malware被称为恶意软件,它可以是任何脚本、应用程序或任何对我们的系统和数据有害的东西。
Linux Malware detect (LMD)是一种针对Linux的恶意软件扫描程序,是根据GNU GPLV2许可证发布的,旨在解决托管环境中面临的威胁。它使用来自网络边缘入侵检测系统的威胁数据来提取主动用于攻击的恶意软件,并生成用于检测的签名。
共享托管环境中的威胁与标准AV产品检测套件的独特之处在于,它们主要检测操作系统级特洛伊木马、rootkit和感染病毒的传统文件,但却忽略了用户帐户级别上不断增加的各种恶意软件作为攻击平台。
步骤1:下载并安装LMD
首先使用ssh客户机(例如putty)登录到服务器,然后使用以下命令下载最新的lmd源代码。
#cd / opt #wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
现在在当前目录中提取下载的存档
现在提取当前目录中下载的存档文件
#tar xfz maldetect-current.tar.gz
解压缩归档文件后,执行source中提供的install.sh脚本,该脚本将在系统中安装LMD。
#cd maldetect-1.4.2 #sh install.sh
步骤2:配置LMD
LMD创建一个配置文件/usr/local/maldetect/conf.maldet,我们可以在其中定义LMD的工作以及要采取的操作。
1、请上传下载到的淘宝客系统安装包并上传到空间根目录中进行解压,解压后将网站文件移动到根目录的位置,然后访问 /install 进行安装。您也可以在本地解压,并以二进制方式将程序上传至您的网站空间。 2、同意启科网络电子商务系统安装协议进入下一步。 3、如果系统检测环境通过,则会提示输入您的数据库服务器地址(一般为本机,即127.0.0.1或者localhost)、数据库账号、数据库密码、数据库名
#vim /usr/local/maldetect/conf.maldet
# [ EMAIL ALERTS ] ## # The default email alert toggle # [0 = disabled, 1 = enabled] email_alert=1 # The subject line for email alerts email_subj="MLD Scan Report from $(hostname)" # The destination addresses for email alerts # [ values are comma (,) spaced ] email_addr="webmaster@mydomain.com" # Ignore e-mail alerts for reports in which all hits have been cleaned. # This is ideal on very busy servers where cleaned hits can drown out # other more actionable reports. email_ignore_clean=0 ## # [ QUARANTINE OPTIONS ] ## # The default quarantine action for malware hits # [0 = alert only, 1 = move to quarantine & alert] quar_hits=1 # Try to clean string based malware injections # [NOTE: quar_hits=1 required] # [0 = disabled, 1 = clean] quar_clean=1 # The default suspend action for users wih hits # Cpanel suspend or set shell /bin/false on non-Cpanel # [NOTE: quar_hits=1 required] # [0 = disabled, 1 = suspend account] quar_susp=0 # minimum userid that can be suspended quar_susp_minuid=500
步骤3:手动开始扫描
在这个阶段,已经成功地在系统上安装和配置了LMD。让我们通过执行以下命令手动运行第一次扫描。
#maldet --scan-all / var / www / html
上面的命令将扫描/var/www/html下的所有文件和目录。根据文件的数量,完成可能需要很长时间。完成上述命令后,它将显示一个命令,以查看如下所示的报告
#maldet --report 060214-1946.24560
malware detect scan report for svr1.tecadmin.net: SCAN ID: 060214-1946.24560 TIME: May 28 19:46:12 +0530 PATH: /var/www/html/ TOTAL FILES: 4441 TOTAL HITS: 0 TOTAL CLEANED: 0 =============================================== Linux Malware Detect v1.4.2 < proj@rfxn.com >
在这个例子中,TOTAL HITS为0,所以LMD不会检测到系统上的任何恶意软件。但如果它检测到系统上的任何恶意软件,可以使用以下命令之一隔离恶意软件
# maldet --quarantine SCANID OR # maldet --clean SCANID
SCANID可以在上面生成的报告中找到。
步骤4:设置定期扫描
在安装LMD期间,它已经创建了每天执行的crontab文件。
#vi /etc/cron.daily/maldet
但是,如果系统有大量文件和目录,则可以将扫描更改为每周扫描而不是每天。
本篇文章到这里就已经全部结束了,更多其他精彩内容可以关注PHP中文网的Linux视频教程栏目!
