ウェブサイト検索

ClamAV をウイルス対策エンジンとして使用して Linux Malware Detect (LMD) をインストールして使用する方法

マルウェア、または悪意のあるソフトウェアは、コンピューティング システムの通常の動作を妨害することを目的としたプログラムに与えられる呼称です。マルウェアの最もよく知られた形式はウイルス、スパイウェア、アドウェアですが、それらが引き起こす害は、個人情報の窃取から個人データの削除まで、またその間のあらゆるものに及びます。一方、マルウェアのもう 1 つの古典的な用途は、 (D)DoS 攻撃でボットネットを起動するためにシステムを使用するために。

言い換えれば、「機密データや重要なデータは保存していないので、システムをマルウェアから保護する必要はない」と考える余裕はありません。それらはマルウェアの唯一のターゲットではないためです。

そのため、この記事では、Linux Malware Detect (別名 MalDet または LMD 略して) のインストールと構成方法を説明します。 RHEL 8/7/6ClamAV (ウイルス対策エンジン) (x はバージョン番号)、CentOS 8/7/6 およびFedora 30-32 (同じ手順は Ubuntu でも機能します) > およびDebian システム)。

GPL v2 ライセンスに基づいてリリースされたマルウェア スキャナーであり、ホスティング環境向けに特別に設計されています。ただし、どのような環境で作業しているとしても、MalDet の恩恵を受けることができることにすぐに気づくでしょう。

RHEL/CentOS および Fedora への LMD のインストール

LMD はオンライン リポジトリからは入手できませんが、プロジェクトの Web サイトから tarball として配布されます。最新バージョンのソース コードを含む tarball は、次のリンクからいつでも入手でき、wget コマンドを使用してダウンロードできます。

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

次に、tarball を解凍し、その内容が抽出されたディレクトリに入る必要があります。現在のバージョンは 1.6.4 なので、ディレクトリは maldetect-1.6.4 です。そこにインストール スクリプト install.sh があります。

tar -xvf maldetect-current.tar.gz
ls -l | grep maldetect
cd maldetect-1.6.4/
ls

わずか 75 行 (コメントを含む) のインストール スクリプトを検査すると、ツールがインストールされるだけでなく、デフォルトのインストール ディレクトリ ( /usr/local/maldetect) が存在します。そうでない場合、スクリプトは続行する前にインストール ディレクトリを作成します。

最後に、インストールが完了したら、cron.daily スクリプト (上の画像を参照) を /etc/ に配置することで、cron による毎日の実行がスケジュールされます。 cron.毎日。このヘルパー スクリプトは、特に、古い一時データをクリアし、新しい LMD リリースをチェックし、デフォルトの Apache および Web コントロール パネル (例: CPanel、DirectAdmin) のデフォルト データ ディレクトリをスキャンします。

そうは言っても、通常どおりインストール スクリプトを実行します。

./install.sh

Linux マルウェア検出の構成

LMD の設定は /usr/local/maldetect/conf.maldet を通じて処理され、すべてのオプションは設定を簡単にするために十分なコメントが付けられています。行き詰まった場合は、/maldetect-1.6.4/README で詳しい手順を参照してください。

構成ファイルには、角括弧で囲まれた次のセクションがあります。

  1. 電子メールアラート
  2. 隔離オプション
  3. スキャンオプション
  4. 統計分析
  5. 監視オプション

これらの各セクションには、LMD がどのように動作するか、およびどのような機能が利用できるかを示すいくつかの変数が含まれています。

  1. マルウェア検査結果の電子メール通知を受け取りたい場合は、email_alert=1 を設定します。簡潔にするために、ローカル システム ユーザーにのみメールを中継しますが、メール アラートを外部に送信するなど、他のオプションを検討することもできます。
  2. 以前に email_alert=1 を設定した場合は、email_subj=”ここに件名”email_addr=username@localhost を設定します。
  3. マルウェア ヒットのデフォルトの隔離アクションである quar_hits を使用すると (0=アラートのみ、1=隔離およびアラートに移動)、マルウェアが検出されたときに何を行うかを LMD に指示します。
  4. quar_clean を使用すると、文字列ベースのマルウェア インジェクションをクリーンアップするかどうかを決定できます。定義上、文字列署名は「マルウェア ファミリの多くの亜種と一致する可能性がある連続したバイト シーケンス」であることに留意してください。
  5. quar_susp は、ヒットしたユーザーに対するデフォルトの一時停止アクションであり、所有ファイルがヒットとして識別されたアカウントを無効にすることができます。
  6. clamav_scan=1 は、LMD に ClamAV バイナリの存在を検出し、デフォルトのスキャナ エンジンとして使用するよう指示します。これにより、最大 4 倍高速なスキャン パフォーマンスと優れた 16 進分析が実現します。このオプションでは、スキャナ エンジンとして ClamAV のみが使用され、LMD シグネチャは依然として脅威検出の基礎となります。

まとめると、これらの変数を含む行は、/usr/local/maldetect/conf.maldet 内で次のようになります。

email_alert=1
email_addr=gacanepa@localhost
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quar_hits=1
quar_clean=1
quar_susp=1
clam_av=1

RHEL/CentOS および Fedora への ClamAV のインストール

clamav_scan 設定を利用するために ClamAV をインストールするには、次の手順に従います。

EPEL リポジトリを有効にします。

yum install epel-release

次に、次のようにします。


yum update && yum install clamd
apt update && apt-get install clamav clamav-daemon  [Ubuntu/Debian]

: これらは、LMD と統合するために ClamAV をインストールするための基本的な手順にすぎないことに注意してください。前述したように、LMD シグネチャは依然として脅威の検出と駆除の基礎であるため、ClamAV 設定に関する詳細には触れません。

Linux マルウェア検出のテスト

ここで、最近の LMD/ClamAV インストールをテストします。実際のマルウェアを使用する代わりに、EICAR Web サイトからダウンロードできる EICAR テスト ファイルを使用します。

cd /var/www/html
wget http://www.eicar.org/download/eicar.com 
wget http://www.eicar.org/download/eicar.com.txt 
wget http://www.eicar.org/download/eicar_com.zip 
wget http://www.eicar.org/download/eicarcom2.zip

この時点で、 次のcron ジョブが実行されるまで待つか、maldet を手動で実行することができます。 2 番目のオプションを使用します。

maldet --scan-all /var/www/

LMD はワイルドカードも受け入れるため、特定の種類のファイル (たとえば、zip ファイル) のみをスキャンしたい場合は、次のようにすることができます。

maldet --scan-all /var/www/*.zip

スキャンが完了したら、LMD から送信された電子メールを確認するか、次の方法でレポートを表示できます。

maldet --report 021015-1051.3559

021015-1051.3559SCANID です (SCANID は実際のケースでは多少異なります)。

重要: eicar.com ファイルが 2 回ダウンロードされたため (結果として eicar.com と eicar.com.1)、LMD は 5 件のヒットを検出したことに注意してください。

隔離フォルダーを確認すると (ファイルの 1 つだけを残し、残りは削除しました)、次の内容が表示されます。

ls -l

その後、次のコマンドを使用して、隔離されたファイルをすべて削除できます。

rm -rf /usr/local/maldetect/quarantine/*

その場合は、

maldet --clean SCANID

何らかの理由で仕事が完了しません。上記のプロセスの段階的な説明については、次のスクリーンキャストを参照してください。

最終的な考慮事項

maldetcron と統合する必要があるため、root の crontab に次の変数を設定する必要があります (root として crontab -e と入力し、 LMD が毎日正しく実行されていないことに気付いた場合は、Enter キーを押します。

PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
SHELL=/bin/bash

これは、必要なデバッグ情報を提供するのに役立ちます。

結論

この記事では、Linux Malware Detect と強力な味方である ClamAV をインストールして構成する方法について説明しました。これら 2 つのツールを利用すれば、マルウェアの検出はかなり簡単になります。

ただし、先に説明したように、README ファイルをよく読んでください。そうすれば、システムが適切に説明され、適切に管理されていることを確認できます。

ご意見やご質問がございましたら、以下のフォームを使用してお気軽にお問い合わせください。

参考リンク

LMDホームページ