关闭 x
IT技术网
    技 采 号
    ITJS.cn - 技术改变世界
    • 实用工具
    • 菜鸟教程
    IT采购网 中国存储网 科技号 CIO智库

    IT技术网

    IT采购网
    • 首页
    • 行业资讯
    • 系统运维
      • 操作系统
        • Windows
        • Linux
        • Mac OS
      • 数据库
        • MySQL
        • Oracle
        • SQL Server
      • 网站建设
    • 人工智能
    • 半导体芯片
    • 笔记本电脑
    • 智能手机
    • 智能汽车
    • 编程语言
    IT技术网 - ITJS.CN
    首页 » HTML5 »如何在 Linux 上安装和使用恶意软件检测工具 LMD 及杀毒引擎 Cla

    如何在 Linux 上安装和使用恶意软件检测工具 LMD 及杀毒引擎 Cla

    2015-03-31 00:00:00 出处:linux.cn
    分享

    恶意软件是指任何旨在干扰或破坏计算系统正常运行的软件程序。虽然最臭名昭著的几种恶意软件如病毒、间谍软件和广告软件,但它们企图引起的危害不一:有的是窃取私密信息,有的是删除个人数据,有的则介于两者之间;而恶意软件的另一个常见用途就是控制系统,然后利用该系统发动僵尸网络,形成所谓的拒绝服务(DoS)攻击或分布式拒绝服务(DDoS)攻击。

    如何在 Linux 上安装和使用恶意软件检测工具 LMD 及杀毒引擎 ClamAV 换句话说,我们万万不可抱有这种想法“因为我并不存储任何敏感数据或重要数据,所以不需要保护自己的系统远离恶意软件”,因为那些数据并不是恶意软件的唯一目标。 由于这个原因,我们将在本文中介绍在RHEL 7.0/6.x(x是版本号)、CentOS 7.0/6.x和Fedora 21-12中,如何安装并配置Linux恶意软件检测工具(又叫MalDet,或简称LMD)和ClamAV(反病毒引擎)。 这是采用GPL v2许可证发布的一款恶意软件扫描工具,专门为主机托管环境而设计。然而,你很快就会认识到,无论自己面对哪种环境,都会得益于MalDet。

    将LMD安装到RHEL/CentOS 7.0/6.x和Fedora 21-12上

    LMD无法从在线软件库获得,而是以打包文件的形式从项目官方网站分发。打包文件含有最新版本的源代码,总是可以从下列链接处获得,可使用下列命令来下载:

    # wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

    然后,我们需要解压该打包文件,并进入提取/解压内容的目录。由于当前版本是1.4.2,目录为maldetect-1.4.2。我们会在该目录中找到安装脚本install.sh。

    # tar -xvf maldetect-current.tar.gz
    # ls -l | grep maldetect

    如何在 Linux 上安装和使用恶意软件检测工具 LMD 及杀毒引擎 ClamAV 下载Linux恶意软件检测工具假如我们检查安装脚本,该脚本长度只有75行(包括注释),就会发现,它不仅安装该工具,还执行预检测,看看默认安装目录(/usr/local/maldetect)有无存在。要是不存在,脚本就会先创建安装目录,然后执行下一步。 最后,安装完成后,只要将cron.daily脚本(参阅上图)放入到/etc/cron.daily,就可以排定通过cron(计划任务)的每天执行。这个帮助脚本具有诸多功能,包括清空旧的临时数据,检查新的LMD版本,扫描默认Apache和Web控制面板(比如CPanel和DirectAdmin等)默认数据目录。 话虽如此,还是按平常那样运行安装脚本:

    # ./install.sh

    如何在 Linux 上安装和使用恶意软件检测工具 LMD 及杀毒引擎 ClamAV如何在 Linux 上安装和使用恶意软件检测工具 LMD 及杀毒引擎 ClamAV 在Linux中安装Linux恶意软件检测工具

    配置Linux恶意软件检测工具

    配置LDM的工作通过/usr/local/maldetect/conf.maldet来处理,所以选项都进行了充分的注释,以便配置起来相当容易。万一你哪里卡住了,还可以参阅/usr/local/src/maldetect-1.4.2/README,了解进一步的指示。 在配置文件中,你会找到用方括号括起来的下列部分:

    EMAIL ALERTS(邮件提醒) QUARANTINE OPTIONS(隔离选项) SCAN OPTIONS(扫描选项) STATISTICAL ANALYSIS(统计分析) MONITORING OPTIONS(监控选项)

    这每个部分都含有几个变量,表明LMD会如何运行、有哪些功能特性可以使用。

    假如你想收到通知恶意软件检测结果的电子邮件,就设置email_alert=1。为了简洁起见,我们只将邮件转发到本地系统用户,但是你同样可以探究其他选项,比如将邮件提醒发送到外部用户。 假如你之前已设置了email_alert=1,设置email_subj=”Your subject here”和email_addr=username@localhost。 至于quar_hits,即针对恶意软件袭击的默认隔离操作(0 =仅仅提醒,1 = 转而隔离并提醒),你告诉LMD在检测到恶意软件后执行什么操作。 quar_clean将让你决定想不想清理基于字符串的恶意软件注入。牢记一点:就本身而言,字符串特征是“连续的字节序列,有可能与恶意软件家族的许多变种匹配。” quar_susp,即针对遭到袭击的用户采取的默认暂停操作,让你可以禁用其所属文件已被确认为遭到袭击的帐户。 clamav_scan=1将告诉LMD试图检测有无存在ClamAV二进制代码,并用作默认扫描器引擎。这可以获得最多快出四倍的扫描性能和出色的十六进制分析。这个选项只使用ClamAV作为扫描器引擎,LMD特征仍是检测威胁的基础。

    重要提示:请注意:quar_clean和quar_susp需要quar_hits被启用(=1)。 总之,在/usr/local/maldetect/conf.maldet中,有这些变量的行应该看起来如下:

    email_alert=1
    email_addr=gacanepa@localhost
    email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
    quar_hits=1
    quar_clean=1
    quar_susp=1
    clam_av=1

    将ClamAV安装到RHEL/CentOS 7.0/6.x和Fedora 21-12上

    想安装ClamAV以便充分利用clamav_scan设置,请遵循这些步骤: 创建软件库文件/etc/yum.repos.d/dag.repo:

    [dag]
    name=Dag RPM Repository for Red Hat Enterprise Linux
    baseurl=http://apt.sw.be/redhat/el$releasever/en/$basearch/dag/
    gpgcheck=1
    gpgkey=http://dag.wieers.com/packages/RPM-GPG-KEY.dag.txt
    enabled=1

    然后运行命令:

    # yum update && yum install clamd

    注意:这些只是安装ClamAV的基本指令,以便将它与LMD整合起来。我们在ClamAV设置方面不作详细介绍,因为正如前面所述,LMD特征仍是检测和清除威胁的基础。

    测试Linux恶意软件检测工具

    现在就可以检测我们刚刚安装的LMD / ClamAV了。不是使用实际的恶意软件,我们将使用EICAR测试文件(http://www.eicar.org/86-0-Intended-use.html),这些文件可从EICAR网站下载获得。

    # cd /var/www/html
    # wget http://www.eicar.org/download/eicar.com
    # wget http://www.eicar.org/download/eicar.com.txt
    # wget http://www.eicar.org/download/eicar_com.zip
    # wget http://www.eicar.org/download/eicarcom2.zip

    这时候,你可以等待下一个cron任务运行,也可以自行手动执行maldet。我们将采用第二种方法:

    # maldet --scan-all /var/www/

    LMD还接受通配符,所以假如你只想扫描某种类型的文件(比如说zip文件),就可以这么做:

    # maldet --scan-all /var/www/*.zip

    如何在 Linux 上安装和使用恶意软件检测工具 LMD 及杀毒引擎 ClamAV 扫描Linux中的恶意软件扫描完成后,你可以查阅LMD发送过来的电子邮件,也可以用下列命令查看报告:

    # maldet --report 021015-1051.3559

    如何在 Linux 上安装和使用恶意软件检测工具 LMD 及杀毒引擎 ClamAV Linux恶意软件扫描报告其中021015-1051.3559是SCANID(SCANID与你的实际结果会略有不同)。 重要提示:请注意:由于eicar.com文件下载了两次(因而导致eicar.com和eicar.com.1),LMD发现了5次袭击。 假如你检查隔离文件夹(我只留下了一个文件,删除了其余文件),我们会看到下列结果:

    # ls –l

    如何在 Linux 上安装和使用恶意软件检测工具 LMD 及杀毒引擎 ClamAV Linux恶意软件检测工具隔离文件你然后可以用下列命令删除所有隔离的文件:

    # rm -rf /usr/local/maldetect/quarantine/*

    万一那样,

    # maldet --clean SCANID

    最后的考虑因素

    由于maldet需要与cron整合起来,你就需要在root的crontab中设置下列变量(以root用户的身份键入crontab –e,并按回车键),也许你会注意到LMD并没有每天正确运行:

    PATH=/sbin:/bin:/usr/sbin:/usr/bin
    MAILTO=root
    HOME=/
    SHELL=/bin/bash

    这将有助于提供必要的调试信息。

    结束语

    我们在本文中讨论了如何安装并配置Linux恶意软件检测工具和ClamAV这个功能强大的搭档。借助这两种工具,检测恶意软件应该是相当轻松的任务。 不过,你要帮自己一个忙,熟悉之前解释的README文件,那样你就能确信自己的系统得到了全面支持和妥善管理。 要是你有什么评论或问题,欢迎随时留言。

    上一篇返回首页 下一篇

    声明: 此文观点不代表本站立场;转载务必保留本文链接;版权疑问请联系我们。

    别人在看

    正版 Windows 11产品密钥怎么查找/查看?

    还有3个月,微软将停止 Windows 10 的更新

    Windows 10 终止支持后,企业为何要立即升级?

    Windows 10 将于 2025年10 月终止技术支持,建议迁移到 Windows 11

    Windows 12 发布推迟,微软正全力筹备Windows 11 25H2更新

    Linux 退出 mail的命令是什么

    Linux 提醒 No space left on device,但我的空间看起来还有不少空余呢

    hiberfil.sys文件可以删除吗?了解该文件并手把手教你删除C盘的hiberfil.sys文件

    Window 10和 Windows 11哪个好?答案是:看你自己的需求

    盗版软件成公司里的“隐形炸弹”?老板们的“法务噩梦” 有救了!

    IT头条

    公安部:我国在售汽车搭载的“智驾”系统都不具备“自动驾驶”功能

    02:03

    液冷服务器概念股走强,博汇、润泽等液冷概念股票大涨

    01:17

    亚太地区的 AI 驱动型医疗保健:2025 年及以后的下一步是什么?

    16:30

    智能手机市场风云:iPhone领跑销量榜,华为缺席引争议

    15:43

    大数据算法和“老师傅”经验叠加 智慧化收储粮食尽显“科技范”

    15:17

    技术热点

    商业智能成CIO优先关注点 技术落地方显成效(1)

    用linux安装MySQL时产生问题破解

    JAVA中关于Map的九大问题

    windows 7旗舰版无法使用远程登录如何开启telnet服务

    Android View 事件分发机制详解

    MySQL用户变量的用法

      友情链接:
    • IT采购网
    • 科技号
    • 中国存储网
    • 存储网
    • 半导体联盟
    • 医疗软件网
    • 软件中国
    • ITbrand
    • 采购中国
    • CIO智库
    • 考研题库
    • 法务网
    • AI工具网
    • 电子芯片网
    • 安全库
    • 隐私保护
    • 版权申明
    • 联系我们
    IT技术网 版权所有 © 2020-2025,京ICP备14047533号-20,Power by OK设计网

    在上方输入关键词后,回车键 开始搜索。Esc键 取消该搜索窗口。