如何在Linux系統(tǒng)中安裝使用惡意軟件掃描工具及殺毒引擎

這篇文章主要講解了“如何在Linux系統(tǒng)中安裝使用惡意軟件掃描工具及殺毒引擎”，文中的講解內(nèi)容簡(jiǎn)單清晰，易于學(xué)習(xí)與理解，下面請(qǐng)大家跟著小編的思路慢慢深入，一起來(lái)研究和學(xué)習(xí)“如何在Linux系統(tǒng)中安裝使用惡意軟件掃描工具及殺毒引擎”吧！

為祥符等地區(qū)用戶(hù)提供了全套網(wǎng)頁(yè)設(shè)計(jì)制作服務(wù)，及祥符網(wǎng)站建設(shè)行業(yè)解決方案。主營(yíng)業(yè)務(wù)為網(wǎng)站制作、做網(wǎng)站、祥符網(wǎng)站設(shè)計(jì)，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專(zhuān)業(yè)、用心的態(tài)度為用戶(hù)提供真誠(chéng)的服務(wù)。我們深信只要達(dá)到每一位用戶(hù)的要求，就會(huì)得到認(rèn)可，從而選擇與我們長(zhǎng)期合作。這樣，我們也可以走得更遠(yuǎn)！

惡意軟件是指任何旨在干擾或破壞計(jì)算系統(tǒng)正常運(yùn)行的軟件程序。雖然最臭名昭著的幾種惡意軟件如病毒、間諜軟件和廣告軟件，但它們企圖引起的危害不一：有的是竊取私密信息，有的是刪除個(gè)人數(shù)據(jù)，有的則介于兩者之間；而惡意軟件的另一個(gè)常見(jiàn)用途就是控制系統(tǒng)，然后利用該系統(tǒng)發(fā)動(dòng)僵尸網(wǎng)絡(luò)，形成所謂的拒絕服務(wù)(DoS)攻擊或分布式拒絕服務(wù)(DDoS)攻擊。
換句話(huà)說(shuō)，我們?nèi)f萬(wàn)不可抱有這種想法“因?yàn)槲也⒉淮鎯?chǔ)任何敏感數(shù)據(jù)或重要數(shù)據(jù)，所以不需要保護(hù)自己的系統(tǒng)遠(yuǎn)離惡意軟件”，因?yàn)槟切?shù)據(jù)并不是惡意軟件的唯一目標(biāo)。

由于這個(gè)原因，我們將在本文中介紹在RHEL 7.0/6.x(x是版本號(hào))、CentOS 7.0/6.x和Fedora 21-12中，如何安裝并配置Linux惡意軟件檢測(cè)工具(又叫MalDet，或簡(jiǎn)稱(chēng)LMD)和ClamAV(反病毒引擎)。

這是采用GPL v2許可證發(fā)布的一款?lèi)阂廛浖呙韫ぞ?，?zhuān)門(mén)為主機(jī)托管環(huán)境而設(shè)計(jì)。然而，你很快就會(huì)認(rèn)識(shí)到，無(wú)論自己面對(duì)哪種環(huán)境，都會(huì)得益于MalDet。
將LMD安裝到RHEL/CentOS 7.0/6.x和Fedora 21-12上

LMD無(wú)法從在線(xiàn)軟件庫(kù)獲得，而是以打包文件的形式從項(xiàng)目官方網(wǎng)站分發(fā)。打包文件含有最新版本的源代碼，總是可以從下列鏈接處獲得，可使用下列命令來(lái)下載：  

代碼如下:

# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

然后，我們需要解壓該打包文件，并進(jìn)入提取/解壓內(nèi)容的目錄。由于當(dāng)前版本是1.4.2，目錄為maldetect-1.4.2。我們會(huì)在該目錄中找到安裝腳本install.sh。   

代碼如下:

# tar -xvf maldetect-current.tar.gz
   # ls -l | grep maldetect

    下載Linux惡意軟件檢測(cè)工具如果我們檢查安裝腳本，該腳本長(zhǎng)度只有75行(包括注釋)，就會(huì)發(fā)現(xiàn)，它不僅安裝該工具，還執(zhí)行預(yù)檢測(cè)，看看默認(rèn)安裝目錄(/usr/local/maldetect)有無(wú)存在。要是不存在，腳本就會(huì)先創(chuàng)建安裝目錄，然后執(zhí)行下一步。

最后，安裝完成后，只要將cron.daily腳本(參閱上圖)放入到/etc/cron.daily，就可以排定通過(guò)cron(計(jì)劃任務(wù))的每天執(zhí)行。這個(gè)幫助腳本具有諸多功能，包括清空舊的臨時(shí)數(shù)據(jù)，檢查新的LMD版本，掃描默認(rèn)Apache和Web控制面板(比如CPanel和DirectAdmin等)默認(rèn)數(shù)據(jù)目錄。

話(huà)雖如此，還是按平常那樣運(yùn)行安裝腳本：   

代碼如下:

# ./install.sh

    

    在Linux中安裝Linux惡意軟件檢測(cè)工具
配置Linux惡意軟件檢測(cè)工具

配置LDM的工作通過(guò)/usr/local/maldetect/conf.maldet來(lái)處理，所以選項(xiàng)都進(jìn)行了充分的注釋?zhuān)员闩渲闷饋?lái)相當(dāng)容易。萬(wàn)一你哪里卡住了，還可以參閱/usr/local/src/maldetect-1.4.2/README，了解進(jìn)一步的指示。

在配置文件中，你會(huì)找到用方括號(hào)括起來(lái)的下列部分：

•     EMAIL ALERTS(郵件提醒)
      QUARANTINE OPTIONS(隔離選項(xiàng))
      SCAN OPTIONS(掃描選項(xiàng))
      STATISTICAL ANALYSIS(統(tǒng)計(jì)分析)
      MONITORING OPTIONS(監(jiān)控選項(xiàng))

這每個(gè)部分都含有幾個(gè)變量，表明LMD會(huì)如何運(yùn)行、有哪些功能特性可以使用。

•     如果你想收到通知惡意軟件檢測(cè)結(jié)果的電子郵件，就設(shè)置email_alert=1。為了簡(jiǎn)潔起見(jiàn)，我們只將郵件轉(zhuǎn)發(fā)到本地系統(tǒng)用戶(hù)，但是你同樣可以探究其他選項(xiàng)，比如將郵件提醒發(fā)送到外部用戶(hù)。
      如果你之前已設(shè)置了email_alert=1，設(shè)置email_subj=”Your subject here”和email_addr=username@localhost。
      至于quar_hits，即針對(duì)惡意軟件襲擊的默認(rèn)隔離操作(0 =僅僅提醒，1 = 轉(zhuǎn)而隔離并提醒)，你告訴LMD在檢測(cè)到惡意軟件后執(zhí)行什么操作。
      quar_clean將讓你決定想不想清理基于字符串的惡意軟件注入。牢記一點(diǎn)：就本身而言，字符串特征是“連續(xù)的字節(jié)序列，有可能與惡意軟件家族的許多變種匹配。”
      quar_susp，即針對(duì)遭到襲擊的用戶(hù)采取的默認(rèn)暫停操作，讓你可以禁用其所屬文件已被確認(rèn)為遭到襲擊的帳戶(hù)。
      clamav_scan=1將告訴LMD試圖檢測(cè)有無(wú)存在ClamAV二進(jìn)制代碼，并用作默認(rèn)掃描器引擎。這可以獲得最多快出四倍的掃描性能和出色的十六進(jìn)制分析。這個(gè)選項(xiàng)只使用ClamAV作為掃描器引擎，LMD特征仍是檢測(cè)威脅的基礎(chǔ)。

重要提示：

請(qǐng)注意：quar_clean和quar_susp需要quar_hits被啟用(=1)。

總之，在/usr/local/maldetect/conf.maldet中，有這些變量的行應(yīng)該看起來(lái)如下：   

代碼如下:

email_alert=1
   email_addr=gacanepa@localhost
   email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
   quar_hits=1
   quar_clean=1
   quar_susp=1
   clam_av=1

將ClamAV安裝到RHEL/CentOS 7.0/6.x和Fedora 21-12上

想安裝ClamAV以便充分利用clamav_scan設(shè)置，請(qǐng)遵循這些步驟：

創(chuàng)建軟件庫(kù)文件/etc/yum.repos.d/dag.repo:   

代碼如下:

[dag]
   name=Dag RPM Repository for Red Hat Enterprise Linux
   baseurl=http://apt.sw.be/redhat/el$releasever/en/$basearch/dag/
   gpgcheck=1
   gpgkey=http://dag.wieers.com/packages/RPM-GPG-KEY.dag.txt
   enabled=1

然后運(yùn)行命令：   

代碼如下:

# yum update && yum install clamd

注意：這些只是安裝ClamAV的基本指令，以便將它與LMD整合起來(lái)。我們?cè)贑lamAV設(shè)置方面不作詳細(xì)介紹，因?yàn)檎缜懊嫠?，LMD特征仍是檢測(cè)和清除威脅的基礎(chǔ)。
測(cè)試Linux惡意軟件檢測(cè)工具

現(xiàn)在就可以檢測(cè)我們剛剛安裝的LMD / ClamAV了。不是使用實(shí)際的惡意軟件，我們將使用EICAR測(cè)試文件(http://www.eicar.org/86-0-Intended-use.html)，這些文件可從EICAR網(wǎng)站下載獲得。   

代碼如下:

# cd /var/www/html
   # wget http://www.eicar.org/download/eicar.com
   # wget http://www.eicar.org/download/eicar.com.txt
   # wget http://www.eicar.org/download/eicar_com.zip
   # wget http://www.eicar.org/download/eicarcom2.zip

這時(shí)候，你可以等待下一個(gè)cron任務(wù)運(yùn)行，也可以自行手動(dòng)執(zhí)行maldet。我們將采用第二種方法：  

代碼如下:

# maldet --scan-all /var/www/

LMD還接受通配符，所以如果你只想掃描某種類(lèi)型的文件(比如說(shuō)zip文件)，就可以這么做：   

代碼如下:

# maldet --scan-all /var/www/*.zip

    掃描Linux中的惡意軟件

掃描完成后，你可以查閱LMD發(fā)送過(guò)來(lái)的電子郵件，也可以用下列命令查看報(bào)告：   

代碼如下:

# maldet --report 021015-1051.3559

    

    Linux惡意軟件掃描報(bào)告

其中021015-1051.3559是SCANID(SCANID與你的實(shí)際結(jié)果會(huì)略有不同)。

重要提示：請(qǐng)注意：由于eicar.com文件下載了兩次(因而導(dǎo)致eicar.com和eicar.com.1)，LMD發(fā)現(xiàn)了5次襲擊。

如果你檢查隔離文件夾(我只留下了一個(gè)文件，刪除了其余文件)，我們會(huì)看到下列結(jié)果：   

代碼如下:

# ls –l

    

    Linux惡意軟件檢測(cè)工具隔離文件

你然后可以用下列命令刪除所有隔離的文件：   

代碼如下:

# rm -rf /usr/local/maldetect/quarantine/*

萬(wàn)一那樣，   

代碼如下:

# maldet --clean SCANID

最后的考慮因素

由于maldet需要與cron整合起來(lái)，你就需要在root的crontab中設(shè)置下列變量(以root用戶(hù)的身份鍵入crontab –e，并按回車(chē)鍵)，也許你會(huì)注意到LMD并沒(méi)有每天正確運(yùn)行：

   

代碼如下:

PATH=/sbin:/bin:/usr/sbin:/usr/bin
   MAILTO=root
   HOME=/
   SHELL=/bin/bash

這將有助于提供必要的調(diào)試信息。

感謝各位的閱讀，以上就是“如何在Linux系統(tǒng)中安裝使用惡意軟件掃描工具及殺毒引擎”的內(nèi)容了，經(jīng)過(guò)本文的學(xué)習(xí)后，相信大家對(duì)如何在Linux系統(tǒng)中安裝使用惡意軟件掃描工具及殺毒引擎這一問(wèn)題有了更深刻的體會(huì)，具體使用情況還需要大家實(shí)踐驗(yàn)證。這里是創(chuàng)新互聯(lián)，小編將為大家推送更多相關(guān)知識(shí)點(diǎn)的文章，歡迎關(guān)注！

當(dāng)前名稱(chēng)：如何在Linux系統(tǒng)中安裝使用惡意軟件掃描工具及殺毒引擎
網(wǎng)站地址：http://www.jbt999.com/article8/psioop.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供用戶(hù)體驗(yàn)、定制開(kāi)發(fā)、網(wǎng)站設(shè)計(jì)、標(biāo)簽優(yōu)化、外貿(mào)建站、網(wǎng)站制作

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀(guān)點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：[email protected]。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)