Phần mềm độc hại là cách gọi chỉ định cho bất kỳ chương trình nào nhằm làm gián đoạn hoạt động bình thường của một hệ thống máy tính. Mặc dù các loại phần mềm độc hại nổi tiếng nhất là virus, spyware và adware, nhưng nguy cơ gây ra có thể là từ việc ăn cắp thông tin cá nhân để xóa dữ liệu cá nhân, trong khi một phần mềm độc hại điển hình khác là kiểm soát hệ thống để sử dụng nó để khởi động/tham gia botnet trong cuộc tấn công (D)DoS.
Nói cách khác, bạn không thể nghĩ rằng "Tôi không cần phải bảo vệ hệ thống của tôi khỏi phần mềm độc hại bởi vì tôi không lưu trữ bất kỳ dữ liệu nhạy cảm hoặc quan trọng nào" bởi vì đây không phải là mục tiêu duy nhất của phần mềm độc hại.
Vì lý do đó, trong bài này chúng tôi sẽ Hướng dẫn cách cài đặt và cấu hình Linux Malware Detect (hay còn gọi là MalDet hay LMD) cùng với ClamAV (Antivirus Engine) trong RHEL 7.0 / 6.x (trong đó x là số phiên bản), CentOS 7.0 / 6.x và Fedora 21-12.
Là một phần mềm quét mã độc được phát hành theo giấy phép GPL v2, được thiết kế đặc biệt cho môi trường lưu trữ. Tuy nhiên, bạn sẽ nhanh chóng nhận ra rằng bạn sẽ được hưởng lợi từ MalDet bất kể loại môi trường bạn đang dùng.
Cài đặt LMD trên RHEL/CentOS 7.0/6.x hoặc Fedora 21-12
LMD không có sẵn từ các kho phần mềm lưu trữ trực tuyến của Hệ Điều Hành (Repo), nhưng được phân phối như là một kho lưu trữ trực tuyến từ trang web của dự án. Bộ mã nguồn của phiên bản mới nhất luôn có sẵn tại liên kết sau đây, có thể được tải miễn phí:
# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
Sau đó chúng ta cần phải giải nén bộ sources và chuyển thư mục chứa file cài đặt install.sh
# tar -xvf maldetect-current.tar.gz # ls -l | grep maldetect
Chạy file cài đặt:
# ./install.sh
Cấu hình của LMD được chứa ở đường dẫn /usr/local/maldetect/conf.maldet Và tất cả các tùy chọn được chú thích khá rõ để cấu hình khá dễ dàng. Hoặc bạn cũng có thể tham khảo chi tiết hơn nữa ở /usr/local/src/maldetect-1.4.2/README
Trong file cấu hình, bạn sẽ tìm thấy các phần sau, kèm theo dấu ngoặc vuông bên trong:
- EMAIL ALERTS
- QUARANTINE OPTIONS
- SCAN OPTIONS
- STATISTICAL ANALYSIS
- MONITORING OPTIONS
Mỗi phần trong số này chứa một số biến cho biết LMD sẽ hoạt động như thế nào và những tính năng nào có hỗ trợ.
- email_alert=1 Nếu bạn muốn nhận thông báo qua email về kết quả kiểm tra phần mềm độc hại. Chỉ nên chuyển tiếp thư tới người dùng hệ thống cục bộ
- email_subj=”Tiêu đề Email báo cáo của bạn ở đây” và email_addr=username@domain.com nếu bạn đã thiết lập email_alert=1.
- Với quar_hits, hành động mặc định khi phát hiện phần mềm độc hại (0 = chỉ thông báo, 1 = di chuyển file nhiễm tới thư mục quarantine & thông báo)
- quar_clean sẽ cho phép bạn có muốn kiểm tra và xử lí các phần mềm độc hại loại dựa trên một chuỗi dữ liệu hay không (string-based)
- quar_susp, sẽ cho phép bạn vô hiệu (khoá toàn bộ truy cập) của tài khoản có các file sở hữu đã được xác định là bị nhiễm.
- clamav_scan=1 sẽ cho biết LMD sử dụng ClamAV là công cụ quét mặc định. Điều này cho phép thực hiện quét nhanh hơn đến bốn lần và phân tích hex cao hơn. Tùy chọn này chỉ sử dụng khi đã cài đặt ClamAV ,còn không thỉ chỉ dùng cở sở dữ liệu của LMD
Quan trọng: lưu ý rằng quar_clean và quar_susp phải yêu cầu kích hoạt quar_hits (= 1).
Cài đặt ClamAV trên RHEL/CentOS 7.0/6.x hoặc Fedora 21-12
Tạo file repo /etc/yum.repos.d/dag.repo:
[dag] name=Dag RPM Repository for Red Hat Enterprise Linux baseurl=http://apt.sw.be/redhat/el$releasever/en/$basearch/dag/ gpgcheck=1 gpgkey=http://dag.wieers.com/packages/RPM-GPG-KEY.dag.txt enabled=1
Sau đó cài đặt:
# yum update && yum install clamd
Thử nghiệm Linux Malware Detect
Quét thử một file malware để thử nghiệm
# cd /var/www/html # wget http://www.eicar.org/download/eicar.com # wget http://www.eicar.org/download/eicar.com.txt # wget http://www.eicar.org/download/eicar_com.zip # wget http://www.eicar.org/download/eicarcom2.zip
Bạn có thể lập lịch hẹn việc quét bằng cron để chạy, hoặc quét ngay bằng tay. Vd khi quét bằng tay:
# maldet --scan-all /var/www/
LMD cũng chấp nhận các ký tự đại diện, vì vậy nếu bạn chỉ muốn quét một loại file nhất định (ví dụ: các file zip), bạn có thể làm như vậy:
# maldet --scan-all /var/www/*.zip
Khi quá trình quét hoàn tất, bạn có thể kiểm tra email đã được gửi bởi LMD hoặc xem lại báo cáo với:
# maldet --report 021015-1051.3559
Với 021015-1051.3559 là SCANID (SCANID sẽ khác nhau trong mỗi lần quét).
Bạn kiểm tra sẽ thấy các file Malware mẫu đã bị di chuyển đến thư mục cách ly của LMD, hoặc sau đó bạn có thể xoá luôn các file nhiễm này:
# rm -rf /usr/local/maldetect/quarantine/*
Trường hợp cấu hình LMD chỉ báo khi phát hiện, nếu bạn quyết định xoá sau khi đã xem report, chạy lệnh:
# maldet --clean SCANID
