כיצד לזהות ולנקות תוכנות זדוניות מתוך שרת לינוקס עם Maldet
תוכנה זדונית היא תוכנה זדונית שמטרתה להפריע לפעולה חלקה ונורמלית של מערכת מחשב או שרת, לאסוף מידע פרטי או פשוט לקבל גישה לא מורשית למערכת / לשרת. מערכות לינוקס ידועים יש כמה תוכנות זדוניות לעומת Windows, אבל זה לא אומר משתמשי לינוקס צריך להיות נוח.
רוב ההתקפות על לינוקס מיועדות לניצול באגים בשירותים כמו מיכלי ג'אווה ודפדפנים, ומטרתה העיקרית היא לשנות את האופן שבו השירות הממוקד עובד ולפעמים לסגור אותו לחלוטין.
אחת ההתקפות המסוכנות ביותר על מערכת לינוקס היא כאשר התוקף מנסה להשיג אישורי כניסה של משתמש. כאשר זה מצליח, האקר יכול להפעיל כל דבר שהם רוצים ויש להם גישה לנתונים חסויים. הם יכולים גם לתקוף מכונות אחרות המחוברות לשרת לינוקס. כדי להילחם בזה, משתמשים יכולים להשתמש Maldet כדי לזהות ולנקות תוכנות זדוניות מ- Linux ולשמור על המערכות שלהם נקי.
לינוקס זיהוי תוכנה זדונית
Maldet ידוע גם בשם זיהוי תוכנה זדונית לינוקס (LMD). זהו סורק לינוקס לינוקס שפותחה כדי להתמודד עם איומים המשותפים עם סביבות מתארח משותף. היא משתמשת בנתוני איום של מערכות גילוי חדירה לרשת כדי לחלץ תוכנות זדוניות כי הוא פעיל בשימוש התקפות ומייצר חתימות לאיתור. אמנם זה נשמע מסובך, זה קל לשימוש.
התקנת Maldet
פתח מסוף והפעל את הפקודה שבהמשך כדי להוריד את היישום:
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
הוצא את קובץ הארכיון שהורדת באמצעות הפקודה הבאה:
tar -xvf maldetect-current.tar.gz
שנה את התיקייה הפעילה לתיקייה המכילה את קובץ maldetect שחולץ:
cd maldetect-xy
"Xy" הוא מספר הגירסה של היישום. בתיקיה זו יש את התסריט "install.sh". השלב הבא הוא להפעיל את התסריט באמצעות הפקודה הבאה:
sudo ./install.sh
אם ההתקנה תצליח, תקבל הודעה. כמו כן ייאמר היכן הותקן מלדט. במקרה שלי זה היה מותקן "/ usr / local / maldetect."
תְצוּרָה
לאחר התקנת Maldet, קובץ תצורה נוצר בספריית Maldet הנקראת conf.maldet. כדי לערוך אותו, פתח אותו באמצעות עורך טקסט.
gsu gedit /usr/local/maldetect/conf.maldet
או שאתה יכול להשתמש "nano" או "vi" כדי לערוך אותו במסוף:
sudo nano /usr/local/maldetect/conf.maldet
להלן דוגמה לאפשרויות שעשויות להיות מוגדרות:
הודעת דוא"ל
קבלת הודעת אימייל בעת איתור תוכנה זדונית.
- הגדר את "email_alert" ל -1.
- הוסף את כתובת האימייל שלך לאפשרות "email_addr".
- שנה את "email_ignore_clean" ל 1. זה משמש להתעלם התראות שנשלחו לך כאשר תוכנה זדונית הוא ניקה באופן אוטומטי.
אפשרויות הסגר
פעולות שיש לנקוט כאשר מתגלים תוכנות זדוניות:
- הגדר את "quarantine_hits" ל -1 כדי שהקבצים המושפעים יוסגרו באופן אוטומטי.
- הגדר את "quarantine_clean" ל 1 כדי לנקות באופן אוטומטי את הקבצים המושפעים. הגדרה זו ל 0 מאפשרת לך לבדוק תחילה את הקבצים לפני ניקוים.
- הגדרת "quarantine_suspend_user" ל- 1 תשהה משתמשים שחשבונותיהם מושפעים, ואילו "quarantine_suspend_user_minuid" מגדיר את זיהוי המשתמש המינימלי להשעייתו. זה מוגדר כ 500 כברירת מחדל אבל ניתן לשנות.
ישנן אפשרויות תצורה רבות אחרות שניתן לבצע ולבצע את השינויים הדרושים. לאחר שתסיים עם תצורה, שמור וסגור את הקובץ.
סריקת תוכנה זדונית
ניתן להפעיל סריקה בסיסית באופן ידני או להפוך סריקה להתקיים מעת לעת.
כדי להפעיל סריקה, הפעל את הפקודה הבאה:
sudo maldet --scan-all / folder / ל / סריקה
כאשר פקודה זו מופעלת, רשימת הקבצים בנויה מתוך הספריות שבשביל וסריקה של הקבצים מתחילה. שנה את נתיב הקובץ "/ folder / to / scan" לספרייה שבה ברצונך ש- Maldet תסרוק. לאחר הסריקה, נוצר דוח ולאחר מכן תוכל לראות אילו קבצים מושפעים.
כיצד להסגר קבצים מושפעים
אם תגדיר את "quarantine_hits" ל- 1, Maldet תעביר אוטומטית את הקבצים המושפעים להסגר. כאשר הוא מוגדר ל- 0, הדוח שנוצר מציג את המיקום של הקבצים המושפעים. לאחר מכן תוכל לבדוק את הקבצים ולהחליט אם לנקות אותם או לא.
שחזור קובץ
לפעמים אתה עלול להיות חיובי שקר המוביל לקובץ להיות בהסגר מהסיבה הלא נכונה. כדי לשחזר קובץ כזה, הפעל את הפקודה הבאה:
sudo maldet-restore FILENAME
סריקה אוטומטית
במהלך ההתקנה של Maldet, תכונה cronjob מותקן גם ב "/etc/cron.daily/maldet". זה יסרוק את ספריות הבית, כמו גם את כל הקבצים / תיקיות ששינו לאחרונה על בסיס יומי. זה תמיד יודיע לך על כל תוכנה זדונית באמצעות כתובת הדוא"ל בקובץ התצורה.
סיכום
אנשים רבים אומרים כי מערכות לינוקס חסינות מפני תוכנות זדוניות, אבל זה לא נכון. אתה יכול להיות מרומה לתוך התקנת תוכנות זדוניות, או תוכנות זדוניות יכול אפילו להתפשט באמצעות מיילים, וזה יגרום נזק למערכת שלך. יש גם פגיעויות רבות אחרות שבהן האקרים מנסים להשיג גישה לא מורשית, מה שהופך את המערכת לא מאובטח. כדי לשמור על בטיחותך, באפשרותך להשתמש ב- Maldet כדי לשמור על מערכת נקייה. אמצעים אחרים שניתן לנקוט כוללים הגדרת כללי ניטור רשת וחומת אש בין היתר.