Как обнаружить и удалить вредоносное ПО с Linux-сервера с помощью Maldet

Вредоносное ПО - это вредоносное ПО, целью которого является нарушение бесперебойной и нормальной работы компьютерной системы или сервера, сбор личной информации или просто получение несанкционированного доступа к системе / серверу. Известно, что в системах Linux меньше вредоносного ПО по сравнению с Windows, но это не значит, что пользователи Linux должны чувствовать себя непринужденно.

Большинство атак на Linux нацелены на использование ошибок в таких сервисах, как java-контейнеры и браузеры, и их основная цель - изменить работу целевой службы, а иногда и полностью закрыть ее.

Одна из самых опасных атак на систему Linux - это попытка злоумышленника получить учетные данные пользователя. В случае успеха хакер может запускать все, что угодно, и иметь доступ к конфиденциальным данным. Они также могут атаковать другие машины, подключенные к серверу Linux. Чтобы бороться с этим, пользователи могут использовать Maldet для обнаружения и удаления вредоносных программ из Linux и поддержания чистоты своих систем.

Обнаружение вредоносных программ Linux

Maldet также известен как средство обнаружения вредоносных программ Linux (LMD). Это сканер вредоносных программ для Linux, разработанный для обработки угроз, типичных для общих размещенных сред. Он использует данные об угрозах из систем обнаружения вторжений на границе сети для извлечения вредоносных программ, которые активно используются в атаках, и генерирует сигнатуры для обнаружения. Хотя это звучит сложно, им легко пользоваться.

Установка Maldet

Откройте терминал и выполните команду ниже, чтобы загрузить приложение:

мальдет-скачать

Распакуйте скачанный архивный файл, используя следующую команду:

Измените активную папку на папку, содержащую извлеченный файл maldetect:

"X.y" - это номер версии приложения. В этой папке находится скрипт "install.sh". Следующим шагом будет запуск сценария с помощью следующей команды:

maldet-install

Если установка прошла успешно, вы получите уведомление. Вам также сообщат, где был установлен Maldet. В моем случае он был установлен как "/ usr / local / maldetect".

Конфигурация

После установки Maldet в каталоге Maldet создается файл конфигурации под названием "conf.maldet". Чтобы отредактировать его, откройте его с помощью текстового редактора.

Или вы можете использовать "nano" или "vi", чтобы отредактировать его в терминале:

Ниже приведен пример возможных настроек:

Уведомление по электронной почте

Получать уведомление по электронной почте при обнаружении вредоносного ПО.

  • Установите для параметра "email_alert" значение 1.
  • Добавьте свой адрес электронной почты в опцию "email_addr".
  • Измените "email_ignore_clean" на 1. Это используется для игнорирования отправляемых вам предупреждений, когда вредоносное ПО автоматически очищается.

maldet-email-config

Варианты карантина

Действия, которые необходимо предпринять при обнаружении вредоносного ПО:

  • Установите для параметра quarantine_hits значение 1, чтобы затронутые файлы автоматически помещались в карантин.
  • Установите "quarantine_clean" на 1, чтобы автоматически очищать затронутые файлы. Установка этого параметра на 0 позволяет вам сначала проверить файлы перед их очисткой.
  • Установка "quarantine_suspend_user" на 1 приостанавливает работу пользователей, учетные записи которых затронуты, в то время как "quarantine_suspend_user_minuid" устанавливает минимальный идентификатор пользователя, который будет приостановлен. По умолчанию установлено значение 500, но его можно изменить.

мальдет-карантин-варианты

Есть много других вариантов конфигурации, которые вы можете использовать и внести необходимые изменения. Когда вы закончите настройку, сохраните и закройте файл.

Сканирование вредоносного ПО

Вы можете запустить базовое сканирование вручную или автоматизировать периодическое сканирование.

Чтобы запустить сканирование, выполните следующую команду:

Maldet-Basicscan

Когда эта команда запускается, список файлов создается из каталогов в пути, и начинается сканирование файлов. Измените путь к файлу "/ папки / в / сканирование" на каталог, в котором Мальдет должен сканировать. После сканирования создается отчет, и вы можете увидеть, какие файлы были затронуты.

Как поместить файлы в карантин

файлы, затронутые мальдетом

Если вы установите "quarantine_hits" на 1, Maldet автоматически переместит затронутые файлы в карантин. Когда он установлен на 0, сгенерированный отчет показывает вам расположение затронутых файлов. Затем вы можете проверить файлы и решить, очищать их или нет.

Восстановление файла

Иногда у вас может быть ложное срабатывание, приводящее к помещению файла в карантин по неправильной причине. Чтобы восстановить такой файл, выполните следующую команду:

Автоматическое сканирование

Во время установки Maldet функция cronjob также устанавливается по адресу "/etc/cron.daily/maldet". Это будет сканировать домашние каталоги, а также любые файлы / папки, которые были недавно изменены, на ежедневной основе. Он всегда будет уведомлять вас о любых вредоносных программах по адресу электронной почты, указанному в файле конфигурации.

Заключение

Многие люди говорят, что системы Linux невосприимчивы к вредоносным программам, но это неправда. Вас могут обмануть, установив вредоносное программное обеспечение, или вредоносное ПО может даже распространяться по электронной почте, что может привести к повреждению вашей системы. Есть также много других уязвимостей, к которым хакеры пытаются получить несанкционированный доступ, что делает систему небезопасной. Чтобы оставаться в безопасности, вы можете использовать Maldet, чтобы содержать вашу систему в чистоте. Другие меры, которые вы можете предпринять, включают, среди прочего, настройку сетевой мониторинг иправил брандмауэра.

3 комментария

  1. Очень полезно! Спасибо!


    Пожалуйста.

  2. Спасибо за эту полезную статью!
    Но мне интересно, как она сравнивается с ClamAV ?!

Комментарии закрыты.