Antivirüs Motoru Olarak ClamAV ile Linux Malware Detect (LMD) Nasıl Kurulur ve Kullanılır

Kötü amaçlı yazılım veya kötü amaçlı yazılım, bir bilgi işlem sisteminin normal çalışmasını bozmayı amaçlayan herhangi bir programa verilen addır. Kötü amaçlı yazılımların en iyi bilinen biçimleri virüsler, casus yazılımlar ve reklam yazılımları olmasına rağmen, neden olmayı amaçladıkları zarar, özel bilgilerin çalınmasından kişisel verilerin silinmesine ve aradaki her şeye kadar değişebilir; kötü amaçlı yazılımın bir başka klasik kullanımı ise verileri kontrol etmektir. (D)DoS saldırısında botnet'leri başlatmak için kullanmak üzere sistem.

Başka bir deyişle, "Hassas veya önemli veriler saklamadığım için sistemimi/sistemlerimi kötü amaçlı yazılımlara karşı korumam gerekmiyor" diye düşünmeyi göze alamazsınız çünkü kötü amaçlı yazılımların tek hedefi bunlar değildir.

Bu nedenle, bu makalede, Linux Malware Detect'in (diğer adıyla MalDet veya kısaca LMD) nasıl kurulacağını ve yapılandırılacağını açıklayacağız. RHEL 8/7/6'da ClamAV (Antivirus Engine), (burada x sürüm numarasıdır), CentOS 8/7/6 ve Fedora 30-32 (aynı talimatlar Ubuntu 'da da çalışır) ve Debian sistemleri).

Barındırma ortamları için özel olarak tasarlanmış, GPL v2 lisansı altında yayınlanan bir kötü amaçlı yazılım tarayıcısıdır. Ancak, ne tür bir ortamda çalışıyor olursanız olun, MalDet'ten faydalanacağınızı hemen fark edeceksiniz.

LMD'yi RHEL/CentOS ve Fedora'ya yükleme

LMD çevrimiçi depolarda mevcut değildir ancak projenin web sitesinden tarball olarak dağıtılmaktadır. En son sürümün kaynak kodunu içeren tarball her zaman aşağıdaki bağlantıda mevcuttur ve burada wget komutuyla indirilebilir:

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Daha sonra tarball'ı paketinden çıkarmamız ve içeriğinin çıkarıldığı dizine girmemiz gerekiyor. Geçerli sürüm 1.6.4 olduğundan dizin maldetect-1.6.4'tir. Orada install.sh kurulum komut dosyasını bulacağız.

tar -xvf maldetect-current.tar.gz
ls -l | grep maldetect
cd maldetect-1.6.4/
ls

Yalnızca 75 satır uzunluğunda (yorumlar dahil) kurulum komut dosyasını incelersek, yalnızca aracı yüklemekle kalmayıp aynı zamanda varsayılan kurulum dizininin ( /usr/local/maldetect) mevcut. Değilse, komut dosyası devam etmeden önce kurulum dizinini oluşturur.

Son olarak, kurulum tamamlandıktan sonra, cron.daily betiğinin (yukarıdaki resme bakın) /etc/ dizinine yerleştirilmesiyle cron aracılığıyla günlük bir yürütme planlanır. cron.daily. Bu yardımcı komut dosyası, diğer şeylerin yanı sıra, eski geçici verileri temizleyecek, yeni LMD sürümlerini kontrol edecek ve varsayılan Apache ve web kontrol panellerini (örneğin, birkaçını belirtmek gerekirse CPanel, DirectAdmin) varsayılan veri dizinlerini tarayacaktır.

Bununla birlikte, kurulum komut dosyasını her zamanki gibi çalıştırın:

./install.sh

Linux Kötü Amaçlı Yazılım Algılamayı Yapılandırma

LMD'nin konfigürasyonu /usr/local/maldetect/conf.maldet aracılığıyla gerçekleştirilir ve konfigürasyonu oldukça kolay bir iş haline getirmek için tüm seçenekler iyi bir şekilde yorumlanmıştır. Takılmanız durumunda daha fazla talimat için /maldetect-1.6.4/README adresine de başvurabilirsiniz.

Yapılandırma dosyasında köşeli parantez içine alınmış aşağıdaki bölümleri bulacaksınız:

  1. E-POSTA UYARILARI
  2. KARANTİNA SEÇENEKLERİ
  3. TARAMA SEÇENEKLERİ
  4. İSTATİSTİKSEL ANALİZ
  5. İZLEME SEÇENEKLERİ

Bu bölümlerin her biri LMD'nin nasıl davranacağını ve hangi özelliklerin mevcut olduğunu gösteren çeşitli değişkenler içerir.

  1. Kötü amaçlı yazılım inceleme sonuçlarına ilişkin e-posta bildirimleri almak istiyorsanız email_alert=1 ayarını yapın. Kısalık olması açısından, postaları yalnızca yerel sistem kullanıcılarına aktaracağız, ancak posta uyarılarını dışarıya göndermek gibi diğer seçenekleri de keşfedebilirsiniz.
  2. Daha önce email_alert=1 ayarını yaptıysanız email_subj=”Konunuzu buraya” ve email_addr=kullanıcıadı@localhost olarak ayarlayın.
  3. Kötü amaçlı yazılım isabetleri için varsayılan karantina eylemi olan quar_hits ile (0=yalnızca uyarı, 1=karantinaya ve uyarıya geç) kötü amaçlı yazılım algılandığında LMD'ye ne yapması gerektiğini söyleyeceksiniz.
  4. quar_clean, dize tabanlı kötü amaçlı yazılım enjeksiyonlarını temizlemek isteyip istemediğinize karar vermenizi sağlar. Bir dize imzasının, tanım gereği, "kötü amaçlı yazılım ailesinin birçok varyantıyla potansiyel olarak eşleşebilecek bitişik bir bayt dizisi" olduğunu unutmayın.
  5. İsabetli kullanıcılar için varsayılan askıya alma eylemi olan quar_susp, sahip olduğu dosyaları isabet olarak tanımlanan bir hesabı devre dışı bırakmanıza olanak tanır.
  6. clamav_scan=1, LMD'ye ClamAV ikili dosyasının varlığını algılamaya çalışmasını ve varsayılan tarayıcı motoru olarak kullanmasını söyleyecektir. Bu, dört kata kadar daha hızlı tarama performansı ve üstün hex analizi sağlar. Bu seçenek, tarayıcı motoru olarak yalnızca ClamAV'ı kullanır ve LMD imzaları hâlâ tehditlerin tespit edilmesinin temelini oluşturur.

Özetle, bu değişkenleri içeren satırlar /usr/local/maldetect/conf.maldet dosyasında aşağıdaki gibi görünmelidir:

email_alert=1
email_addr=gacanepa@localhost
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quar_hits=1
quar_clean=1
quar_susp=1
clam_av=1

ClamAV'ı RHEL/CentOS ve Fedora'ya yükleme

clamav_scan ayarından yararlanmak amacıyla ClamAV'ı yüklemek için şu adımları izleyin:

EPEL deposunu etkinleştirin.

yum install epel-release

Sonra şunları yapın:


yum update && yum install clamd
apt update && apt-get install clamav clamav-daemon  [Ubuntu/Debian]

Not: Bunlar, ClamAV'ı LMD ile entegre etmek amacıyla yüklemek için yalnızca temel talimatlardır. Daha önce de söylediğimiz gibi, LMD imzaları hala tehditleri tespit etme ve temizlemenin temelini oluşturduğundan, ClamAV ayarları konusunda ayrıntıya girmeyeceğiz.

Linux Kötü Amaçlı Yazılım Algılamayı Test Etme

Şimdi son LMD/ClamAV kurulumumuzu test etme zamanı. Gerçek kötü amaçlı yazılım kullanmak yerine, EICAR web sitesinden indirilebilen EICAR test dosyalarını kullanacağız.

cd /var/www/html
wget http://www.eicar.org/download/eicar.com 
wget http://www.eicar.org/download/eicar.com.txt 
wget http://www.eicar.org/download/eicar_com.zip 
wget http://www.eicar.org/download/eicarcom2.zip

Bu noktada, bir sonraki cron işinin çalışmasını bekleyebilir veya maldet'i manuel olarak kendiniz çalıştırabilirsiniz. İkinci seçeneğe gideceğiz:

maldet --scan-all /var/www/

LMD ayrıca joker karakterleri de kabul eder, dolayısıyla yalnızca belirli bir dosya türünü (örneğin zip dosyalarını) taramak istiyorsanız bunu yapabilirsiniz:

maldet --scan-all /var/www/*.zip

Tarama tamamlandığında LMD tarafından gönderilen e-postayı kontrol edebilir veya aşağıdakileri içeren raporu görüntüleyebilirsiniz:

maldet --report 021015-1051.3559

Burada 021015-1051.3559 SCANID'dir (SCANID sizin durumunuzda biraz farklı olacaktır).

Önemli: LMD'nin eicar.com dosyası iki kez indirildiğinden bu yana 5 sonuç bulduğunu lütfen unutmayın (böylece eicar.com ve eicar.com.1 ortaya çıktı).

Karantina klasörünü kontrol ederseniz (dosyalardan sadece birini bıraktım ve geri kalanını sildim), aşağıdakileri göreceğiz:

ls -l

Daha sonra karantinaya alınan tüm dosyaları şunu kullanarak kaldırabilirsiniz:

rm -rf /usr/local/maldetect/quarantine/*

Durumunda,

maldet --clean SCANID

Bazı nedenlerden dolayı iş yapılmıyor. Yukarıdaki sürecin adım adım açıklaması için aşağıdaki ekran görüntüsüne başvurabilirsiniz:

Son düşünceler

maldet'in cron ile entegre olması gerektiğinden, kökün crontab'ında aşağıdaki değişkenleri ayarlamanız gerekir (kök olarak crontab -e yazın ve LMD'nin günlük olarak düzgün çalışmadığını fark etmeniz durumunda Enter tuşu) kullanın:

PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
SHELL=/bin/bash

Bu, gerekli hata ayıklama bilgilerinin sağlanmasına yardımcı olacaktır.

Çözüm

Bu makalede, güçlü bir müttefik olan ClamAV ile birlikte Linux Malware Detect'in nasıl kurulacağını ve yapılandırılacağını tartıştık. Bu 2 aracın yardımıyla kötü amaçlı yazılımları tespit etmek oldukça kolay bir iş olacaktır.

Ancak kendinize bir iyilik yapın ve daha önce açıklandığı gibi BENİOKU dosyasına aşina olun; böylece sisteminizin iyi bir şekilde muhasebeleştirildiğinden ve iyi yönetildiğinden emin olabilirsiniz.

Varsa yorumlarınızı veya sorularınızı aşağıdaki formu kullanarak bırakmaktan çekinmeyin.

Referans Bağlantıları

LMD Ana Sayfası