Phần mềm độc hại là phần mềm độc hại có mục tiêu là làm gián đoạn hoạt động trơn tru và bình thường của hệ thống máy tính hoặc máy chủ, thu thập thông tin cá nhân hoặc chỉ truy cập trái phép vào hệ thống / máy chủ. Các hệ thống Linux được biết là có ít phần mềm độc hại so với Windows, nhưng điều đó không có nghĩa là người dùng Linux nên thoải mái.

Hầu hết các cuộc tấn công trên Linux nhằm mục đích khai thác các lỗi trong các dịch vụ như các thùng chứa java và các trình duyệt, và mục đích chính của nó là thay đổi cách dịch vụ được nhắm mục tiêu hoạt động và đôi khi đóng hoàn toàn.

Một trong những cuộc tấn công nguy hiểm nhất trên hệ thống Linux là khi kẻ tấn công cố gắng lấy thông tin đăng nhập của người dùng. Khi điều này thành công, hacker có thể chạy bất cứ thứ gì họ muốn và có quyền truy cập vào dữ liệu bí mật. Họ cũng có thể tấn công các máy khác được kết nối với máy chủ Linux. Để chống lại điều này, người dùng có thể sử dụng Maldet để phát hiện và xóa phần mềm độc hại khỏi Linux và giữ cho hệ thống của họ luôn sạch sẽ.

Phát hiện phần mềm độc hại trên Linux

Maldet còn được gọi là Phát hiện phần mềm độc hại Linux (LMD). Nó là một máy quét phần mềm độc hại Linux được phát triển để xử lý các mối đe dọa phổ biến với môi trường được lưu trữ được chia sẻ. Nó sử dụng dữ liệu đe dọa từ các hệ thống phát hiện xâm nhập cạnh mạng để trích xuất phần mềm độc hại đang được sử dụng tích cực trong các cuộc tấn công và tạo chữ ký để phát hiện. Trong khi nó có vẻ phức tạp, nó rất dễ sử dụng.

Cài đặt Maldet

Mở một thiết bị đầu cuối và chạy lệnh dưới đây để tải xuống ứng dụng:

 wget http://www.rfxn.com/downloads/maldetect-current.tar.gz 

Giải nén tệp lưu trữ đã tải xuống bằng lệnh dưới đây:

 tar -xvf maldetect-current.tar.gz 

Thay đổi thư mục hoạt động vào thư mục chứa tệp tin maldetect được trích xuất:

 cd maldetect-xy 

“Xy” là số phiên bản của ứng dụng. Trong thư mục này có kịch bản “install.sh”. Bước tiếp theo là chạy script bằng lệnh sau:

 sudo ./install.sh 

Nếu cài đặt thành công, bạn sẽ được thông báo. Bạn cũng sẽ được cho biết nơi Maldet đã được cài đặt. Trong trường hợp của tôi, nó đã được cài đặt là "/ usr / local / maldetect."

Cấu hình

Sau khi cài đặt Maldet, một tệp cấu hình được tạo trong thư mục Maldet có tên là “conf.maldet.” Để chỉnh sửa nó, hãy mở nó bằng cách sử dụng trình soạn thảo văn bản.

 gksu gedit /usr/local/maldetect/conf.maldet 

Hoặc bạn có thể sử dụng "nano" hoặc "vi" để chỉnh sửa nó trong thiết bị đầu cuối:

 sudo nano /usr/local/maldetect/conf.maldet 

Dưới đây là ví dụ về các tùy chọn có thể được đặt:

Thông báo có email

Nhận thông báo qua email khi phát hiện phần mềm độc hại.

  • Đặt “email_alert” thành 1.
  • Thêm địa chỉ email của bạn vào tùy chọn “email_addr”.
  • Thay đổi “email_ignore_clean” thành 1. Điều này được sử dụng để bỏ qua các cảnh báo được gửi tới bạn khi phần mềm độc hại được tự động xóa.

Tùy chọn kiểm dịch

Các hành động cần thực hiện khi phát hiện phần mềm độc hại:

  • Đặt “quarantine_hits” thành 1 để các tệp bị ảnh hưởng được tự động cách ly.
  • Đặt “quarantine_clean” thành 1 để tự động xóa các tệp bị ảnh hưởng. Đặt giá trị này thành 0 cho phép bạn kiểm tra các tệp trước khi làm sạch chúng.
  • Đặt "quarantine_suspend_user" thành 1 sẽ tạm ngưng người dùng có tài khoản bị ảnh hưởng, trong khi "quarantine_suspend_user_minuid" đặt id người dùng tối thiểu sẽ bị tạm ngưng. Điều này được đặt thành 500 theo mặc định nhưng có thể thay đổi.

Có nhiều tùy chọn cấu hình khác mà bạn có thể thực hiện và thực hiện các thay đổi cần thiết. Khi bạn đã hoàn tất cấu hình, hãy lưu và đóng tệp.

Đang quét phần mềm độc hại

Bạn có thể chạy quét cơ bản theo cách thủ công hoặc tự động quét để diễn ra theo định kỳ.

Để chạy quét, hãy chạy lệnh sau:

 sudo maldet --scan-all / folders / to / scan 

Khi lệnh này được chạy, một danh sách các tệp được xây dựng từ các thư mục trong đường dẫn và việc quét các tệp bắt đầu. Thay đổi đường dẫn tệp “/ folders / to / scan” thành thư mục mà bạn muốn Maldet quét. Sau khi quét, báo cáo được tạo và sau đó bạn có thể xem tệp nào bị ảnh hưởng.

Cách kiểm dịch các tệp bị ảnh hưởng

Nếu bạn đặt “quarantine_hits” thành 1, Maldet sẽ tự động di chuyển các tệp bị ảnh hưởng để kiểm dịch. Khi được đặt thành 0, báo cáo được tạo cho bạn biết vị trí của các tệp bị ảnh hưởng. Sau đó bạn có thể kiểm tra các tập tin và quyết định có nên làm sạch chúng hay không.

Khôi phục tệp

Đôi khi bạn có thể có dương tính giả dẫn đến tệp bị cách ly vì lý do sai. Để khôi phục tệp như vậy, hãy chạy lệnh sau:

 sudo maldet –restore FILENAME 

Quét tự động

Trong quá trình cài đặt Maldet, một tính năng cronjob cũng được cài đặt tại “/etc/cron.daily/maldet.” Điều này sẽ quét các thư mục chính cũng như bất kỳ tệp / thư mục nào đã được thay đổi gần đây hàng ngày. Nó sẽ luôn thông báo cho bạn về bất kỳ phần mềm độc hại nào thông qua địa chỉ email trong tệp cấu hình.

Phần kết luận

Nhiều người nói rằng các hệ thống Linux miễn nhiễm với phần mềm độc hại, nhưng điều đó không đúng. Bạn có thể bị lừa khi cài đặt phần mềm độc hại hoặc phần mềm độc hại thậm chí có thể lây lan qua email và điều này sẽ gây ra thiệt hại cho hệ thống của bạn. Ngoài ra còn có nhiều lỗ hổng khác mà tin tặc cố gắng truy cập trái phép, làm cho hệ thống không an toàn. Để giữ an toàn, bạn có thể sử dụng Maldet để giữ cho hệ thống của bạn luôn sạch sẽ. Các biện pháp khác mà bạn có thể thực hiện bao gồm thiết lập quy trình giám sát mạng và quy tắc tường lửa trong số các biện pháp khác.