Linux惡意軟體檢測工具(又叫 MalDet,或簡稱 LMD)和 ClamAV (反病毒引擎).是一款採用 GPL v2 許可證釋出的一款惡意軟體掃描工具,專門為主機託管環境而設計.

安裝

LMD無法從線上軟體庫獲得,而是以打包檔案的形式從專案官方網站分發.打包檔案含有最新版本的原始碼.

# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
# tar -xvf maldetect-current.tar.gz
# ls -l | grep maldetect
# cd maldetect-1.6.3/
# ./install.sh

安裝完成後,只要將 cron.daily 指令碼放入到 /etc/cron.daily,就可以排定通過 cron(計劃任務)的每天執行。

配置

LDM 的配置檔案位於 /usr/local/maldetect/conf.maldet.選項都進行了充分的註釋.如果有哪裡不明白的,可以參閱/usr/local/src/maldetect-1.4.2/README.

在配置檔案中,你會找到以下部分:

• EMAIL ALERTS(郵件提醒)
• QUARANTINE OPTIONS(隔離選項)
• SCAN OPTIONS(掃描選項)
• STATISTICAL ANALYSIS(統計分析)
• MONITORING OPTIONS(監控選項)

每個部分都含有幾個變數,表明LMD會如何執行,有哪些功能特性可以使用.

• email_alert 通知檢測結果的郵件,如果已設定了 email_alert=1,設定 email_subj=”Your subject here” 和email_addr=username@localhost.
• quar_hits 對惡意軟體襲擊的預設隔離操作(0:僅僅提醒,1:轉而隔離並提醒).
• quar_clean 是否清理基於字串的惡意軟體注入 (需要quar_hits被啟用).
• quar_susp 針對遭到襲擊的使用者採取的預設暫停操作,讓你可以禁用其所屬檔案已被確認為遭到襲擊的帳戶 (需要quar_hits被啟用).
• clamav_scan=1 將告訴 LMD 試圖檢測有無存在 ClamAV 二進位制程式碼,並用作預設掃描器引擎.這可以獲得最多快出四倍的掃描效能和出色的十六進位制分析.這個選項只使用ClamAV作為掃描器引擎,LMD特徵仍是檢測威脅的基礎.

安裝 ClamAV

# yum -y install clamav clamav-devel

clamAV 位於 Epel 儲存庫中,如果沒有找到,執行以下命令:

# yum -y install epel-release

更新病毒庫

# freshclam

檢測

使用EICAR測試檔案(http://www.eicar.org/86-0-Intended-use.html)，這些檔案可從EICAR網站下載獲得

# cd /var/www/html
# wget http://www.eicar.org/download/eicar.com
# wget http://www.eicar.org/download/eicar.com.txt
# wget http://www.eicar.org/download/eicar_com.zip
# wget http://www.eicar.org/download/eicarcom2.zip

手動執行maldet

# maldet --scan-all /var/www/

LMD還接受萬用字元，所以如果你只想掃描某種型別的檔案(比如說zip檔案)，就可以這麼做：

# maldet --scan-all /var/www/*.zip

掃描完成後，你可以查閱LMD傳送過來的電子郵件，也可以用下列命令檢視報告：

# maldet --report 021015-1051.3559

刪除所有的隔離檔案

# rm -rf /usr/local/maldetect/quarantine/*
# maldet --clean SCANID

由於 maldet 需要與 cron 整合起來,你就需要在 root 的 crontab 中設定下列變數(以root使用者的身份鍵入crontab –e，並按Enter鍵),這可以為提供必要的除錯資訊：

PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
SHELL=/bin/bash