Linux Kötü Amaçlı Yazılım Algılama (Maldet – LMD), paylaşılan barındırılan ortamlarda karşılaşılan tehditler etrafında tasarlanmış, GNU GPLv2 lisansı altında yayınlanan Linux için bir kötü amaçlı yazılım tarayıcısıdır. Saldırılarda aktif olarak kullanılan ve tespit için imzalar oluşturan kötü amaçlı yazılımları ayıklamak için ağ ucu izinsiz giriş tespit sistemlerinden gelen tehdit verilerini kullanır. Ayrıca tehdit verileri, LMD ödeme özelliği ile kullanıcı gönderimlerinden ve kötü amaçlı yazılım topluluğu kaynaklarından da elde edilir. LMD’nin kullandığı imzalar, MD5 dosya karmaları ve HEX desen eşleşmeleridir, ayrıca ClamAV gibi herhangi bir sayıda algılama aracına kolayca aktarılabilirler.
LMD’nin arkasındaki itici güç, şu anda Linux sistemleri için kötü amaçlı yazılım tespitine odaklanan ve daha da önemlisi, doğru olana odaklanan açık kaynak/kısıtlama içermeyen araçların sınırlı kullanılabilirliğidir. Linux’ta kötü amaçlı yazılım algılaması gerçekleştiren AV ürünlerinin çoğu, özellikle paylaşılan barındırılan ortamları hedef alan tehditleri algılama konusunda çok zayıf bir geçmişe sahiptir.
Paylaşılan barındırılan ortamlardaki tehdit ortamı, öncelikle işletim sistemi düzeyinde truva atlarını, kök kullanıcı takımlarını ve geleneksel dosyaya bulaşan virüsleri algıladıkları, ancak hizmet veren kullanıcı hesabı düzeyinde giderek artan çeşitli kötü amaçlı yazılımları kaçırdıkları için standart AV ürünleri algılama paketinden benzersizdir. bir saldırı platformu olarak
Çok kullanıcılı paylaşılan ortamlarda kötü amaçlı yazılım tespiti ve düzeltmesi için kullanılabilen ticari ürünler berbat durumda. LMD 1.5 tarafından 30 ticari anti-virüs ve kötü amaçlı yazılım ürününe karşı tespit edilen 8.883 kötü amaçlı yazılım karma analizi, ticari çözümlerin ne kadar kötü performans gösterdiğinin bir resmini çiziyor.
Ön Gereksinimler
Eğer henüz sunucunuz yok ise Narweb.net uygun fiyatlı ve yüksek performanslı VDS sunucularımıza göz atabilirsiniz.
- Ubuntu 20.04 Sunucu. (Sunucunuzu kurduktan sonra ilk yapmanız gerekenleri bu yazımızda bulabilirsiniz: https://blog.narweb.net/ubuntu-20-04-sunucu-ilk-yapilmasi-gerekenler/)
- Root erişimi ya da sudo yetkili bir kullanıcı.
Sunucu Üzerinde Gerekli Paketlerin Kurulumu
Kurulumdan önce sunucuyu kurmamız ve gerekli paketleri kurmamız gerekiyor.
- Sunucuyu güncelleyin ve yükseltin.
apt update -y && apt upgrade -y- wget paketini kurun.
apt install wget -yLMD (Maldet) Kurulumu
Maldet’i sunucuya kurmak için aşağıdaki adımları çalıştırın.
- Sunucuya root kullanıcısı ile bağlanmadıysanız, aşağıdaki komut ile root olun
sudo su- Geçerli çalışma dizinini değiştirin.
cd /opt/- En son LMD (Maldet) paketini indirin. (Proje websitesi: https://www.rfxn.com/projects/linux-malware-detect/)
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz- tar dosyasını açın.
tar xfz maldetect-current.tar.gz- Tar dosyasının sıkıştırılıp sıkıştırılmadığını kontrol etmek için aşağıdaki komutu çalıştırın.
ls -lÇıktıyı bu şekilde göreceksiniz.
- Şimdi mevcut çalışma dizinini çıkarılan dosyaya değiştirin.
cd maldetect-1.6.4- Kurulum komut dosyasını çalıştırın.
./install.sh- Kurulum tamamlandığında aşağıdaki gibi bir çıktı almanız gerekiyor:
Maldet LMD Söz Dizimi
Maldet’in Sözdizimi aşağıdaki gibidir:
maldet [OPTION] [Directory Path]
Maldet seçeneklerinin açıklaması:
- -a (–scan-all PATH) : Bu seçenek, yoldaki tüm dosyaları taramak için kullanılır.
- -u (–update) : Bu seçenek, rfxn.com’dan kötü amaçlı yazılım algılama imzasını güncellemek için kullanılır.
- -b (–background) : Bu seçenek, işlemleri arka planda yürütmek için kullanılır.
- -k (–kill) : Bu seçenek, inotify izleme hizmetlerini sonlandırmak için kullanılır.
- -d (–update-ver) : Bu seçenek, Maldet sürümünü rfxn.com’dan güncellemek için kullanılır.
- -m (–monitor USERS|PATHS|FILE) : Bu seçenek, maldet’i inotify çekirdek düzeyinde dosya oluşturma/değiştirme izleme ile çalıştırmak için kullanılır.
- -r (–scan-recent PATH DAYS) : Bu seçenek, son X gün içinde oluşturulan/değiştirilen dosyaları taramak için kullanılır (varsayılan: 7d, joker karakter: ?)
- -l (–log) : Bu seçenek, Maldet günlük dosyası olaylarını kontrol etmek için kullanılır.
- -c (–checkout FILE) : Bu seçenek, şüpheli kötü amaçlı yazılımı inceleme ve imzalara dönüştürme için rfxn.com’a yükleyin
- -e (–report SCAN ID email) : Bu seçenek, en son taramanın veya belirli bir TARAMA Kimliğinin tarama raporunu görüntülemek ve isteğe bağlı olarak raporu sağlanan bir e-posta adresine e-posta ile göndermek için kullanılır. Örnek – maldet –report, maldet –report list, maldet –report 874510-157434.745635, maldet –report SCAN ID user@domain.com
- -s (–restore FILE|SCAN ID) : Bu seçenek, dosyayı karantina kuyruğundan orijinal yola geri yüklemek veya belirli bir TARAMA Kimliğinden tüm öğeleri geri yüklemek için kullanılır, maldet –restore /usr/local/maldetect/quarantine/config.php.23754, maldet –restore 874510-157434.745635
- -p (–purge) : Bu seçenek, günlükleri, oturumu ve geçici verileri temizlemek için kullanılır.
- -U (–user USER) : Bu seçenek, belirtilen kullanıcı altında yürütmeyi ayarlamak için kullanılır; bu, kullanıcı karantinasından geri yüklemek veya kullanıcı raporlarını görüntülemek için idealdir. Örnek – maldet –user nobody –report, maldet –user nobody –restore 050910-1534.21135.
- -q (–quarantine SCAN ID) : Bu seçenek, rapordaki tüm kötü amaçlı yazılımları karantinaya almak için kullanılır.
- -n (–clean SCAN ID) : Bu seçenek, kötü amaçlı yazılım isabetlerini rapordan temizlemek ve geri yüklemek için kullanılır.
Maldet LMD’i yapılandırın
Maldet’i daha iyi performans için yapılandırmamız gerekiyor.
- /usr/local/maldetect/conf.maldet konumunda bulunan yapılandırma dosyasını açın ve düzenleyin
sudo nano /usr/local/maldetect/conf.maldetAşağıda gösterildiği gibi yapılandırma dosyasını bulun ve güncelleyin.
# E-posta bildirimini etkinleştirmek için.
email_alert="1"
# E-posta bildirimi almak istediğiniz e-posta adresini belirtin.
email_addr="user@domain.com"
# Maldet LMD imza otomatik güncellemesini etkinleştirin.
autoupdate_signatures="1"
# Maldet LMD kurulumunun otomatik güncellemelerini etkinleştirin.
autoupdate_version="1"
# Günlük otomatik taramayı etkinleştirin.
cron_daily_scan="1"
# Root olmayan kullanıcıların tarama yapmasına izin verir.
scan_user_access="1"
# isabetleri karantinaya al ve uyar
quarantine_hits="1"
# Dize tabanlı kötü amaçlı yazılım enjeksiyonlarını temizleyin.
quarantine_clean="0"Değişiklikleri kaydedin ve dosyadan çıkın.
Maldet LMD ile Dizini Tara
- Kötü amaçlı yazılım algılama imzasını güncelleyin.
maldet -u- Maldet LMD sürüm güncellemesini kontrol edin.
maldet -d- Home dizini taramak . -a özelliğinden sonra, yoldan az önce bahsedilen herhangi bir dizini tarayabilirsiniz.
sudo maldet -a /home/Yukarıdaki komutu yürüttükten sonra bir rapor kimliği alacaksınız.
- Maldet LMD Raporunu görmek için aşağıdaki komutu çalıştırın.
sudo maldet --report 220925-1736.25653
- Taranan rapor yardımıyla virüslü dosyaları karantinaya almak için aşağıdaki komutu çalıştırın.
sudo maldet -q 220925-1736.25653Kötü amaçlı yazılımı daha önce taranmış bir rapordan kaldırmak veya temizlemek istiyorsanız, aşağıdaki komutu izleyin.
- Önceki taranmış bir rapordan etkilenen dosyaları kaldırmak veya temizlemek için.
maldet --clean 220925-1736.25653Dizini Arka Planda Maldet LMD ile Tara
Dosyanın veya dizinin boyutu büyükse, maldet tarama işlemini arka planda çalıştırmamız gerekir.
- Dosyaları veya dizinleri arka planda taramak için -b özelliğiyle maldet komutunu çalıştırın.
Örneğin, aşağıdaki komutta / arka planda tarayacağız
sudo maldet -b -a /Çıktıyı aşağıdaki resimde gösterildiği gibi alacaksınız.
- Arka plan taramasının durumunu kontrol edin, sadece aşağıdaki komutu çalıştırın.
tail -f /usr/local/maldetect/logs/event_logÇıktı ekranını bu şekilde göreceksiniz, sonunda tarama tamamlandıysa bir –report ID göreceksiniz.
Raporu görmek için Rapor Kimliği ile aşağıdaki komutu çalıştırın:
sudo maldet --report 220925-1741.26214Günlükleri ve Geçici verileri temizle
- Önceki taramadan günlükleri, karantina kuyruğunu, oturumu ve geçici verileri temizlemek için aşağıdaki komutu çalıştırın:
sudo maldet -p- Aşağıdaki çıktı ekranını göreceksiniz:
- Günlük verilerinin kaldırılıp kaldırılmadığını doğrulamak için aşağıdaki komutu çalıştırın:
sudo maldet -lBitirirken
Bu yazımızda, Maldet LMD farklı özellikleriyle nasıl kuracağımızı ve kullanacağımızı öğrendik. Maldet LMD, Linux işletim sisteminde kullanılan en popüler malware (kötü amaçlı yazılım) tarama programlarından biridir.
Bu yazımızı beğendiyseniz, bu yazılarımız da ilginizi çekecektir: