Cómo instalar y utilizar Linux Malware Detect (LMD) con ClamAV como motor antivirus

Cómo instalar y utilizar Linux Malware Detect (LMD) con ClamAV como motor antivirus

Malware , o software malicioso, es la designación que se le da a cualquier programa que tiene como objetivo interrumpir el funcionamiento normal de un sistema informático. Aunque las formas más conocidas de malware son los virus, el spyware y el adware, el daño que pretenden causar puede variar desde el robo de información privada hasta la eliminación de datos personales y todo lo demás, mientras que otro uso clásico del malware es controlar el para usarlo para lanzar botnets en un ataque (D) DoS.

Lea también : Proteja Apache contra ataques de fuerza bruta o DDoS en Linux

En otras palabras, puede No se dé el lujo de pensar: “No necesito proteger mi (s) sistema (s) contra el malware, ya que no estoy almacenando ningún dato importante o sensible”, porque esos no son los únicos objetivos del malware.

Por esa razón, en este artículo, explicaremos cómo instalar y configurar Linux Malware Detect (también conocido como MalDet o LMD para abreviar) con ClamAV (motor antivirus) en RHEL 8/7/6. (donde x es el número de versión), CentOS 8/7/6. y Fedora 30-32. (las mismas instrucciones también funcionan en los sistemas Ubuntu. y Debian. .

Un escáner de malware lanzado bajo la licencia GPL v2, especialmente diseñado para entornos de hosting. Sin embargo, rápidamente se dará cuenta de que se beneficiará de MalDet sin importar en qué tipo de entorno esté trabajando.

Instalación de LMD en RHEL/CentOS y Fedora

LMD no está disponible en los repositorios en línea, pero se distribuye como tarball desde el sitio web del proyecto. El tarball que contiene el código fuente de la última versión siempre está disponible en el siguiente enlace, donde se puede descargar con el comando wget:

# wget http://www.rfxn.com/downloads/maldetect-current.tar .gz freestar.config.enabled_slots.push

Luego, necesitamos descomprimir el tarball e ingresar al directorio donde se extrajo su contenido. Dado que la versión actual es 1.6.4 , el directorio es maldetect-1.6.4 . Allí encontraremos el script de instalación, install.sh .

# tar-xvf maldetect-current.tar.gz # ls-l | grep maldetect # cd maldetect-1.6.4/# ls  Descargar Linux Malware Detect  Descargar Linux Malware Detect Descargar Linux Malware Detect

Si inspeccionamos la secuencia de comandos de instalación, que solo tiene 75 líneas (incluidos los comentarios), verá que no solo instala la herramienta, sino que también realiza una verificación previa para ver si existe el directorio de instalación predeterminado (/usr/local/maldetect ). De lo contrario, el script crea el directorio de instalación antes de continuar.

Finalmente, una vez completada la instalación, se programa una ejecución diaria a través de cron colocando el cron.daily script (consulte la imagen de arriba) en /etc/cron.daily . Este script de ayuda, entre otras cosas, borrará datos temporales antiguos, buscará nuevas versiones de LMD y escaneará los paneles de control web y de Apache predeterminados (es decir, CPanel, DirectAdmin, por nombrar algunos) directorios de datos predeterminados.

Dicho esto, ejecute el script de instalación como de costumbre:

# ./install.sh  Instalar Linux Malware Detect en Linux  Instalar Linux Malware Detect en Linux Instalar Linux Malware Detect en Linux

Configurar Linux Malware Detect

La configuración de LMD se maneja a través de /usr/local/maldetect/conf.maldet y todas las opciones están bien comentadas para hacer que la configuración sea una tarea bastante fácil. En caso de que se quede atascado, también puede consultar /maldetect-1.6.4/README para obtener más instrucciones.

En el archivo de configuración encontrará las siguientes secciones, incluidas dentro corchetes:

  1. ALERTAS DE CORREO ELECTRÓNICO
  2. OPCIONES DE CUARENTENA
  3. OPCIONES DE ESCANEO
  4. ANÁLISIS ESTADÍSTICO
  5. SUPERVISIÓN OPCIONES

Cada una de estas secciones contiene varias variables que indican cómo se comportará LMD y qué funciones están disponibles.

  1. Establecer email_alert = 1 si desea recibir notificaciones por correo electrónico de los resultados de la inspección de malware. En aras de la brevedad, solo transmitiremos correo a los usuarios del sistema local, pero también puede explorar otras opciones, como enviar alertas de correo al exterior.
  2. Establezca email_subj = ”Su asunto aquí. ” y [correo electrónico protegido] si ha configurado previamente email_alert = 1.
  3. Con quar_hits , la acción de cuarentena predeterminada para los ataques de malware (0 = solo alerta, 1 = pasar a cuarentena y alerta) le dirá a LMD qué hacer cuando se detecte malware.
  4. quar_clean le permitirá decidir si desea limpiar inyecciones de malware basadas en cadenas. Tenga en cuenta que una firma de cadena es, por definición, “una secuencia de bytes contigua que potencialmente puede coincidir con muchas variantes de una familia de malware”.
  5. quar_susp , la acción de suspensión predeterminada para usuarios con hits, le permitirá deshabilitar una cuenta cuyos archivos propios han sido identificados como hits.
  6. clamav_scan = 1 le indicará a LMD que intente detectar la presencia de binarios ClamAV y utilizar como motor de escáner predeterminado. Esto produce un rendimiento de escaneo hasta cuatro veces más rápido y un análisis hexadecimal superior. Esta opción solo usa ClamAV como motor de escaneo, y las firmas LMD siguen siendo la base para detectar amenazas.

Importante. tenga en cuenta que quar_clean y quar_susp requieren que quar_hits esté habilitado (= 1) .

En resumen, las líneas con estas variables deben tener el siguiente aspecto en /usr/local/maldetect/conf.maldet :

email_alert = 1 [email protected] email_subj = “Alertas de malware for $ HOSTNAME-$ (date +% Y-% m-% d) “quar_hits = 1 quar_clean = 1 quar_susp = 1 clam_av = 1

Instalación de ClamAV en RHEL/CentOS y Fedora

Para instalar ClamAV para aprovechar la configuración de clamav_scan , siga estos pasos:

Habilite el repositorio EPEL.

# yum install epel-release

Luego haga:

# yum update && yum install clamd # apt update && apt-get install clamav clamav-daemon [Ubuntu/Debian]

Nota. Que estas son solo las instrucciones básicas para instalar ClamAV con el fin de integrarlo con LMD. No entraremos en detalles en lo que respecta a la configuración de ClamAV ya que, como dijimos anteriormente, las firmas LMD siguen siendo la base para detectar y limpiar amenazas.

Probar Linux Malware Detect

Ahora es hora de probar nuestra reciente instalación de LMD / ClamAV . En lugar de usar malware real, usaremos los archivos de prueba de EICAR, que están disponibles para descargar desde el sitio web de EICAR.

# cd/var/www/html # wget http://www.eicar.org/download/eicar.com # wget http://www.eicar.org/download/eicar.com.txt # wget http://www.eicar.org/download/eicar_com.zip # wget http://www.eicar. org/download/eicarcom2.zip

En este punto, puede esperar a que se ejecute el siguiente trabajo cron o ejecutar maldet manualmente usted mismo. Optaremos por la segunda opción:

# maldet–scan-all/var/www/

LMD también acepta comodines, por lo que si desea escanear solo un cierto tipo de archivo (es decir, archivos zip, para ejemplo), puede hacerlo:

# maldet–scan-all/var/www/*.zip  Analizar Linux Malware Detect en Linux Analizar Linux Malware Detect en Linux Analizar software malicioso en Linux

Cuando el escaneo está completo, puede verificar el correo electrónico enviado por LMD o ver el informe con:

# maldet–report 021015-1051.3559  Informe de análisis de malware de Linux  Informe de análisis de malware de Linux Informe de análisis de malware de Linux

Donde 021015-1051.3559 es el SCANID (el SCANID será ligeramente diferente en su caso).

Importante. Tenga en cuenta que LMD encontró 5 resultados desde que el archivo eicar.com se descargó dos veces (lo que resultó en eicar.com y eicar.com.1).

Si revisa la carpeta de cuarentena (solo dejó uno de los archivos y borró el resto), veremos lo siguiente:

# ls-l  Linux Malware Detect Quarantine Files  Linux Malware Detect Quarantine Files Detección de malware de Linux Archivos en cuarentena

A continuación, puede eliminar todos los archivos en cuarentena con:

# rm-rf/usr/local/maldetect/quarantine/*

En caso de que,

# maldet–clean SCANID

No hace el trabajo por alguna razón. Puede consultar el siguiente screencast para obtener una explicación paso a paso del proceso anterior:

Consideraciones finales

Desde maldet debe integrarse con cron , debe configurar las siguientes variables en el crontab de root (escriba crontab-e como root y presione la tecla Enter ) en caso de que observe que LMD no se está ejecutando correctamente a diario:

PATH =/sbin:/bin:/usr/sbin:/usr/bin MAILTO = root HOME =/SHELL =/bin/bash

Esto ayudará a proporcionar la información de depuración necesaria.

Conclusión

En este artículo, hemos discutido cómo instalar y configurar Linux Malware Detect , junto con ClamAV , un poderoso aliado. Con la ayuda de estas 2 herramientas, la detección de malware debería ser una tarea bastante sencilla.