在Linux系统中安装使用恶意软件扫描工具及杀毒引擎的教程
恶意软件是指任何旨在干扰或破坏计算系统正常运行的软件程序。虽然最臭名昭著的几种恶意软件如病毒、间谍软件和广告软件,但它们企图引起的危害不一:有的是窃取私密信息,有的是删除个人数据,有的则介于两者之间;而恶意软件的另一个常见用途就是控制系统,然后利用该系统发动僵尸网络,形成所谓的拒绝服务(DoS)攻击或分布式拒绝服务(DDoS)攻击。
换句话说,我们万万不可抱有这种想法“因为我并不存储任何敏感数据或重要数据,所以不需要保护自己的系统远离恶意软件”,因为那些数据并不是恶意软件的唯一目标。
由于这个原因,我们将在本文中介绍在RHEL 7.0/6.x(x是版本号)、CentOS 7.0/6.x和Fedora 21-12中,如何安装并配置Linux恶意软件检测工具(又叫MalDet,或简称LMD)和ClamAV(反病毒引擎)。
这是采用GPL v2许可证发布的一款恶意软件扫描工具,专门为主机托管环境而设计。然而,你很快就会认识到,无论自己面对哪种环境,都会得益于MalDet。
将LMD安装到RHEL/CentOS 7.0/6.x和Fedora 21-12上
LMD无法从在线软件库获得,而是以打包文件的形式从项目官方网站分发。打包文件含有最新版本的源代码,总是可以从下列链接处获得,可使用下列命令来下载:
复制代码代码如下: # wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
然后,我们需要解压该打包文件,并进入提取/解压内容的目录。由于当前版本是1.4.2,目录为maldetect-1.4.2。我们会在该目录中找到安装脚本install.sh。
复制代码代码如下:# tar -xvf maldetect-current.tar.gz
# ls -l | grep maldetect
下载Linux恶意软件检测工具如果我们检查安装脚本,该脚本长度只有75行(包括注释),就会发现,它不仅安装该工具,还执行预检测,看看默认安装目录(/usr/local/maldetect)有无存在。要是不存在,脚本就会先创建安装目录,然后执行下一步。
最后,安装完成后,只要将cron.daily脚本(参阅上图)放入到/etc/cron.daily,就可以排定通过cron(计划任务)的每天执行。这个帮助脚本具有诸多功能,包括清空旧的临时数据,检查新的LMD版本,扫描默认Apache和Web控制面板(比如CPanel和DirectAdmin等)默认数据目录。
话虽如此,还是按平常那样运行安装脚本:
复制代码代码如下: # ./install.sh
在Linux中安装Linux恶意软件检测工具
配置Linux恶意软件检测工具
配置LDM的工作通过/usr/local/maldetect/conf.maldet来处理,所以选项都进行了充分的注释,以便配置起来相当容易。万一你哪里卡住了,还可以参阅/usr/local/src/maldetect-1.4.2/README,了解进一步的指示。
在配置文件中,你会找到用方括号括起来的下列部分:
- EMAIL ALERTS(邮件提醒)
QUARANTINE OPTIONS(隔离选项)
SCAN OPTIONS(扫描选项)
STATISTICAL ANALYSIS(统计分析)
MONITORING OPTIONS(监控选项)
这每个部分都含有几个变量,表明LMD会如何运行、有哪些功能特性可以使用。
- 如果你想收到通知恶意软件检测结果的电子邮件,就设置email_alert=1。为了简洁起见,我们只将邮件转发到本地系统用户,但是你同样可以探究其他选项,比如将邮件提醒发送到外部用户。
如果你之前已设置了email_alert=1,设置email_subj=”Your subject here”和email_addr=username@localhost。
至于quar_hits,即针对恶意软件袭击的默认隔离操作(0 =仅仅提醒,1 = 转而隔离并提醒),你告诉LMD在检测到恶意软件后执行什么操作。
quar_clean将让你决定想不想清理基于字符串的恶意软件注入。牢记一点:就本身而言,字符串特征是“连续的字节序列,有可能与恶意软件家族的许多变种匹配。”
quar_susp,即针对遭到袭击的用户采取的默认暂停操作,让你可以禁用其所属文件已被确认为遭到袭击的帐户。
clamav_scan=1将告诉LMD试图检测有无存在ClamAV二进制代码,并用作默认扫描器引擎。这可以获得最多快出四倍的扫描性能和出色的十六进制分析。这个选项只使用ClamAV作为扫描器引擎,LMD特征仍是检测威胁的基础。
重要提示:
请注意:quar_clean和quar_susp需要quar_hits被启用(=1)。
总之,在/usr/local/maldetect/conf.maldet中,有这些变量的行应该看起来如下:
复制代码代码如下:email_alert=1
email_addr=gacanepa@localhost
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quar_hits=1
quar_clean=1
quar_susp=1
clam_av=1
将ClamAV安装到RHEL/CentOS 7.0/6.x和Fedora 21-12上
想安装ClamAV以便充分利用clamav_scan设置,请遵循这些步骤:
创建软件库文件/etc/yum.repos.d/dag.repo:
复制代码代码如下: [dag]
name=Dag RPM Repository for Red Hat Enterprise Linux
baseurl=http://apt.sw.be/redhat/el$releasever/en/$basearch/dag/
gpgcheck=1
gpgkey=http://dag.wieers.com/packages/RPM-GPG-KEY.dag.txt
enabled=1
然后运行命令:
复制代码代码如下:# yum updateyum install clamd
&&
注意:这些只是安装ClamAV的基本指令,以便将它与LMD整合起来。我们在ClamAV设置方面不作详细介绍,因为正如前面所述,LMD特征仍是检测和清除威胁的基础。
测试Linux恶意软件检测工具
现在就可以检测我们刚刚安装的LMD / ClamAV了。不是使用实际的恶意软件,我们将使用EICAR测试文件(http://www.eicar.org/86-0-Intended-use.html),这些文件可从EICAR网站下载获得。
复制代码代码如下:# cd /var/www/html
# wget http://www.eicar.org/download/eicar.com
# wget http://www.eicar.org/download/eicar.com.txt
# wget http://www.eicar.org/download/eicar_com.zip
# wget http://www.eicar.org/download/eicarcom2.zip
这时候,你可以等待下一个cron任务运行,也可以自行手动执行maldet。我们将采用第二种方法:
复制代码代码如下:# maldet --scan-all /var/www/
LMD还接受通配符,所以如果你只想扫描某种类型的文件(比如说zip文件),就可以这么做:
复制代码代码如下: # maldet --scan-all /var/www/*.zip
扫描Linux中的恶意软件
扫描完成后,你可以查阅LMD发送过来的电子邮件,也可以用下列命令查看报告:
复制代码代码如下:# maldet --report 021015-1051.3559
Linux恶意软件扫描报告
其中021015-1051.3559是SCANID(SCANID与你的实际结果会略有不同)。
重要提示:请注意:由于eicar.com文件下载了两次(因而导致eicar.com和eicar.com.1),LMD发现了5次袭击。
如果你检查隔离文件夹(我只留下了一个文件,删除了其余文件),我们会看到下列结果:
复制代码代码如下:# ls –l
Linux恶意软件检测工具隔离文件
你然后可以用下列命令删除所有隔离的文件:
复制代码代码如下:# rm -rf /usr/local/maldetect/quarantine/*
万一那样,
复制代码代码如下: # maldet --clean SCANID
最后的考虑因素
由于maldet需要与cron整合起来,你就需要在root的crontab中设置下列变量(以root用户的身份键入crontab –e,并按回车键),也许你会注意到LMD并没有每天正确运行:
复制代码代码如下: PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
SHELL=/bin/bash
这将有助于提供必要的调试信息。
结束语
我们在本文中讨论了如何安装并配置Linux恶意软件检测工具和ClamAV这个功能强大的搭档。借助这两种工具,检测恶意软件应该是相当轻松的任务。
不过,你要帮自己一个忙,熟悉之前解释的README文件,那样你就能确信自己的系统得到了全面支持和妥善管理。
推荐系统
微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载
语言:中文版系统大小:5.13GB系统类型:Win11微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Win11 64位 Office办公版(免费)优化 1、保留 Edge浏览器。 2、隐藏“操作中心”托盘图标。 3、保留常用组件(微软商店,计算器,图片查看器等)。 5、关闭天气资讯。
Win11 21H2 官方正式版下载_Win11 21H2最新系统免激活下载
语言:中文版系统大小:4.75GB系统类型:Win11Ghost Win11 21H2是微软在系统方面技术积累雄厚深耕多年,Ghost Win11 21H2系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Ghost Win11 21H2是微软最新发布的KB5019961补丁升级而来的最新版的21H2系统,以Windows 11 21H2 22000 1219 专业版为基础进行优化,保持原汁原味,系统流畅稳定,保留常用组件
windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载
语言:中文版系统大小:5.31GB系统类型:Win11windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载,微软win11发布快大半年了,其中做了很多次补丁和修复一些BUG,比之前的版本有一些功能上的调整,目前已经升级到最新版本的镜像系统,并且优化了自动激活,永久使用。windows11中文版镜像国内镜像下载地址微软windows11正式版镜像 介绍:1、对函数算法进行了一定程度的简化和优化
微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载
语言:中文版系统大小:5.31GB系统类型:Win11微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载,微软2022年正式推出了win11系统,很多人迫不及待的要体验,本站提供了最新版的微软Windows11正式版系统下载,微软windows11正式版镜像 是一款功能超级强大的装机系统,是微软方面全新推出的装机系统,这款系统可以通过pe直接的完成安装,对此系统感兴趣,想要使用的用户们就快来下载
微软windows11系统下载 微软原版 Ghost win11 X64 正式版ISO镜像文件
语言:中文版系统大小:0MB系统类型:Win11微软Ghost win11 正式版镜像文件是一款由微软方面推出的优秀全新装机系统,这款系统的新功能非常多,用户们能够在这里体验到最富有人性化的设计等,且全新的柔软界面,看起来非常的舒服~微软Ghost win11 正式版镜像文件介绍:1、与各种硬件设备兼容。 更好地完成用户安装并有效地使用。2、稳定使用蓝屏,系统不再兼容,更能享受无缝的系统服务。3、为
雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载
语言:中文版系统大小:4.75GB系统类型:雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业的雨林木风品牌,其系统口碑得到许多人认可,积累了广大的用户群体,雨林木风是一款稳定流畅的系统,一直以来都以用户为中心,是由雨林木风团队推出的Windows11国内镜像版,基于国内用户的习惯,做了系统性能的优化,采用了新的系统
雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO
语言:中文版系统大小:5.91GB系统类型:Win7雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO在系统方面技术积累雄厚深耕多年,加固了系统安全策略,雨林木风win7旗舰版系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。win7 32位旗舰装机版 v2019 05能够帮助用户们进行系统的一键安装、快速装机等,系统中的内容全面,能够为广大用户
番茄花园Ghost Win7 x64 SP1稳定装机版2022年7月(64位) 高速下载
语言:中文版系统大小:3.91GB系统类型:Win7欢迎使用 番茄花园 Ghost Win7 x64 SP1 2022.07 极速装机版 专业装机版具有更安全、更稳定、更人性化等特点。集成最常用的装机软件,集成最全面的硬件驱动,精心挑选的系统维护工具,加上独有人性化的设计。是电脑城、个人、公司快速装机之首选!拥有此系统
相关文章
- Win10移动版Build 14322有什么功能?Win10移动版14322版功能介绍
- Mac设备外接显示器时的字体优化小技巧分享
- VirtualBox安装64位系统报错的处理方法
- linux下控制帐户过期的多种方法讲解
- 如何让win10 edge浏览器速度更快 win10Edge浏览器速度慢如何解决
- PCTVoice.exe是什么进程 PCTVoice进程查询
- FREEBSD 的使用知识
- WinXP隐藏的文件无法显示怎么办 WinXP不能显示隐藏文件如何解决
- Win10系统怎么设置保护色?Win10系统设置保护色的方法
- windows 10 rs4快速预览版17017下载错误问题已修复
- win10系统无法进入LOL游戏怎么办 玩lol系统总是崩溃的解决方法
- Win10 20H1慢速预览版19041怎么手动更新?
- WinXP系统桌面IE图标不见了的找回方法(图文教程)
- 回到1985,微软Windows 10复古主题壁纸包《Windows Throwback》商店下载
- Linux下如何处理文本文件内容中的^M
- Win7怎么改装Win10系统?超简单的Win7改Win10本地硬盘重装系统教程
- win8如何设置关闭触摸板?win8.1禁用触摸板教程
- Win10 Mobile推送4月份累积更新:主要是常规修复
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 3电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 4雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
常用系统
- 1电脑公司 装机专用系统Windows10 x64 企业版2019年8月(64位) ISO镜像高速下载
- 2番茄花园Ghost Win7 x64 SP1稳定装机版2019年4月(64位) 好用下载
- 3电脑公司Ghost Win8.1 x32 新春特别 精选纯净版2021年2月(免激活) ISO镜像高速下载
- 4新萝卜家园 GhostWin7 SP1 电脑城极速稳定版2020年3月(32位) ISO镜像高速下载
- 5新萝卜家园Ghost Win8.1 X64位 纯净版2020年3月(自动激活) ISO镜像高费下载
- 6番茄花园 Windows 10 元旦特别 极速企业版 2020年1月(32位) ISO镜像快速下载
- 7番茄花园Ghost Win8.1 x64 办公纯净版2022年7月(激活版) ISO镜像高速下载
- 8电脑公司Ghost Win8.1 X64位 纯净版2018年4月(自动激活) ISO镜像快速下载
- 9新萝卜家园 Ghost Win7 x64 SP1 极速版2022年5月(64位) 高速下载
- 10电脑公司Ghost Win7 Sp1 装机万能版2022年4月(32位) 提供下载