Pasaulyje, kuriame vis dažniau naudojamasi internetu, nes daugiau nei 90% kasdienių užduočių, nepriklausomai nuo sektoriaus, atliekamos internetu, pavyzdžiui, mokėjimas už viešąsias paslaugas, prieiga prie el. Laiškų, failų kūrimas ir tūkstančiai kitų yra įprasta, kad visi mūsų duomenys yra atskleisti ir pažeidžiami dėl padidėjusių grėsmių, pvz., virusų ar kenkėjiškų programų.
Periodiškai girdime, kad naudodamiesi „Linux“ nesame veikiami atakų, tačiau negalime slėpti tikrovės, nes būdami skaitmeniniame pasaulyje mes būsime veikiami mažesniu ar didesniu mastu, nepriklausomai nuo naudojamos operacinės sistemos, ir dėl šios priežasties „Solvetic“ išsamiai išanalizuosime, kaip išanalizuoti ir pašalinti kenkėjiškas programas, jei jos yra „Linux“ aplinkoje, ir tam naudosime „Ubuntu 17.04“.
Kas yra kenkėjiška programaVisų pirma svarbu išsiaiškinti, ką reiškia kenkėjiška ar kenkėjiška programinė įranga, ir tai laikoma erzinančia ar kenksminga programinės įrangos rūšimi, kuri buvo sukurta siekiant pasiekti bet kurį įrenginį be įspėjimo ir vartotojo nepastebėjus.
Kai kurios kenkėjiškų programų rūšys yra šnipinėjimo programos (šnipinėjimo programos), reklaminės programos (reklaminės programos), sukčiavimas, virusai, Trojos arkliai, kirminai, šakniniai rinkiniai, išpirkos programos ir naršyklės užgrobėjai, darantys įtaką sistemos saugumui ir privatumui.
„Windows“ sistemoje jau matėme geriausią kenkėjišką programą. „Linux“ aplinkos lygmeniu dauguma atakų yra nukreiptos į klaidų naudojimą tokiose paslaugose kaip „Java“ konteineriai ar naršyklės paslaugos, kurių pagrindinis tikslas yra pakeisti tikslinės paslaugos veikimo būdą ir kartais ją visiškai uždaryti, o tai daro įtaką įprastam jos naudojimui. .
Kitas „Linux“ išpuolių tipas yra tada, kai užpuolikas bando gauti vartotojo prisijungimo duomenis, kad galėtų pasiekti sistemą ir turėti viską, kas ten priglobta.
Kas yra Maldetas„Maldet“ arba „Linux Malware Detect“ (LMD) yra „Linux“ kenkėjiškų programų skaitytuvas, sukurtas siekiant valdyti grėsmes, kurios yra įprastos bendrai priglobtoje aplinkoje.
„Maldet“ naudoja grėsmės duomenis iš tinklo įsibrovimo aptikimo sistemų, kad išgautų kenkėjiškas programas, kurios aktyviai naudojamos atakose, generuodamos parašus aptikimui.
Jis yra licencijuotas pagal GNU GPLv2, o LMD naudojami parašai yra MD5 failų maišos ir HEX modelio atitiktys, kurias taip pat galima lengvai eksportuoti į bet kurį aptikimo įrankį, pvz., „ClamAV“.
„Maldet“ charakteristikosKai kurios „Maldet“ funkcijos yra šios:
- HEX, pagrįstas identifikavimo modeliais, siekiant nustatyti grėsmės variantus.
- Parašo atnaujinimo funkcija integruota su -u | -atnaujinti.
- Statistinės analizės komponentas, skirtas užmaskuotoms grėsmėms aptikti.
- Integruotas „ClamAV“ aptikimas.
- Viso nuskaitymo parinktis, skirta nuskaityti visą kelią.
- Jame yra karantino eilė, kuri saugo grėsmes be leidimų.
- Jame yra karantino atkūrimo parinktis, skirta atkurti failus į pradinį kelią.
- Valymo taisyklės, kaip pašalinti base64 ir gzinflate.
- Apima kasdienį „cron“ scenarijų, suderinamą su atsarginėmis RH, „Cpanel“ ir „Ensim“ sistemomis.
- Jis kasdien tikrina visus paskutinių 24 valandų pokyčius.
- Branduolio inotify monitorius, kuris gali paimti duomenis iš STDIN arba FILE kelio.
- Branduolio inotify monitorių galima apriboti vartotojo konfigūruojama html šaknimi.
- Jis turi branduolio inotify monitorių su dinaminėmis sistemos ribomis, kad būtų užtikrintas optimalus našumas.
- Generuoja el. Pašto įspėjimų ataskaitas po kiekvieno nuskaitymo.
- Nepaisykite parinkčių, pagrįstų keliu, plėtiniu ir parašu.
- Fono skaitytuvo parinktis neprižiūrimoms nuskaitymo operacijoms.
1. Kaip įdiegti „Maldet“ „Linux“
1 žingsnis
Norėdami pradėti procesą, pirmiausia turite atsisiųsti ar.gz failą iš oficialios svetainės naudodami „wget“, todėl terminale vykdysime šiuos veiksmus:
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
DIDELIS
2 žingsnis
Dabar ištrauksime atsisiųsto failo turinį atlikdami šiuos veiksmus:
tar -xvf maldetect -current.tar.gz
DIDELIS
3 žingsnis
Toliau pateksime į katalogą, kuriame buvo išgautas turinys, šiuo atveju tai bus:
cd maldetect-1.6.24 žingsnis
Kai būsime kataloge, vykdysime diegimo scenarijų naudodami šią eilutę:
sudo ./install.sh
DIDELIS
2. Kaip sukonfigūruoti „Maldet“ „Linux“
1 žingsnis
Kai diegimas bus teisingas, atėjo laikas sukonfigūruoti „Maldet“ naudojant automatiškai sukurtą failą conf.maldet, jį pasieksime naudodami norimą redaktorių:
sudo nano /usr/local/maldetect/conf.maldet
DIDELIS
2 žingsnis
Čia mes galime pakeisti šiuos nustatymus pranešimų lygiu:
- Jei norime gauti pranešimą, kai aptinkama kenkėjiška programa, lauko „email_alert“ vertę nustatysime į vieną (1).
- Lauke email_addr įvesime el. Pašto adresą, kuriuo būsime informuoti.
- Lauke email_ignore_clean galime nustatyti jo vertę į vieną (1), jei nenorime, kad mums būtų pranešta, kai kenkėjiška programa bus automatiškai išvalyta.
DIDELIS
3 žingsnis
Tame pačiame faile galime pakeisti šias karantino lygio reikšmes:
- Lauke „quarantine_hits“ apibrėžsime 1 reikšmę, kad paveikti failai būtų automatiškai karantinuojami.
- Lauke „karantinas_valymas“ galime apibrėžti reikšmę 1, kad automatiškai išvalytų paveiktus failus. Jei nustatysite šią reikšmę į 0, pirmiausia galėsite patikrinti failus prieš juos išvalydami.
- Nustačius 1 lauką karantinas_suspend_use, sustabdomi naudotojai, kurių paskyros yra paveiktos, o parametras „quarantine_suspend_user_minuid“ nustato minimalų vartotojo ID, kuris turi būti laikinai sustabdytas. Pagal numatytuosius nustatymus tai yra 500.
DIDELIS
4 žingsnis
Kai šie parametrai bus apibrėžti, išsaugosime pakeitimus naudodami klavišus:
Ctrl + O
ir paliekame redaktorių naudodami:
„Ctrl“ + X
3. Kaip analizuoti kenkėjiškas programas „Linux“ naudojant „Maldet“
1 žingsnis
Norėdami atlikti kenkėjiškų programų analizę, atliksime šią sintaksę:
sudo maldet-nuskaityti viską / Nuskaitymo kelias
DIDELIS
2 žingsnis
„Maldet“ diegimo proceso metu „cronjob“ funkcija taip pat bus įdiegta:
/etc/cron.daily/maldetKuris nuskaitys namų katalogus, taip pat visus failus ar aplankus, kurie buvo keičiami kasdien. Naudodami „Maldet“ turime paprastą įrankį, kaip paprastai ir saugiai išanalizuoti kenkėjiškas programas „Linux“ aplinkoje.