Cómo instalar y utilizar Linux Malware Detect (LMD) con ClamAV como motor antivirus


Malware , o software malicioso, es la designación que se le da a cualquier programa que tenga como objetivo interrumpir el funcionamiento normal de un sistema informático. Aunque las formas más conocidas de malware son virus, spyware y adware, el daño que pretenden causar puede variar desde el robo de información privada hasta la eliminación de datos personales y todo lo demás, mientras que otro uso clásico del malware es controlar el para usarlo para lanzar botnets en un ataque (D) DoS.

En otras palabras, no puede permitirse el lujo de pensar: "No necesito proteger mi (s) sistema (s) contra el malware, ya que no estoy almacenando ningún dato importante o sensible", porque esos no son los únicos objetivos del malware.

Por esa razón, en este artículo, explicaremos cómo instalar y configurar Linux Malware Detect (también conocido como MalDet o LMD para abreviar) junto con ClamAV (motor antivirus) en RHEL 8/7/6 (donde x es el número de versión), CentOS 8/7/6 y Fedora 30-32 (las mismas instrucciones también funcionan en sistemas Ubuntu y Debian) .

Escáner de malware lanzado bajo la licencia GPL v2, especialmente diseñado para entornos de alojamiento. Sin embargo, pronto se dará cuenta de que se beneficiará de MalDet sin importar en qué tipo de entorno esté trabajando.

Instalación de LMD en RHEL / CentOS y Fedora

LMD no está disponible en repositorios en línea, pero se distribuye como tarball desde el sitio web del proyecto. El tarball que contiene el código fuente de la última versión siempre está disponible en el siguiente enlace, donde se puede descargar con el comando wget:

# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Luego necesitamos descomprimir el tarball e ingresar al directorio donde se extrajo su contenido. Dado que la versión actual es 1.6.4 , el directorio es maldetect-1.6.4 . Allí encontraremos el script de instalación, install.sh .

# tar -xvf maldetect-current.tar.gz
# ls -l | grep maldetect
# cd maldetect-1.6.4/
# ls

Si inspeccionamos el script de instalación, que tiene solo 75 líneas (incluidos los comentarios), veremos que no solo instala la herramienta, sino que también realiza una verificación previa para ver si el directorio de instalación predeterminado ( /usr/local/maldetect ) existe. De lo contrario, el script crea el directorio de instalación antes de continuar.

Finalmente, una vez completada la instalación, se programa una ejecución diaria a través de cron colocando el script cron.daily (consulte la imagen de arriba) en /etc/cron.daily . Este script auxiliar borrará, entre otras cosas, los datos temporales antiguos, buscará nuevas versiones de LMD y escaneará los paneles de control web y de Apache predeterminados (es decir, CPanel, DirectAdmin, por nombrar algunos) directorios de datos predeterminados.

Dicho esto, ejecute el script de instalación como de costumbre:

# ./install.sh

Configuración de Linux Malware Detect

La configuración de LMD se maneja a través de /usr/local/maldetect/conf.maldet y todas las opciones están bien comentadas para hacer que la configuración sea una tarea bastante fácil. En caso de que se quede atascado, también puede consultar /maldetect-1.6.4/README para obtener más instrucciones.

En el archivo de configuración encontrará las siguientes secciones, encerradas entre corchetes:

  1. EMAIL ALERTS
  2. QUARANTINE OPTIONS
  3. SCAN OPTIONS
  4. STATISTICAL ANALYSIS
  5. MONITORING OPTIONS

Cada una de estas secciones contiene varias variables que indican cómo se comportará LMD y qué funciones están disponibles.

  1. Set email_alert=1 if you want to receive email notifications of malware inspection results. For the sake of brevity, we will only relay mail to local system users, but you can explore other options such as sending mail alerts to the outside as well.
  2. Set email_subj=”Your subject here” and [email protected] if you have previously set email_alert=1.
  3. With quar_hits, the default quarantine action for malware hits (0 = alert only, 1 = move to quarantine & alert) you will tell LMD what to do when malware is detected.
  4. quar_clean will let you decide whether you want to clean string-based malware injections. Keep in mind that a string signature is, by definition, “a contiguous byte sequence that potentially can match many variants of a malware family”.
  5. quar_susp, the default suspend action for users with hits, will allow you to disable an account whose owned files have been identified as hits.
  6. clamav_scan=1 will tell LMD to attempt to detect the presence of ClamAV binary and use as default scanner engine. This yields an up to four times faster scan performance and superior hex analysis. This option only uses ClamAV as the scanner engine, and LMD signatures are still the basis for detecting threats.

Resumiendo, las líneas con estas variables deben verse como sigue en /usr/local/maldetect/conf.maldet :

email_alert=1
[email protected]
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quar_hits=1
quar_clean=1
quar_susp=1
clam_av=1

Instalación de ClamAV en RHEL / CentOS y Fedora

Para instalar ClamAV y aprovechar la configuración de clamav_scan , siga estos pasos:

Habilita el repositorio de EPEL.

# yum install epel-release

Entonces hazlo:

# yum update && yum install clamd
# apt update && apt-get install clamav clamav-daemon  [Ubuntu/Debian]

Nota: que estas son solo las instrucciones básicas para instalar ClamAV con el fin de integrarlo con LMD. No entraremos en detalles en lo que respecta a la configuración de ClamAV ya que, como dijimos anteriormente, las firmas LMD siguen siendo la base para detectar y limpiar amenazas.

Prueba de detección de malware de Linux

Ahora es el momento de probar nuestra reciente instalación de LMD / ClamAV . En lugar de usar malware real, usaremos los archivos de prueba de EICAR, que están disponibles para descargar desde el sitio web de EICAR.

# cd /var/www/html
# wget http://www.eicar.org/download/eicar.com 
# wget http://www.eicar.org/download/eicar.com.txt 
# wget http://www.eicar.org/download/eicar_com.zip 
# wget http://www.eicar.org/download/eicarcom2.zip 

En este punto, puede esperar a que se ejecute el siguiente trabajo cron o ejecutar maldet manualmente usted mismo. Iremos con la segunda opción:

# maldet --scan-all /var/www/

LMD también acepta comodines, por lo que si desea escanear solo un determinado tipo de archivo (es decir, archivos zip, por ejemplo), puede hacerlo:

# maldet --scan-all /var/www/*.zip

Cuando finalice el escaneo, puede verificar el correo electrónico que envió LMD o ver el informe con:

# maldet --report 021015-1051.3559

Donde 021015-1051.3559 es el SCANID (el SCANID será ligeramente diferente en su caso).

Importante: tenga en cuenta que LMD encontró 5 resultados desde que el archivo eicar.com se descargó dos veces (lo que resultó en eicar.com y eicar.com.1).

Si revisa la carpeta de cuarentena (acabo de dejar uno de los archivos y borré el resto), veremos lo siguiente:

# ls -l

Luego puede eliminar todos los archivos en cuarentena con:

# rm -rf /usr/local/maldetect/quarantine/*

En caso de que,

# maldet --clean SCANID

No hace el trabajo por alguna razón. Puede consultar el siguiente screencast para obtener una explicación paso a paso del proceso anterior:

Dado que maldet debe integrarse con cron , debe establecer las siguientes variables en el crontab de root (escriba crontab -e como root y presione el botón Enter ) en caso de que observe que LMD no se está ejecutando correctamente todos los días:

PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
SHELL=/bin/bash

Esto ayudará a proporcionar la información de depuración necesaria.

Conclusión

En este artículo, hemos discutido cómo instalar y configurar Linux Malware Detect , junto con ClamAV , un poderoso aliado. Con la ayuda de estas 2 herramientas, la detección de malware debería ser una tarea bastante sencilla.

Sin embargo, hágase un favor y familiarícese con el archivo README como se explicó anteriormente, y podrá estar seguro de que su sistema está bien contabilizado y bien administrado.

No dude en dejar sus comentarios o preguntas, si las hubiera, mediante el siguiente formulario.

Enlaces de referencia

Página de inicio de LMD