Malware, ou software malicioso, é a designação dada a qualquer programa que visa interromper a operação normal de um sistema na computação. Embora as formas mais conhecidas de malware são vírus, spyware e adware, os danos que eles pretendem fazer pode variar de roubar informações privadas bem como exclusão de dados pessoais e todo o resto, enquanto outro uso clássico de malware é para controlar o sistema a fim de usá-lo para lançar botnets em um ataque DDoS.
Em outras palavras, você não pode dar ao luxo de pensar “eu não preciso proteger meus sistemas contra malware porque eu não uso para armazenar quaisquer dados sensíveis ou importantes”, porque esses não são os únicos alvos de malware.
Por essa razão, neste artigo vamos explicar como instalar e configurar o Linux Malware Detect (aka MalDet ou LMD), juntamente com ClamAV (Antivirus Engine) no RHEL 7.x/6.x, CentOS 7.x/6.x e Fedora 21-22-23.
Instalando LMD no RHEL 7.x/6.x, CentOS 7.x/6.x e Fedora 21-22-23.
LMD não está disponível a partir de repositórios online, mas é distribuído como um arquivo tar a partir do site do projeto. O arquivo tar contendo o código fonte da versão mais recente está sempre disponível no seguinte link, você pode fazer o download com:
# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
Após precisamos descompactar o arquivo tar e entrar no diretório onde o seu conteúdo foi extraído. A versão atual é 1.5.0, o diretório é maldetect-1.5.0. Vamos encontrar o script de instalação, install.sh.
# tar -xvf maldetect-current.tar.gz # ls -l | grep maldetect
Se você inspecionar o script de instalação, que é de apenas 75 linhas de comprimento (incluindo as linhas comentadas), verá que ele não só instala a ferramenta, mas também realiza uma pré-verificação para ver se o diretório de instalação padrão (usr/local/maldetect) existe. Se não, o script cria o diretório de instalação antes de prosseguir.
Finalmente, depois de concluída a instalação, a execução diária via cron é programado colocando o script em cron.daily em /etc/cron.daily. Este script auxiliar irá, entre outras coisas, limpar dados temporários antigos, verificar se há novas versões LMD, e escanear o diretório padrão do Apache e painéis de controle web (ou seja, cPanel, DirectAdmin, para citar alguns).
Feito isso, execute o script de instalação como de costume:
# ./install.sh
Configurando Linux Malware Detect
A configuração do LMD é feita através do arquivo /usr/local/maldetect/conf.maldet e todas as opções são bem comentadas para tornar a configuração de uma tarefa bastante fácil. No caso de dúvidas, você pode consultar /usr/local/src/maldetect-1.5.0/README para obter mais instruções.
No arquivo de configuração, você encontrará as seguintes seções, fechados dentro de colchetes:
- EMAIL ALERTS
- QUARANTINE OPTIONS
- SCAN OPTIONS
- STATISTICAL ANALYSIS
- MONITORING OPTIONS
Cada uma dessas seções contém várias variáveis que indicam como LMD irá se comportar e quais recursos estão disponíveis
- email_alert=”1″se você deseja receber os resultados de inspeção de malware por e-mail.
- email_addr=”[email protected]” se tiver definido anteriormente email_alert=1.
- quarantine_hits=”1″ a ação de quarentena padrão para identificação de malware (0 = apenas alerta, 1 = move para quarentena e alerta) você vai configurar a ação do LMD quando malware é detectado.
- quarantine_clean=”1″ vai deixar você escolher se você quer limpar as infecções de malware baseados em strings. Tenha em mente que uma assinatura string é, por definição, “uma sequência de bytes contíguos que potencialmente pode combinar vários variantes de uma família de malware”.
- quarantine_suspend_user=”1″ suspende a conta que for identificada com malware .
- scan_clamscan=”1″ LMD vai tentar detectar a presença de ClamAV e utiliza-lo como escâner padrão. Isso é até quatro vezes mais rápido para fazer a verificação e análise hex. Esta opção só usa ClamAV como o motor do escâner, as assinaturas LMD ainda são a base para a detecção de ameaças.
Importante: Note que quarantine_clean e quarantine_suspend_user exigem que quarantine_hits ser habilitado (=1).
Resumindo, as linhas com essas variáveis deve olhar como segue em /usr/local/maldetect/conf.maldet:
email_alert=1 email_addr="[email protected]" quarantine_hits="1" quarantine_clean="1" quarantine_suspend_user="1" scan_clamscan="1"
Para instalar o ClamAV
Crie o arquivo repo: /etc/yum.repos.d/dag.repo:
# vi /etc/yum.repos.d/dag.repo
Adicione
[dag] name=Dag RPM Repository for Red Hat Enterprise Linux baseurl=http://apt.sw.be/redhat/el$releasever/en/$basearch/dag/ gpgcheck=1 gpgkey=http://dag.wieers.com/packages/RPM-GPG-KEY.dag.txt enabled=1
Então execute:
# yum update && yum install clamd
Nota: Essas são apenas as instruções básicas para instalar o ClamAV, a fim de integrá-lo com LMD. Não vamos entrar em detalhes quanto as configurações do ClamAV, como dissemos anteriormente, as assinaturas LMD ainda são a base para a detecção de ameaças e limpeza.
Conclusão
Neste artigo, discutimos como instalar e configurar o Linux Malware Detect, juntamente com ClamAV, um poderoso aliado. Com a ajuda destas duas ferramentas , a detecção de malware deve ser uma tarefa relativamente fácil.
No entanto, recomendamos se familiarizar com o arquivo README para você ser capaz de ter a certeza de que o sistema está bem configurado.
