CentOS 7에 LMD(Linux Malware Detect) 및 ClamAV를 설치하는 방법
이 페이지에서
- 1단계 - Epel 저장소 및 Mailx 설치
- 2단계 - LMD(Linux Malware Detect) 설치
- 3단계 - LMD(Linux Malware Detect) 구성
- 4단계 - ClamAV 설치
- 5단계 - LMD 및 ClamAV 테스트
- 6단계 - 기타 LMD 명령
- 참조
LMD(Linux Malware Detect)는 공유 호스팅 환경용으로 설계된 Linux용 맬웨어 탐지기 및 스캐너입니다. LMD는 GNU GPLV2 라이선스로 출시되며 ClamAV와 같은 다른 탐지 도구와 함께 cPanel WHM 및 Linux 환경에 설치할 수 있습니다.
Clam AntiVirus(ClamAV)는 트로이 목마, 맬웨어, 바이러스 및 기타 악성 소프트웨어를 탐지하는 오픈 소스 바이러스 백신 솔루션입니다. ClamAV는 Linux, Windows 및 MacOS를 포함한 여러 플랫폼을 지원합니다.
이 튜토리얼에서는 Clam AV(Clam AntiVirus)와 함께 LMD(Linux Malware Detect)를 설치하는 방법을 보여줍니다. 운영 체제로 CentOS 7을 사용하겠습니다.
전제 조건
- 센트OS 7
- 루트 권한\n
1단계 - Epel 저장소 및 Mailx 설치
Epel(Enterprise Linux용 추가 패키지) 저장소와 mailx 명령어를 yum으로 설치합니다. LMD가 스캔 보고서를 이메일 주소로 보낼 수 있도록 시스템에 mailx가 설치되어 있어야 합니다.
yum -y install epel-release
CentOS 7에서 mail 명령을 사용할 수 있도록 mailx를 설치합니다.
yum -y install mailx
2단계 - LMD(Linux Malware Detect) 설치
Linux Malware Detect는 CentOS 또는 Epel 리포지토리에서 사용할 수 없으므로 소스에서 수동으로 설치해야 합니다.
LMD를 다운로드하고 압축을 풉니다.
cd /tmp
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar -xzvf maldetect-current.tar.gz
maldetect 디렉터리로 이동하여 루트로 installer 스크립트 install.sh를 실행합니다.
cd maldetect-1.5
./install.sh
다음으로 /bin/ 디렉토리에서 maldet 명령에 대한 심볼릭 링크를 만듭니다.
ln -s /usr/local/maldetect/maldet /bin/maldet
hash -r
3단계 - LMD(Linux Malware Detect) 구성
LMD는 benn을 /usr/local/maldet/ 디렉토리에 설치했습니다. 해당 디렉토리로 이동하여 vim을 사용하여 구성 파일 conf.maldet을 편집합니다.
cd /usr/local/maldetect/
vim conf.maldet
16행에서 값을 1로 변경하여 이메일 알림을 활성화합니다.
email_alert="1"
21행에 이메일 주소를 입력하십시오.
email_addr=""
ClamAV clamscan 바이너리는 대용량 파일 세트에서 고성능 스캔을 제공하므로 기본 스캔 엔진으로 사용합니다. 114행에서 값을 1로 변경하십시오.
scan_clamscan="1"
다음으로 검역을 활성화하여 스캔 프로세스 중에 맬웨어를 자동으로 검역소로 이동합니다. 180행에서 값을 1로 변경하십시오.
quarantine_hits="1"
클린 기반 맬웨어 삽입을 활성화하려면 185행에서 값을 1로 변경하십시오.
quarantine_clean="1"
저장 및 종료.
4단계 - ClamAV 설치
이 단계에서는 LMD의 최상의 스캔 결과를 얻기 위해 Clam AntiVirus 또는 ClamAV를 설치합니다. ClamAV는 Epel 저장소(첫 번째 단계에서 설치한 저장소)에서 사용할 수 있습니다.
yum으로 ClamAV 및 ClamAV devel을 설치합니다.
yum -y install clamav clamav-devel
ClamAV가 설치된 후 freshclam 명령어로 ClamAV 바이러스 데이터베이스를 업데이트합니다.
freshclam
5단계 - LMD 및 ClamAV 테스트
maldet 명령어로 LMD 수동 스캔을 테스트합니다. maldet 명령어를 사용하여 웹 디렉토리 /var/www/html/을 스캔합니다.
웹 루트 디렉토리로 이동하여 wget을 사용하여 일부 샘플 맬웨어(eicar)를 다운로드합니다.
cd /var/www/html
wget http://www.eicar.org/download/eicar.com.txt
wget http://www.eicar.org/download/eicar_com.zip
wget http://www.eicar.org/download/eicarcom2.zip
그런 다음 아래의 maldet 명령어를 사용하여 웹 루트 디렉토리를 스캔합니다.
maldet -a /var/www/html
LMD가 ClamAV 스캐너 엔진을 사용하여 검사를 수행하고 있고 맬웨어 히트 3이 있고 맬웨어 파일이 자동으로 검역 디렉터리로 이동되었음을 알 수 있습니다.
아래 명령으로 스캔 보고서를 확인하십시오.
maldet --report 161008-0524.9466
SCANID=161008-0524.9466은 Maldet 출력에서 찾을 수 있습니다.
이제 LMD에서 보낸 이메일 보고서를 확인하십시오.
tail -f /var/mail/root
보시다시피 스캔 보고서가 대상 이메일 주소로 전송되었습니다.
6단계 - 기타 LMD 명령
특정 파일 확장자에 대해서만 검사를 수행합니다.
maldet -a /var/www/html/*.php
모든 보고서 목록 가져오기:
maldet -e list
지난 X일 동안 생성/수정된 파일을 검사합니다.
maldet -r /var/www/html/ 5
5=마지막 날.
격리 디렉터리에서 파일을 복원합니다.
maldet -s SCANID
디렉터리 모니터링을 활성화합니다.
maldet -m /var/www/html/
모니터 로그 파일을 확인하십시오.
tail -f /usr/local/maldetect/logs/inotify_log
참조
- https://github.com/andrewelkins/Linux-Malware-Detect