maldet
VIP Members
-
31/08/2016
-
112
-
103 bài viết
Quét malware trên VPS với Maldet tích hợp ClamAV
Maldet là một phần mềm dùng để phát hiện và diệt malware cho các bản phân phối của Linux (như Ubuntu, CentOS, Fedora…), được phát hành theo giấy phép GNU GPLv2. Maldet v1.5 được phát hành vào 19/9/2015 là bản mới nhất của phần mềm này.
Sau đây mình xin hướng dẫn các bạn cài Maldet trên Ubuntu. Về cơ bản thì các bản phân phối khác cách cài đặt sẽ gần tương tự.
1. Cài đặt Maldet
Để cài đặt Maldet, trước hết, ta mở Terminal, sau đó lần lượt chạy các lệnh sau đây.
Tải về tập tin nén của Maldet
# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
Giải nén tập tin vừa tải về
# tar -zxvf maldetect-current.tar.gz
Di chuyển đến thư mục đã giải nén
# cd maldetect-1.5
Cài đặt Maldet
# sudo ./install.sh
2. Cấu hình Maldet
Để sử dụng Maldet cho phù hợp với nhu cầu của mình, trước hết, ta phải cấu hình nó. Tất cả thông tin về cấu hình của Maldet được lưu trữ tại:
/usr/local/maldetect/conf.maldet
Một số thông tin cấu hình quan trọng cho Maldet như sau:
email_alert=1 (bật cảnh báo qua email)
[email protected] (địa chỉ email mà Maldet sẽ gửi cảnh báo)
autoupdate_signatures="1" (tự động cập nhật chữ ký số)
autoupdate_version="1" (tự động cập nhật phiên bản)
scan_min_filesize="24" và scan_max_filesize="768k" (giới hạn về kích thước tập tin quét)
scan_clamscan="1" (dùng ClamAV làm scan engine nếu đã cài ClamAV)
scan_user_access="1" (cho phép quét với user không root)
quarantine_hits="1" (chuyển tập tin bị phát hiện đến thư mục cách ly và bật cảnh báo)
quarantine_clean="1" (nếu quarantine_hits="1" sẽ tự động xóa luôn tập tin bị nhiễm mã độc)
3. Cài đặt thư viện ClamAV
Cài đặt thư viện ClamAV sẽ giúp cho Maldet quét mã độc nhanh hơn và hiệu quả hơn.
Các bước cài đặt ClamAV như sau:
# sudo apt-get install clamav clamav-daemon
Cập nhật cơ sở dữ liệu của ClamAV
# sudo freshclam
4. Quét mã độc bằng Maldet (tích hợp ClamAV)
a. Tải mẫu mã độc để quét thử
Thay vì dùng mã độc thật, ta sẽ sử dụng mẫu thử được cung cấp trên trang web của EICAR (eicar.org). Ta tạo một thư mục “test” để lưu trữ mẫu thử tải về.
Lần lượt thực hiện các lệnh sau:
Di chuyển đến thư mục “test”
# cd /home/canh/test
Tải về các tập tin eicar.com, eicar.com.txt, eicar_com.zip, eicarcom2.zip
# wget http://www.eicar.org/download/eicar.com && wget http://www.eicar.org/download/eicar.com.txt && wget http://www.eicar.org/download/eicar_com.zip && wget http://www.eicar.org/download/eicarcom2.zip
b. Quét mã độc
Sau khi đã có mẫu thử ta có thể sử dụng các lệnh sau để quét mã độc hoặc thực hiện các thao tác khác theo ý muốn. Mỗi lượt quét mã độc, Maldet sẽ tạo một SCANID tương ứng để người dùng dễ xử lí. Cú pháp chung để sử dụng Maldet là: # maldet [options] /path/to/scan
a. –b, --background
Thực hiện quét dưới nền, phù hợp để quét số lượng lớn tập tin.
b. –u, --update-sigs
Cập nhật chữ ký của Maldet.
c. –d, --update-ver
Cập nhật phiên bản của Maldet.
d. –f, --files-list
Quét theo các tập tin cụ thể, đường dẫn cụ thể.
e. –r, --scan-recent PATH DAYS
Quét các tập tin được tạo mới hoặc thay đổi theo đường dẫn PATH trong DAYS ngày gần đây.
f. –a, --scan-all PATH
Quét toàn bộ các tập tin theo đường dẫn PATH.
g. –c, --checkout FILE
Tải lên mã độc bị nghi ngờ lên trang rfxn.com để tác giả kiểm tra.
h. –l, --log
Xem nhật ký sự kiện của Maldet.
i. –e, --report SCANID email
Xem báo cáo quét của những lượt quét gần đây, xem theo SCANID cụ thể, tự động gửi báo cáo qua email,…
j. –m, --monitor USERS|PATHS|FILE
Theo dõi các file được tạo mới/chỉnh sửa theo user, đường dẫn, file với kernel inotify được cài đặt.
k. –k, --kill
Kill tiến trình monitor đang chạy.
l. –s, --restore FILE|SCANID
Khôi phục lại tập tin bị cách ly về vị trí cũ hoặc khôi phục tất cả các tập tin bị cách ly theo SCANID cụ thể.
m. sudo rm -rf /usr/local/maldetect/quarantine/*
Xóa tất cả mã độc đã cách ly.
n. -co, --config-option VAR1=VALUE,VAR2=VALUE,VAR3=VALUE
Tùy chỉnh conf.maldet theo từng thông số.
o. –p, --purge
Xóa tất cả nhật ký, dữ liệu tạm thời,… của Maldet.
Sau đây mình xin hướng dẫn các bạn cài Maldet trên Ubuntu. Về cơ bản thì các bản phân phối khác cách cài đặt sẽ gần tương tự.
1. Cài đặt Maldet
Để cài đặt Maldet, trước hết, ta mở Terminal, sau đó lần lượt chạy các lệnh sau đây.
Tải về tập tin nén của Maldet
# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
Giải nén tập tin vừa tải về
# tar -zxvf maldetect-current.tar.gz
Di chuyển đến thư mục đã giải nén
# cd maldetect-1.5
Cài đặt Maldet
# sudo ./install.sh
2. Cấu hình Maldet
Để sử dụng Maldet cho phù hợp với nhu cầu của mình, trước hết, ta phải cấu hình nó. Tất cả thông tin về cấu hình của Maldet được lưu trữ tại:
/usr/local/maldetect/conf.maldet
Một số thông tin cấu hình quan trọng cho Maldet như sau:
email_alert=1 (bật cảnh báo qua email)
[email protected] (địa chỉ email mà Maldet sẽ gửi cảnh báo)
autoupdate_signatures="1" (tự động cập nhật chữ ký số)
autoupdate_version="1" (tự động cập nhật phiên bản)
scan_min_filesize="24" và scan_max_filesize="768k" (giới hạn về kích thước tập tin quét)
scan_clamscan="1" (dùng ClamAV làm scan engine nếu đã cài ClamAV)
scan_user_access="1" (cho phép quét với user không root)
quarantine_hits="1" (chuyển tập tin bị phát hiện đến thư mục cách ly và bật cảnh báo)
quarantine_clean="1" (nếu quarantine_hits="1" sẽ tự động xóa luôn tập tin bị nhiễm mã độc)
3. Cài đặt thư viện ClamAV
Cài đặt thư viện ClamAV sẽ giúp cho Maldet quét mã độc nhanh hơn và hiệu quả hơn.
Các bước cài đặt ClamAV như sau:
# sudo apt-get install clamav clamav-daemon
Cập nhật cơ sở dữ liệu của ClamAV
# sudo freshclam
4. Quét mã độc bằng Maldet (tích hợp ClamAV)
a. Tải mẫu mã độc để quét thử
Thay vì dùng mã độc thật, ta sẽ sử dụng mẫu thử được cung cấp trên trang web của EICAR (eicar.org). Ta tạo một thư mục “test” để lưu trữ mẫu thử tải về.
Lần lượt thực hiện các lệnh sau:
Di chuyển đến thư mục “test”
# cd /home/canh/test
Tải về các tập tin eicar.com, eicar.com.txt, eicar_com.zip, eicarcom2.zip
# wget http://www.eicar.org/download/eicar.com && wget http://www.eicar.org/download/eicar.com.txt && wget http://www.eicar.org/download/eicar_com.zip && wget http://www.eicar.org/download/eicarcom2.zip
b. Quét mã độc
Sau khi đã có mẫu thử ta có thể sử dụng các lệnh sau để quét mã độc hoặc thực hiện các thao tác khác theo ý muốn. Mỗi lượt quét mã độc, Maldet sẽ tạo một SCANID tương ứng để người dùng dễ xử lí. Cú pháp chung để sử dụng Maldet là: # maldet [options] /path/to/scan
a. –b, --background
Thực hiện quét dưới nền, phù hợp để quét số lượng lớn tập tin.
b. –u, --update-sigs
Cập nhật chữ ký của Maldet.
c. –d, --update-ver
Cập nhật phiên bản của Maldet.
d. –f, --files-list
Quét theo các tập tin cụ thể, đường dẫn cụ thể.
e. –r, --scan-recent PATH DAYS
Quét các tập tin được tạo mới hoặc thay đổi theo đường dẫn PATH trong DAYS ngày gần đây.
f. –a, --scan-all PATH
Quét toàn bộ các tập tin theo đường dẫn PATH.
g. –c, --checkout FILE
Tải lên mã độc bị nghi ngờ lên trang rfxn.com để tác giả kiểm tra.
h. –l, --log
Xem nhật ký sự kiện của Maldet.
i. –e, --report SCANID email
Xem báo cáo quét của những lượt quét gần đây, xem theo SCANID cụ thể, tự động gửi báo cáo qua email,…
j. –m, --monitor USERS|PATHS|FILE
Theo dõi các file được tạo mới/chỉnh sửa theo user, đường dẫn, file với kernel inotify được cài đặt.
k. –k, --kill
Kill tiến trình monitor đang chạy.
l. –s, --restore FILE|SCANID
Khôi phục lại tập tin bị cách ly về vị trí cũ hoặc khôi phục tất cả các tập tin bị cách ly theo SCANID cụ thể.
m. sudo rm -rf /usr/local/maldetect/quarantine/*
Xóa tất cả mã độc đã cách ly.
n. -co, --config-option VAR1=VALUE,VAR2=VALUE,VAR3=VALUE
Tùy chỉnh conf.maldet theo từng thông số.
o. –p, --purge
Xóa tất cả nhật ký, dữ liệu tạm thời,… của Maldet.