conf.maldet

通过将值更改为16的值来启用电子邮件警报。

email_alert="1"

在第21行输入您的电子邮件地址。

email_addr="root@zenzenzense.localdomain"

我们将使用ClamAV clamscan二进制文件作为默认扫描引擎,因为它提供了对大文件集的高性能扫描。 在第114行将值更改为“ 1 ”。

scan_clamscan="1"

接下来,启用隔离在扫描过程中自动将恶意软件移动到隔离区。 在180行将值更改为' 1 '。

quarantine_hits="1"

在185行将值更改为1,以启用基于干净的恶意软件注入。

quarantine_clean="1"

保存并退出。

第4步 - 安装ClamAV

在此步骤中,我们将安装Clam AntiVirus或ClamAV以获得LMD的最佳扫描结果。 ClamAV可在Epel存储库中获得(我们已经在第一步中安装)。

用yum安装ClamAV和ClamAV devel:

yum -y install clamav clamav-devel

安装ClamAV后,使用freshclam命令更新ClamAV病毒数据库:

freshclam

第5步 - 测试LMD和ClamAV

我们将使用maldet命令测试LMD手动扫描。 我们将使用maldet命令扫描web目录'/ var / www / html /'。

转到Web根目录并下载一些示例恶意软件(eicar)与wget:

cd /var/www/html
wget http://www.eicar.org/download/eicar.com.txt
wget http://www.eicar.org/download/eicar_com.zip
wget http://www.eicar.org/download/eicarcom2.zip

接下来,使用maldet命令扫描Web根目录:

maldet -a /var/www/html

您可以看到LMD正在使用ClamAV扫描仪引擎执行扫描,并且存在“恶意软件命中3”,恶意软件文件会自动移动到隔离目录。

使用以下命令检查扫描报告:

maldet --report 161008-0524.9466

在Maldet输出中找到SCANID = 161008-0524.9466。

现在检查LMD的电子邮件报告:

tail -f /var/mail/root

您可以看到,扫描报告已发送到目标电子邮件地址。

第6步 - 其他LMD命令

仅执行特定文件扩展的扫描:

maldet -a /var/www/html/*.php

获取所有报告的列表:

maldet -e list

扫描在最近X天内创建/修改的文件。

maldet -r /var/www/html/ 5

5 =最后几天。

从隔离目录还原文件。

maldet -s SCANID

启用对目录的监视。

maldet -m /var/www/html/

检查监视器日志文件:

tail -f /usr/local/maldetect/logs/inotify_log

参考

赞(52) 打赏
未经允许不得转载:优客志 » 系统运维
分享到:

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏