Как обнаружить и очистить вредоносное ПО с Linux-сервера с помощью Maldet
Вредоносное ПО – это вредоносное программное обеспечение, целью которого является нарушение бесперебойной и нормальной работы компьютерной системы или сервера, сбор конфиденциальной информации или просто получение несанкционированного доступа к системе/серверу. Известно, что в системах Linux меньше вредоносного программного обеспечения по сравнению с Windows, но это не значит, что пользователи Linux должны быть спокойны.
Большинство атак на Linux направлены на использование ошибок в таких службах, как Java-контейнеры и браузеры, и их основная цель — изменить принцип работы целевой службы, а иногда и полностью закрыть ее.
Одна из самых опасных атак на систему Linux — это когда злоумышленник пытается получить учетные данные пользователя. Если это удастся, хакер сможет запустить все, что захочет, и получить доступ к конфиденциальным данным. Они также могут атаковать другие машины, подключенные к серверу Linux. Чтобы бороться с этим, пользователи могут использовать Maldet для обнаружения и удаления вредоносных программ из Linux, а также для поддержания чистоты своих систем.
Обнаружение вредоносного ПО для Linux
Maldet также известен как Linux Malware Detect (LMD). Это сканер вредоносных программ для Linux, разработанный для борьбы с угрозами, распространенными в общедоступных хостинговых средах. Он использует данные об угрозах из систем обнаружения вторжений на периферии сети для извлечения вредоносного ПО, которое активно используется в атаках, и генерирует сигнатуры для обнаружения. Хотя это звучит сложно, его легко использовать.
Установка Мальдета
Откройте терминал и выполните команду ниже, чтобы загрузить приложение:
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
Распакуйте скачанный архивный файл с помощью команды ниже:
tar -xvf maldetect-current.tar.gz
Измените активную папку на папку, содержащую извлеченный файл вредоносного обнаружения:
cd maldetect-x.y
«x.y» — номер версии приложения. В этой папке находится скрипт install.sh. Следующим шагом будет запуск скрипта с помощью следующей команды:
sudo ./install.sh
Если установка прошла успешно, вы получите уведомление. Вам также сообщат, где был установлен Maldet. В моем случае он был установлен как «/usr/local/maldetect».
Конфигурация
После установки Maldet в каталоге Maldet создается файл конфигурации под названием «conf.maldet». Чтобы отредактировать его, откройте его с помощью текстового редактора.
gksu gedit /usr/local/maldetect/conf.maldet
Или вы можете использовать «nano» или «vi», чтобы отредактировать его в терминале:
sudo nano /usr/local/maldetect/conf.maldet
Ниже приведен пример опций, которые можно установить:
Уведомление по электронной почте
Получайте уведомление по электронной почте при обнаружении вредоносного ПО.
- Установите для «email_alert» значение 1.
- Добавьте свой адрес электронной почты в опцию «email_addr».
- Измените значение «email_ignore_clean» на 1. Это используется для игнорирования предупреждений, отправляемых вам при автоматической очистке вредоносного ПО.
Варианты карантина
Действия, которые необходимо предпринять при обнаружении вредоносного ПО:
- Установите для параметра «quarantine_hits» значение 1, чтобы затронутые файлы автоматически помещались в карантин.
- Установите для параметра «quarantine_clean» значение 1, чтобы автоматически очистить затронутые файлы. Установка значения 0 позволяет сначала проверить файлы перед их очисткой.
- Установка значения «quarantine_suspend_user» на 1 приведет к блокировке пользователей, учетные записи которых затронуты, а значение «quarantine_suspend_user_minuid» устанавливает минимальный идентификатор пользователя, который будет заблокирован. По умолчанию установлено значение 500, но его можно изменить.
Существует множество других вариантов конфигурации, которые вы можете просмотреть и внести необходимые изменения. Закончив настройку, сохраните и закройте файл.
Сканирование вредоносных программ
Вы можете запустить базовое сканирование вручную или автоматизировать периодическое сканирование.
Чтобы запустить сканирование, выполните следующую команду:
sudo maldet --scan-all /folders/to/scan
При запуске этой команды создается список файлов по каталогам в пути и начинается сканирование файлов. Измените путь к файлу «/folders/to/scan» на каталог, в котором вы хотите, чтобы Maldet сканировал. После сканирования создается отчет, и вы можете увидеть, какие файлы затронуты.
Как поместить в карантин затронутые файлы
Если вы установите для параметра «quarantine_hits» значение 1, Maldet автоматически переместит затронутые файлы в карантин. Если для него установлено значение 0, в созданном отчете показано расположение затронутых файлов. Затем вы можете проверить файлы и решить, очищать их или нет.
Восстановление файла
Иногда у вас может быть ложное срабатывание, приводящее к тому, что файл помещается в карантин по неправильной причине. Чтобы восстановить такой файл, выполните следующую команду:
sudo maldet -restore FILENAME
Автоматическое сканирование
Во время установки Maldet функция cronjob также устанавливается в «/etc/cron.daily/maldet». При этом будут ежедневно сканироваться домашние каталоги, а также любые файлы/папки, которые недавно были изменены. Он всегда будет уведомлять вас о любых вредоносных программах по адресу электронной почты, указанному в файле конфигурации.
Заключение
Многие говорят, что системы Linux невосприимчивы к вредоносным программам, но это неправда. Вас могут обманом заставить установить вредоносное программное обеспечение, или вредоносное ПО может даже распространяться по электронной почте, и это может привести к повреждению вашей системы. Существует также множество других уязвимостей, через которые хакеры пытаются получить несанкционированный доступ, что делает систему небезопасной. Чтобы оставаться в безопасности, вы можете использовать Maldet для поддержания чистоты вашей системы. Другие меры, которые вы можете предпринять, включают, среди прочего, настройку сетевого мониторинга и правил брандмауэра.