31111111111Rating 3.00 (1 Vote)

Данный скрипт (LMD) предназначен для сканирования и обнаружения вредоносного кода, может работать вместе с ClamAV, по факту обнаружения есть возможность указать различные действия, напрмер:

  • Отправить уведомление
  • Поместить в карантин

Установка Linux Malware Detect

В репозиториях данный пакет отсутсвтует, поэтому его необходимо устаналивать в ручную, процесс установки достаточно прост, загужаем архив с последней версией:

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Затем распаковываем, переходим в каталог установки и устанавливаем:

tar -xvf maldetect-current.tar.gz

Смотрим нужный каталог:

ls -l | grep mald
drwxr-x--- 4 root root 4096 Apr 12 2014 maldetect-1.4.2
-rw-r--r-- 1 root root 1762295 Feb 23 04:00 maldetect-current.tar.gz

Переходим в него:

cd maldetect-1.4.2/

И устанавливаем запуская install.sh:

./install.sh
...

installation completed to /usr/local/maldetect
config file: /usr/local/maldetect/conf.maldet
exec file: /usr/local/maldetect/maldet
exec link: /usr/local/sbin/maldet
exec link: /usr/local/sbin/lmd
cron.daily: /etc/cron.daily/maldet

Так же maldet'у нужен инструмент inotify-tools, устанавливается следующим образом - yum install inotify-tools

Редактируем файлы:

  • /etc/sysconfig/maldet
  • /usr/local/maldetect/conf.maldet

Где раскомментируем указываем параметры режим работы монитора, а так же настройки отправки уведомлений и карантина (так жестатья по теме)

Конфигурируем уведомления, помещение в карантин, использование ClamAV (если он установлен):

email_alert=1
email_addr="root"
email_subj="Maldet alert from $(hostname) - $(date +%d-%m-%Y)"
quar_hits=1
quar_clean=1
quar_susp=1
clam_av=1

Тестирование Linux Malware Detect

Создаем и переходим в папку для теста:

mkdir /tmp/test
cd /tmp/test

Грузим в нее тестовые вирусы:

wget http://www.eicar.org/download/eicar.com
wget http://www.eicar.org/download/eicar.com.txt
wget http://www.eicar.org/download/eicarcom2.zip

Сканируем:

maldet -a /tmp/test

При необходимости просматриваем отчет используя команду:

maldet --report номер_отчета

Номер отчета содержится в результатах сканирования, выведенных на экран

Как удалить LMD

 

Добавить комментарий


Защитный код
Обновить

Сейчас 249 гостей и ни одного зарегистрированного пользователя на сайте

Вверх
Вниз