Linux Malware Detect и ClamAV: устанавливаем защиту от вирусов на VPS

Каждая система на Linux нуждается в антивирусной защите, даже если в ней не хранятся важные данные. Ведь вредоносное ПО способно самыми разными способами наносить ущерб владельцам виртуальных серверов. Один из вариантов защиты от всех видов вмешательства в работу системы — это установка Linux Malware Detect (сокращённо — LMD) и ClamAV. Об установке и настройке этих инструментов на CentOS 7.0/6.x, Fedora 21-12 и RHEL 7.0/6.x мы расскажем далее.

Установка LMD

Linux Malware Detect не доступен в онлайн-репозиториях, но его можно скачать в виде архива на официальном сайте. Файл с исходным кодом последней версии LMD доступен по следующей ссылке:

# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

После скачивания архив необходимо распаковать и зайти в папку, куда было помещено всё содержимое. Папка должна иметь название «maldetect-x.x.x». Используйте эти команды:

# tar -xvf maldetect-current.tar.gz
# ls -l | grep maldetect

Таким образом, вы увидите как называется директория, необходимая для установки. Чтобы зайти в неё, нужно будет ввести следующую команду:

# cd maldetect-x.x.x

Здесь «x.x.x» означает номер актуальной на данный момент версии LMD.

В директории будет находиться скрипт install.sh. Скрипт не только проводит установку, но и проверяет наличие папки для установки (/usr/local/maldetect). Если она не обнаруживается, скрипт создаёт её автоматически.

После установки начинается настройка ежедневной проверки системы с помощью скрипта cron.daily, который находится в /etc/cron.daily. Он предназачен для удаления временных файлов, для проверки обновлений LMD, а также для сканирования панели Apache и веб-панелей по типу cPanel, DirectAdmin и других.

Затем запустите скрипт установки стандартным образом:

# ./install.sh

Настройка LMD

Linux Malware Detect настраивается через /usr/local/maldetect/conf.maldet. Все опции подробно прокомментированы, но если всё же возникнут сложности, можно обратиться за помощью к /usr/local/src/maldetect-1.4.2/README.

В файле конфигурации находятся следующие параметры:

• EMAIL ALERTS
• QUARANTINE OPTIONS
• SCAN OPTIONS
• STATISTICAL ANALYSIS
• MONITORING OPTIONS

В каждом из них следует установить нужные значения.

• Установите email_alert=1, если вы хотите получать письма с результатами проверки на электронную почту. Также для этого заполните параметры email_subj=”Тема” и email_addr=example@example.com.
• С помощью параметра quar_hits вы можете настроить использование карантина. Укажите «1», если хотите помещать подозрительные файлы в карантин, или укажите «0», если это не потребуется.
• quar_clean поможет очистить вредоносный код, а quar_susp удалит аккаунт-источник заражения. Для их использования необходимо включение параметра quar_hits.
• Параметр clamav_scan=1 запустит проверку в LMD на наличие ClamAV и на его использование в качестве инструмента для сканирования. Это позволит проводить проверки то четырёх раз быстрее и эффективнее. Таким образом, ClamAV будет использоваться для сканирования, а LMD - для обнаружения угроз.

В итоге строки со всеми переменными в /usr/local/maldetect/conf.maldet должны иметь примерно такой вид:

email_alert=1
email_addr=test@jino.ru
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quar_hits=1
quar_clean=1
quar_susp=1
clam_av=1

Установка ClamAV

Чтобы использовать параметр clamav_scan в LMD, необходимо установить ClamAV. Для этого создайте файл /etc/yum.repos.d/dag.repo:

[dag]
name=Dag RPM Repository for Red Hat Enterprise Linux
baseurl=http://apt.sw.be/redhat/el$releasever/en/$basearch/dag/
gpgcheck=1
gpgkey=http://dag.wieers.com/packages/RPM-GPG-KEY.dag.txt
enabled=1

Затем выполните команду:

# yum update && yum install clamd

Этих действий будет достаточно для интеграции ClamAV с LMD.

Тестирование LMD

Теперь пришло время проверить корректность установки Linux Malware Detect и ClamAV. Для этого можно использовать тестовые файлы от EICAR, которые имитируют вирусы:

# cd /var/www/html
# wget http://www.eicar.org/download/eicar.com
# wget http://www.eicar.org/download/eicar.com.txt
# wget http://www.eicar.org/download/eicar_com.zip
# wget http://www.eicar.org/download/eicarcom2.zip

Дальше вы можете подождать, пока проверка запустится автоматически, или же самостоятельно выполнить команду maldet:

# maldet --scan-all /var/www/

Вы можете запустить сканирование не только всех файлов, но и файлов определённого формата, например, .zip:

# maldet --scan-all /var/www/*.zip

По окончании проверки проверьте почту или получите отчёт тут же с помощью соответствующей команды:

# maldet --report 021015-1051.3559

“021015-1051.3559” — это ScanID, у вас он будет отличаться.

Если всё было выполнено верно, то появится уведомление о наличии в системе вредоносного ПО. Проверить папку карантина можно с помощью команды:

# ls -l

Все файлы из карантина удаляются таким образом:

# rm -rf /usr/local/maldetect/quarantine/*

А затем используйте команду:

# maldet --clean SCANID

Так как maldet работает в связке с cron, для запуска ежедневных проверок необходимо прописать в crontab в root (наберите crontab -e как root и нажмите Enter) следующие параметры:

PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
SHELL=/bin/bash

Это поможет получить нужную информацию для отладки.