在 Linux 上安装和使用恶意软件检测工具 LMD 及杀毒引擎 ClamAV

Linux恶意软件检测工具(又叫 MalDet,或简称 LMD)和 ClamAV (反病毒引擎).是一款采用 GPL v2 许可证发布的一款恶意软件扫描工具,专门为主机托管环境而设计.

安装

LMD无法从在线软件库获得,而是以打包文件的形式从项目官方网站分发.打包文件含有最新版本的源代码.

# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
# tar -xvf maldetect-current.tar.gz
# ls -l | grep maldetect
# cd maldetect-1.6.3/
# ./install.sh

安装完成后,只要将 cron.daily 脚本放入到 /etc/cron.daily,就可以排定通过 cron(计划任务)的每天执行。

配置

LDM 的配置文件位于 /usr/local/maldetect/conf.maldet.选项都进行了充分的注释.如果有哪里不明白的,可以参阅/usr/local/src/maldetect-1.4.2/README.

在配置文件中,你会找到以下部分:

• EMAIL ALERTS(邮件提醒)
• QUARANTINE OPTIONS(隔离选项)
• SCAN OPTIONS(扫描选项)
• STATISTICAL ANALYSIS(统计分析)
• MONITORING OPTIONS(监控选项)

每个部分都含有几个变量,表明LMD会如何运行,有哪些功能特性可以使用.

• email_alert 通知检测结果的邮件,如果已设置了 email_alert=1,设置 email_subj=”Your subject here” 和email_addr=username@localhost.
• quar_hits 对恶意软件袭击的默认隔离操作(0:仅仅提醒,1:转而隔离并提醒).
• quar_clean 是否清理基于字符串的恶意软件注入 (需要quar_hits被启用).
• quar_susp 针对遭到袭击的用户采取的默认暂停操作,让你可以禁用其所属文件已被确认为遭到袭击的帐户 (需要quar_hits被启用).
• clamav_scan=1 将告诉 LMD 试图检测有无存在 ClamAV 二进制代码,并用作默认扫描器引擎.这可以获得最多快出四倍的扫描性能和出色的十六进制分析.这个选项只使用ClamAV作为扫描器引擎,LMD特征仍是检测威胁的基础.

安装 ClamAV

# yum -y install clamav clamav-devel

clamAV 位于 Epel 存储库中,如果没有找到,执行以下命令:

# yum -y install epel-release

更新病毒库

# freshclam

检测

使用EICAR测试文件(http://www.eicar.org/86-0-Intended-use.html)，这些文件可从EICAR网站下载获得

# cd /var/www/html
# wget http://www.eicar.org/download/eicar.com
# wget http://www.eicar.org/download/eicar.com.txt
# wget http://www.eicar.org/download/eicar_com.zip
# wget http://www.eicar.org/download/eicarcom2.zip

手动执行maldet

# maldet --scan-all /var/www/

LMD还接受通配符，所以如果你只想扫描某种类型的文件(比如说zip文件)，就可以这么做：

# maldet --scan-all /var/www/*.zip

扫描完成后，你可以查阅LMD发送过来的电子邮件，也可以用下列命令查看报告：

# maldet --report 021015-1051.3559

删除所有的隔离文件

# rm -rf /usr/local/maldetect/quarantine/*
# maldet --clean SCANID

由于 maldet 需要与 cron 整合起来,你就需要在 root 的 crontab 中设置下列变量(以root用户的身份键入crontab –e，并按回车键),这可以为提供必要的调试信息：

PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
SHELL=/bin/bash