Linux’ta ClamAv ile Zararlı Tespiti

Malware veya malicious software, bilgi işlem sisteminin normal işleyişini kesintiye uğratmayı amaçlayan kötü amaçlı programa verilen addır. Kötü amaçlı yazılımların en bilinen biçimleri virüsler, casus yazılımlar ve reklam yazılımları olsa da, neden olmak istedikleri zarar, özel bilgilerin çalınmasından kişisel verilerin silinmesine ve bunların arasında kalan her şeye kadar değişebilir.

Başka bir deyişle, “Herhangi bir hassas veya önemli veriyi depolamadığım için sistemlerimi kötü amaçlı yazılımlara karşı korumam gerekmiyor” diye düşünmeyi göze alamazsınız, çünkü bunlar kötü amaçlı yazılımlarrın tek hedefi değildir.

Bu yazıda, RHEL 8/7/6 ClamAV (Antivirus Engine) ile birlikte Linux Kötü Amaçlı Yazılım Algılamanın (kısaca MalDet veya LMD olarak da bilinir) nasıl kurulacağını ve yapılandırılacağını açıklayacağız. Aynı talimatlar Ubuntu ve Debian sistemlerinde de çalışır.


LMD’yi RHEL / CentOS ve Fedora’ya yükleme

LMD, çevrimiçi havuzlarda bulunmaz, projenin web sitesinden kaynak kodu olarak dağıtılır. En son sürümün kaynak kodunu içeren dosyayı, wget komutuyla aşağıdaki bağlantıdan indirebilirsiniz:

# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Daha sonra paketi açmalı ve içeriğinin çıkarıldığı dizine girmeliyiz.

Mevcut sürüm 1.6.4 olduğundan, dizin maldetect-1.6.4’tür.

Orada, install.sh kurulum komut dosyasını bulacağız.

# tar -xvf maldetect-current.tar.gz

# ls -l | grep maldetect

# cd maldetect-1.6.4 /

# ls


Yalnızca 75 satır uzunluğundaki kurulum betiğini incelersek, sadece aracı yüklemekle kalmayıp aynı zamanda varsayılan kurulum dizininin (/ usr / local / maldetect) olup olmadığını görmek için bir ön kontrol gerçekleştirdiğini göreceğiz. Eğer dizin yok ise komut dosyası devam etmeden önce kurulum dizinini oluşturur. Son olarak, kurulum tamamlandıktan sonra, cron.daily betiği /etc/cron.daily içine yerleştirilerek cron aracılığıyla günlük bir yürütme planlanır. Bu yardımcı komut dosyası, diğer şeylerin yanı sıra, eski geçici verileri temizleyecek, yeni LMD sürümlerini kontrol edecek ve varsayılan Apache ve web kontrol panellerinin varsayılan veri dizinlerini tarayacaktır. Şimdi aşağıdaki komutla kurulum dosyasını çalıştırın:

# ./install.sh

Linux Kötü Amaçlı Yazılım Algılamayı Yapılandırma

LMD’nin yapılandırması /usr/local/maldetect/conf.maldet aracılığıyla gerçekleştirilir ve yapılandırmayı kolaylaştırmak için yorum adımları ile desteklenmiştir. Eğer bir noktada takılırsanız, daha fazla bilgi için /maldetect-1.6.4/README’ye de başvurabilirsiniz.

Yapılandırma dosyasında köşeli parantezler içinde aşağıdaki bölümleri bulacaksınız:

1. E-POSTA UYARILARI

2. KARANTİN SEÇENEKLERİ

3. TARAMA SEÇENEKLERİ

4. İSTATİSTİKSEL ANALİZ

5. İZLEME SEÇENEKLERİ

Bu bölümlerin her biri, LMD’nin nasıl davranacağını ve hangi özelliklerin mevcut olduğunu gösteren birkaç değişken içerir.

1. Kötü amaçlı yazılım inceleme sonuçlarının e-posta bildirimlerini almak istiyorsanız
email_alert = 1 olarak ayarlayın. Kısaca, postaları yalnızca yerel sistem kullanıcılarına aktaracağız, ancak dışarıya posta uyarıları göndermek gibi diğer seçenekleri de keşfedebilirsiniz.

2. Daha önce email_alert = 1 ayarladıysanız email_subj = ”Konunuzu buraya” ve email_addr = username @ localhost olarak ayarlayın.

3. quar_hits ile, LMD’ye kötü amaçlı yazılım algılandığında aksiyon almanıza izin verir.(0 = yalnızca uyarı, 1 = karantinaya taşı ve uyarı)

4. quar_clean, tespit edilen enfeksiyonun temizlenmesine izin verir.

5. quar_susp,tespit edilen kullanıcılar için hesabı devre dışı bırakmanıza izin verir.

6. clamav_scan = 1, LMD’ye ClamAV tarayıcı motorunu kullanmaya izin verir.

Önemli: Lütfen quar_clean ve quar_susp’un quar_hits’in etkinleştirilmesini gerektiğini unutmayın

Özetle, bu değişkenleri içeren satırlar /usr/local/maldetect/conf.maldet içinde aşağıdaki gibi görünmelidir:

email_alert = 1

email_addr = gacanepa @ localhost

email_subj = “$ HOSTNAME için kötü amaçlı yazılım uyarıları – $ (tarih +% Y-% m-% d)”

quar_hits = 1

quar_clean = 1

quar_susp = 1

clam_av = 1

ClamAV’ı RHEL / CentOS ve Fedora’ya yükleme

Clamav_scan ayarından yararlanmak amacıyla ClamAV’ı kurmak için şu adımları izleyin:

EPEL deposunu etkinleştirin.

# yum install epel-release<br>
# yum update &amp;&amp; yum install clamd<br>

# apt update &amp;&amp; apt-get install clamav clamav-daemon  [Ubuntu/Debian]

Linux Kötü Amaçlı Yazılım Algılamayı Test Etme

Şimdi yüklediğimiz LMD / ClamAV kurulumumuzu test etme zamanı. Gerçek bir yazılım kullanmak yerine, EICAR web sitesinden indirilebilen EICAR test dosyalarını kullanacağız.

# cd / var / www / html

# wget http://www.eicar.org/download/eicar.com.txt

# wget http://www.eicar.org/download/eicar_com.zip

# wget http://www.eicar.org/download/eicarcom2.zip

Bu noktada, bir sonraki cron işinin çalışmasını bekleyebilir ya da maldet’i kendiniz çalıştırabilirsiniz. İkinci seçenekle devam edeceğiz:

# maldet --scan-all / var / www /

LMD ayrıca joker karakterleri de kabul eder, bu nedenle yalnızca belirli bir dosya türünü (örneğin, zip dosyaları) taramak istiyorsanız, bunu yapabilirsiniz:

# maldet --scan-all /var/www/*.zip

Tarama tamamlandığında, LMD tarafından gönderilen e-postayı kontrol edebilir veya aşağıdakilerle raporu görüntüleyebilirsiniz:

# maldet --report 021015-1051.3559

021015-1051.3559’un SCANID olduğu yerde (SCANID sizin durumunuzda biraz farklı olacaktır).

Karantina klasörünü kontrol ederseniz aşağıdakileri göreceğiz:

# ls -l

Daha sonra karantinaya alınan tüm dosyaları şununla kaldırabilirsiniz:

# rm -rf / usr / local / maldetect / quarantine / *

Linux malware detect yazılımını aşağıdaki linkten indirebilirsiniz.
LMD Homepage

Ayrıca şuna da bakabilirsiniz.