Linux Malware Detect и ClamAV: устанавливаем защиту от вирусов на VPS
Каждая система на Linux нуждается в антивирусной защите, даже если в ней не хранятся важные данные. Ведь вредоносное ПО способно самыми разными способами наносить ущерб владельцам виртуальных серверов. Один из вариантов защиты от всех видов вмешательства в работу системы — это установка Linux Malware Detect (сокращённо — LMD) и ClamAV. Об установке и настройке этих инструментов на CentOS 7.0/6.x, Fedora 21-12 и RHEL 7.0/6.x мы расскажем далее.
Установка LMD
Linux Malware Detect не доступен в онлайн-репозиториях, но его можно скачать в виде архива на официальном сайте. Файл с исходным кодом последней версии LMD доступен по следующей ссылке:
# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
После скачивания архив необходимо распаковать и зайти в папку, куда было помещено всё содержимое. Папка должна иметь название «maldetect-x.x.x». Используйте эти команды:
# tar -xvf maldetect-current.tar.gz
# ls -l | grep maldetect
Таким образом, вы увидите как называется директория, необходимая для установки. Чтобы зайти в неё, нужно будет ввести следующую команду:
# cd maldetect-x.x.x
Здесь «x.x.x» означает номер актуальной на данный момент версии LMD.
В директории будет находиться скрипт install.sh. Скрипт не только проводит установку, но и проверяет наличие папки для установки (/usr/local/maldetect). Если она не обнаруживается, скрипт создаёт её автоматически.
После установки начинается настройка ежедневной проверки системы с помощью скрипта cron.daily, который находится в /etc/cron.daily. Он предназачен для удаления временных файлов, для проверки обновлений LMD, а также для сканирования панели Apache и веб-панелей по типу cPanel, DirectAdmin и других.
Затем запустите скрипт установки стандартным образом:
# ./install.sh
Настройка LMD
Linux Malware Detect настраивается через /usr/local/maldetect/conf.maldet. Все опции подробно прокомментированы, но если всё же возникнут сложности, можно обратиться за помощью к /usr/local/src/maldetect-1.4.2/README.
В файле конфигурации находятся следующие параметры:
- EMAIL ALERTS
- QUARANTINE OPTIONS
- SCAN OPTIONS
- STATISTICAL ANALYSIS
- MONITORING OPTIONS
В каждом из них следует установить нужные значения.
- Установите
email_alert=1, если вы хотите получать письма с результатами проверки на электронную почту. Также для этого заполните параметрыemail_subj=”Тема”иemail_addr=example@example.com. - С помощью параметра
quar_hitsвы можете настроить использование карантина. Укажите «1», если хотите помещать подозрительные файлы в карантин, или укажите «0», если это не потребуется. quar_cleanпоможет очистить вредоносный код, аquar_suspудалит аккаунт-источник заражения. Для их использования необходимо включение параметраquar_hits.- Параметр
clamav_scan=1запустит проверку в LMD на наличие ClamAV и на его использование в качестве инструмента для сканирования. Это позволит проводить проверки то четырёх раз быстрее и эффективнее. Таким образом, ClamAV будет использоваться для сканирования, а LMD - для обнаружения угроз.
В итоге строки со всеми переменными в /usr/local/maldetect/conf.maldet должны иметь примерно такой вид:
email_alert=1
email_addr=test@jino.ru
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quar_hits=1
quar_clean=1
quar_susp=1
clam_av=1
Установка ClamAV
Чтобы использовать параметр clamav_scan в LMD, необходимо установить ClamAV. Для этого создайте файл /etc/yum.repos.d/dag.repo:
[dag]
name=Dag RPM Repository for Red Hat Enterprise Linux
baseurl=http://apt.sw.be/redhat/el$releasever/en/$basearch/dag/
gpgcheck=1
gpgkey=http://dag.wieers.com/packages/RPM-GPG-KEY.dag.txt
enabled=1
Затем выполните команду:
# yum update && yum install clamd
Этих действий будет достаточно для интеграции ClamAV с LMD.
Тестирование LMD
Теперь пришло время проверить корректность установки Linux Malware Detect и ClamAV. Для этого можно использовать тестовые файлы от EICAR, которые имитируют вирусы:
# cd /var/www/html
# wget http://www.eicar.org/download/eicar.com
# wget http://www.eicar.org/download/eicar.com.txt
# wget http://www.eicar.org/download/eicar_com.zip
# wget http://www.eicar.org/download/eicarcom2.zip
Дальше вы можете подождать, пока проверка запустится автоматически, или же самостоятельно выполнить команду maldet:
# maldet --scan-all /var/www/
Вы можете запустить сканирование не только всех файлов, но и файлов определённого формата, например, .zip:
# maldet --scan-all /var/www/*.zip
По окончании проверки проверьте почту или получите отчёт тут же с помощью соответствующей команды:
# maldet --report 021015-1051.3559
“021015-1051.3559” — это ScanID, у вас он будет отличаться.
Если всё было выполнено верно, то появится уведомление о наличии в системе вредоносного ПО. Проверить папку карантина можно с помощью команды:
# ls -l
Все файлы из карантина удаляются таким образом:
# rm -rf /usr/local/maldetect/quarantine/*
А затем используйте команду:
# maldet --clean SCANID
Так как maldet работает в связке с cron, для запуска ежедневных проверок необходимо прописать в crontab в root (наберите crontab -e как root и нажмите Enter) следующие параметры:
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
SHELL=/bin/bash
Это поможет получить нужную информацию для отладки.