लिनक्स मालवेयर डिटेक्ट - वेब सर्वर के लिए एंटीवायरस

इंटरनेट पहले जैसा नहीं है - चारों ओर दुश्मन हैं। साइट के प्रत्यक्ष संक्रमण का पता लगाने और हैक की गई साइट पर दुर्भावनापूर्ण / संक्रमित लिपियों की खोज करने के विषय को खराब माना जाता है, आइए इसे ठीक करने का प्रयास करें।
तो, हम आपका ध्यान लिनक्स मालवेयर डिटेक्ट पर देते हैं।

लिनक्स मालवेयर डिटेक्ट (LMD) एक लिनक्स स्कैनर है जिसे वेब शेल, स्पैम बॉट, ट्रोजन, दुर्भावनापूर्ण स्क्रिप्ट और अन्य विशिष्ट खतरों के लिए वेब स्पेस के लिए खोज करने के लिए डिज़ाइन किया गया है और विशेष रूप से वर्चुअल साझा होस्टिंग प्लेटफ़ॉर्म के लिए प्रासंगिक है। अन्य लिनक्स एंटीवायरस से मुख्य अंतर इसकी वेब ओरिएंटेशन, वेबसाइट फाइलों की स्कैनिंग है, क्योंकि साधारण एंटीवायरस सिस्टम स्तर पर अधिक वैश्विक खतरों पर ध्यान केंद्रित करते हैं।

क्या कर सकते हैं

• MD5 डेटाबेस का उपयोग करके खतरों की खोज करें और HEX डेटाबेस का उपयोग करके खतरे के प्रकार (उदाहरण के लिए, php.cmdshell.nan.296.HEX) को पहचानें।
• Obfuscated मैलवेयर और इंजेक्शन की उपस्थिति के लिए फ़ाइलों का सांख्यिकीय विश्लेषण।
• स्कैनर के रूप में उपयोग के लिए स्थापित क्लैमव प्रणाली का पता लगाना।
• मैनुअल और स्वचालित (क्राउन) हस्ताक्षर अपडेट।
• स्क्रिप्ट के संस्करण के मैनुअल और स्वचालित अपडेट।
• हाल ही में जोड़ी गई / संशोधित फ़ाइलों को स्कैन करने की क्षमता (उदाहरण के लिए, पिछले 2 दिनों में)।
• विश्लेषण के लिए आधिकारिक वेबसाइट पर संभावित खतरों को अपलोड करने का विकल्प।
• रिपोर्टिंग प्रणाली।
• दुर्भावनापूर्ण इंजेक्शन से फ़ाइलों की सफाई।
• उपयोगकर्ताओं या अन्य निर्देशिकाओं का एक नियमित स्कैन चलाने के लिए क्रोन-ब्लैंक।
• एक्सटेंशन, हस्ताक्षर और पथ के लिए अपवाद सेट करता है।
• ई-मेल पर स्कैन परिणाम भेजने की क्षमता।
• Inotify_watch के साथ निर्मित / संशोधित / संशोधित फ़ाइलों की वास्तविक समय की निगरानी: चयनित उपयोगकर्ताओं, निर्देशिकाओं या फ़ाइलों की निगरानी।
• ... और इसी तरह।

यह कैसे काम करता है

स्कैनिंग आपके स्वयं के grep- आधारित स्क्रिप्ट का उपयोग करके होती है, और यदि सिस्टम पर ClamAV स्थापित है, तो clamscan का उपयोग कर। इसी तरह हस्ताक्षर के साथ: कार्यक्रम का अपना हस्ताक्षर आधार है; यदि सिस्टम में क्लैमव स्थापित है, तो यह अपने आधार का भी उपयोग करता है।

हस्ताक्षर सूत्र:

1. नेटवर्क डेटा स्लाइस। LMD डेवलपर 35,000 साइटों के लिए एक होस्टिंग प्रशासक है, डेटा का विश्लेषण और दैनिक संसाधित किया जाता है। हस्ताक्षर का मुख्य स्रोत।
2. एंटी-मैलवेयर साइटों से एकत्रित सामुदायिक डेटा।
3. क्लैमाव, सिग्नेचर इंटरचेंज।
4. उपयोगकर्ताओं द्वारा भेजा गया डेटा।

हस्ताक्षर लगभग दैनिक रूप से अपडेट किए जाते हैं, आधिकारिक अपडेट पर हस्ताक्षर के साथ आरएसएस फ़ीड उपलब्ध है।

स्कैन के परिणाम एक फ़ाइल में सहेजे जाते हैं, और इसे कॉन्फ़िगर में निर्दिष्ट ई-मेल पर भी भेजा जा सकता है। लोकप्रिय नियंत्रण पैनल, अलास, नहीं, के साथ एकीकरण, यदि आप एक होस्टर हैं, तो आपको मैन्युअल रूप से ग्राहकों को संदेश भेजना होगा।

लोकप्रिय ISPmanager और Cpanel पैनलों के साथ एकीकरण समुदाय के लिए एक अच्छा योगदान होगा (यदि ऐसा कोई भी व्यक्ति चाहता है तो)।

यह क्या देता है

• आपको VDS और DS पर अपनी साइटों की सुरक्षा की निगरानी करने की अनुमति देता है।
• होस्टर्स - दैनिक स्कैनिंग और ग्राहकों को अलर्ट भेजने से ग्राहक निष्ठा बढ़ेगी, जो अक्सर ज्ञान और सुरक्षा मूल बातें कोडिंग से बहुत दूर होती हैं।
• यदि आपकी साइट या क्लाइंट की साइट हैक हो गई है, तो आपको इसके बारे में तुरंत पता चल जाएगा (यदि वास्तविक समय की निगरानी सक्षम है) या क्रोन-स्कैनिंग के लिए चयनित अवधि के दौरान। आखिरकार, "चेतावनी का अर्थ है सशस्त्र": संक्रमित साइटें अक्सर सभी परिणामों के साथ स्पैमिंग के स्रोत बन जाती हैं (उदाहरण के लिए, DNSBL में आईपी ब्लैकलिस्टिंग)।

विशिष्ट जांच उदाहरण

स्कैन रिपोर्ट इस प्रकार है:

malware detect scan report for servername: SCAN ID: 090913-1000.17637 TIME: Sep 9 16:04:40 +0300 PATH: /var/www RANGE: 2 days TOTAL FILES: 151224 TOTAL HITS: 5 TOTAL CLEANED: 0 {HEX}php.cmdshell.unclassed.344 : www/user1/data/www/example.com/wp-content/plugins/7ja1i/nxeogyqbd3h.php {HEX}php.cmdshell.cih.215 : /var/www/user1/data/www/example.com/xyiznwsk/info.php {CAV}PHP.Trojan.Spambot : www/user1/data/www/example.com/wwp-content/plugins/customize-admin/bannerTQIz.php {HEX}php.nested.base64.513 : /var/www/user1/data/www/example.com/engine/modules/topnews.php {HEX}base64.inject.unclassed.6 : /var/www/user1/data/www/example.com/wp-content/plugins/wpematico/app/settings_page.php {HEX}gzbase64.inject.unclassed.14 : /var/www/user1/data/director/example.com/wp-content/themes/zenith/404.php 

स्थापना

डाउनलोड कर रहा है:

 wget http://www.rfxn.com/downloads/maldetect-current.tar.gz 

निकालें:

 tar -zxvf maldetect-current.tar.gz 

हम स्थापना शुरू करते हैं:

 sh ./install.sh 

जब आप install.sh चलाते हैं, तो संस्थापन प्रोग्राम LMD फाइल को / usr / लोकल / मालडक्ट में रखता है, निष्पादन योग्य स्क्रिप्ट / usr / लोकल / sbin में डालता है, और libinotifytools.so.0 / usr / lib में।

स्थापना के दौरान, हस्ताक्षर को अपडेट करने और स्कैनिंग शुरू करने के लिए दैनिक मुकुट नौकरियों को स्वचालित रूप से बनाया जाता है। डिफ़ॉल्ट रूप से, कॉन्फ़िगरेशन में लोकप्रिय कंट्रोल पैनल के webspaces को स्कैन करने के लिए विशिष्ट पथ होते हैं, जैसे कि एनसिम, psa, DirectAdmin, cpanel, इंटरवर्क्स और होस्टिंग साइटों के लिए डिफ़ॉल्ट अपाचे पथ (/ var / www / html, / usr / लोकल / अपाचे / htdocs)। ISPmanager के लिए, पथ / var / www / को मैन्युअल रूप से जोड़ना होगा।

समायोजन

LMD config /usr/local/maldetect/conf.maldet फ़ाइल में स्थित है।
कॉन्फ़िगरेशन अच्छी तरह से प्रलेखित है और आपको अपनी दिल की इच्छाओं को कॉन्फ़िगर करने की अनुमति देता है।

नोट:

आयनिस -c 3 फाइलों को खोजने और स्कैन करने के लिए स्क्रिप्ट खोज लाइनों में जोड़ा गया, सबसे कम प्राथमिकता i / o सेट करके डिस्क सबसिस्टम पर लोड को रोकने में मदद करेगा।

फ़ाइल में / usr / स्थानीय / maldetect / maldet
हम पाते हैं:

 find="$find" 

इसमें परिवर्तन करें:

 find="ionice -c 3 $find" 

हम पाते हैं:

 clamscan="$clamscan" 

इसमें परिवर्तन करें:

 clamscan="ionice -c 3 $clamscan" 

यह ध्यान देने योग्य है कि यह समाधान एक प्रकार का "बैसाखी" है, इस विकल्प को अपस्ट्रीम में जोड़ा जाना चाहिए।

विशिष्ट टीमें

हम निर्दिष्ट निर्देशिका को स्कैन करना शुरू करते हैं:

 # maldet -a /home/user1/exapmle.com 

अंत में हमें फॉर्म का परिणाम मिलता है:

 maldet(24128): {scan} scan completed on example.com: files 4, malware hits 0, cleaned hits 0 maldet(24128): {scan} scan report saved, to view run: maldet --report 091713-1715.24128 

हम रिपोर्ट को देखते हैं:

 #maldet --report 091713-1715.24128 

डेटाबेस को rfxn.com से अपडेट करने पर मजबूर करें:

 #maldet -u 

Rfxn.com से फोर्स अपडेट:

 #maldet -d 

हम निर्दिष्ट निर्देशिका में पिछले एक्स दिनों (इस मामले में 2) में परिवर्तित सभी फाइलों को स्कैन करते हैं

 #maldet -r /home/user1/ 2 

हम rfxn.com को एक अज्ञात भेद्यता भेजते हैं:

 #maldet -c /home/user1/file.php 

संगरोध स्कैन स्कैन परिणाम (स्कैन परिणामों से आईडी)

 #maldet -q 091713-1715.24128 

स्कैन परिणाम साफ़ करने की कोशिश कर रहा है

 #maldet -n, --clean 091713-1715.24128 

कार्यक्रम को GNU GPLv2 के तहत लाइसेंस प्राप्त है।
आधिकारिक परियोजना पृष्ठ: http://www.rfxn.com/projects/linux-malware-detect लिनक्स मालवेयर डिटेक्ट।

मेरे पास उपयोग करने और अनुकूलित करने का अनुभव है, मुझे टिप्पणियों में सभी सवालों के जवाब देने में खुशी होगी।