Cara Install dan Menggunakan Linux Malware Detect (LMD) dengan ClamAV sebagai Mesin Antivirus
Malware, atau perangkat lunak berbahaya, adalah sebutan yang diberikan kepada program apa pun yang bertujuan mengganggu pengoperasian normal sistem komputasi. Meskipun bentuk malware yang paling terkenal adalah virus, spyware, dan adware, dampak buruk yang ditimbulkannya bisa berkisar dari mencuri informasi pribadi hingga menghapus data pribadi, dan segala sesuatu di antaranya, sementara kegunaan klasik malware lainnya adalah untuk mengontrol sistem untuk menggunakannya untuk meluncurkan botnet dalam serangan (D)DoS.
Dengan kata lain, Anda tidak boleh berpikir, “Saya tidak perlu mengamankan sistem saya dari malware karena saya tidak menyimpan data sensitif atau penting apa pun”, karena itu bukan satu-satunya target malware.
Oleh karena itu, dalam artikel ini, kami akan menjelaskan cara menginstal dan mengkonfigurasi Linux Malware Detect (alias MalDet atau disingkat LMD) beserta ClamAV (Mesin Antivirus) di RHEL 8/7/6 (dengan x adalah nomor versi), CentOS 8/7/6 dan Fedora 30-32 (petunjuk yang sama juga berfungsi di Ubuntu dan sistem Debian).
Pemindai malware yang dirilis di bawah lisensi GPL v2, dirancang khusus untuk lingkungan hosting. Namun, Anda akan segera menyadari bahwa Anda akan mendapat manfaat dari MalDet apa pun jenis lingkungan yang Anda kerjakan.
Menginstal LMD di RHEL/CentOS dan Fedora
LMD tidak tersedia dari repositori online tetapi didistribusikan sebagai tarball dari situs web proyek. Tarball yang berisi kode sumber versi terbaru selalu tersedia di tautan berikut, yang dapat diunduh dengan perintah wget:
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
Kemudian kita perlu membongkar tarball dan masuk ke direktori tempat isinya diekstraksi. Karena versi saat ini adalah 1.6.4, direktorinya adalah maldetect-1.6.4. Di sana kita akan menemukan skrip instalasi, install.sh.
tar -xvf maldetect-current.tar.gz
ls -l | grep maldetect
cd maldetect-1.6.4/
ls
Jika kita memeriksa skrip instalasi, yang panjangnya hanya 75 baris (termasuk komentar), kita akan melihat bahwa skrip tersebut tidak hanya menginstal alat tetapi juga melakukan pemeriksaan awal untuk melihat apakah direktori instalasi default ( /usr/local/maldetect) ada. Jika tidak, skrip akan membuat direktori instalasi sebelum melanjutkan.
Terakhir, setelah instalasi selesai, eksekusi harian melalui cron dijadwalkan dengan menempatkan skrip cron.daily (lihat gambar di atas) di /etc/ cron.daily. Skrip pembantu ini akan, antara lain, menghapus data sementara yang lama, memeriksa rilis LMD baru, dan memindai Apache default dan panel kontrol web (misalnya CPanel, DirectAdmin, dan lain-lain) direktori data default.
Karena itu, jalankan skrip instalasi seperti biasa:
./install.sh
Mengonfigurasi Deteksi Malware Linux
Konfigurasi LMD ditangani melalui /usr/local/maldetect/conf.maldet dan semua opsi diberi komentar dengan baik untuk membuat konfigurasi menjadi tugas yang lebih mudah. Jika Anda mengalami kebuntuan, Anda juga dapat merujuk ke /maldetect-1.6.4/README untuk petunjuk lebih lanjut.
Dalam file konfigurasi Anda akan menemukan bagian berikut, diapit dalam tanda kurung siku:
- PERINGATAN EMAIL
- OPSI KARANTINA
- OPSI PINDAI
- ANALISIS STATISTIK
- OPSI PEMANTAUAN
Masing-masing bagian ini berisi beberapa variabel yang menunjukkan bagaimana LMD akan berperilaku dan fitur apa saja yang tersedia.
- Setel email_alert=1 jika Anda ingin menerima pemberitahuan email tentang hasil pemeriksaan malware. Agar singkatnya, kami hanya akan menyampaikan email ke pengguna sistem lokal, namun Anda dapat menjelajahi opsi lain seperti mengirim peringatan email ke luar juga.
- Setel email_subj=”Subjek Anda di sini” dan email_addr=namapengguna@localhost jika sebelumnya Anda telah menyetel email_alert=1.
- Dengan quar_hits, tindakan karantina default untuk serangan malware (0=peringatan saja, 1=pindah ke karantina & peringatan) Anda akan memberi tahu LMD apa yang harus dilakukan ketika malware terdeteksi.
- quar_clean akan membiarkan Anda memutuskan apakah Anda ingin membersihkan injeksi malware berbasis string. Perlu diingat bahwa tanda tangan string, menurut definisi, adalah “urutan byte yang berdekatan yang berpotensi cocok dengan banyak varian keluarga malware”.
- quar_susp, tindakan penangguhan default untuk pengguna dengan hit, akan memungkinkan Anda menonaktifkan akun yang file miliknya telah diidentifikasi sebagai hit.
- clamav_scan=1 akan memberitahu LMD untuk mencoba mendeteksi keberadaan biner ClamAV dan menggunakannya sebagai mesin pemindai default. Hal ini menghasilkan kinerja pemindaian empat kali lebih cepat dan analisis hex yang unggul. Opsi ini hanya menggunakan ClamAV sebagai mesin pemindai, dan tanda tangan LMD masih menjadi dasar untuk mendeteksi ancaman.
Kesimpulannya, baris dengan variabel-variabel ini akan terlihat seperti berikut di /usr/local/maldetect/conf.maldet:
email_alert=1
email_addr=gacanepa@localhost
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quar_hits=1
quar_clean=1
quar_susp=1
clam_av=1
Menginstal ClamAV di RHEL/CentOS dan Fedora
Untuk menginstal ClamAV agar dapat memanfaatkan setelan clamav_scan, ikuti langkah-langkah berikut:
Aktifkan repositori EPEL.
yum install epel-release
Kemudian lakukan:
yum update && yum install clamd
apt update && apt-get install clamav clamav-daemon [Ubuntu/Debian]
Catatan: Ini hanyalah petunjuk dasar untuk menginstal ClamAV guna mengintegrasikannya dengan LMD. Kami tidak akan menjelaskan secara rinci mengenai pengaturan ClamAV karena seperti yang kami katakan sebelumnya, tanda tangan LMD masih menjadi dasar untuk mendeteksi dan membersihkan ancaman.
Menguji Deteksi Malware Linux
Sekarang saatnya menguji instalasi LMD/ClamAV terbaru kami. Daripada menggunakan malware sungguhan, kami akan menggunakan file uji EICAR, yang tersedia untuk diunduh dari situs web EICAR.
cd /var/www/html
wget http://www.eicar.org/download/eicar.com
wget http://www.eicar.org/download/eicar.com.txt
wget http://www.eicar.org/download/eicar_com.zip
wget http://www.eicar.org/download/eicarcom2.zip
Pada tahap ini, Anda dapat menunggu hingga tugas cron berikutnya dijalankan atau menjalankan sendiri maldet secara manual. Kami akan memilih opsi kedua:
maldet --scan-all /var/www/
LMD juga menerima wildcard, jadi jika Anda hanya ingin memindai jenis file tertentu, (misalnya file zip), Anda dapat melakukannya:
maldet --scan-all /var/www/*.zip
Ketika pemindaian selesai, Anda dapat memeriksa email yang dikirim oleh LMD atau melihat laporan dengan:
maldet --report 021015-1051.3559
Dimana 021015-1051.3559 adalah SCANID (SCANID akan sedikit berbeda dalam kasus Anda).
Penting: Harap dicatat bahwa LMD menemukan 5 hit sejak file eicar.com diunduh dua kali (sehingga menghasilkan eicar.com dan eicar.com.1).
Jika Anda memeriksa folder karantina (saya baru saja meninggalkan salah satu file dan menghapus sisanya), kita akan melihat yang berikut:
ls -l
Anda kemudian dapat menghapus semua file yang dikarantina dengan:
rm -rf /usr/local/maldetect/quarantine/*
Dalam hal itu,
maldet --clean SCANID
Tidak menyelesaikan pekerjaan karena alasan tertentu. Anda dapat merujuk ke screencast berikut untuk penjelasan langkah demi langkah proses di atas:
Pertimbangan Akhir
Karena maldet perlu diintegrasikan dengan cron, Anda perlu mengatur variabel berikut di crontab root (ketik crontab -e sebagai root dan tekan tombol Masukkan kunci) jika Anda menyadari bahwa LMD tidak berjalan dengan benar setiap hari:
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
SHELL=/bin/bash
Ini akan membantu memberikan informasi debug yang diperlukan.
Kesimpulan
Dalam artikel ini, kita telah membahas cara menginstal dan mengkonfigurasi Linux Malware Detect, bersama dengan ClamAV, sekutu yang kuat. Dengan bantuan 2 alat ini, mendeteksi malware seharusnya menjadi tugas yang cukup mudah.
Namun, bantulah diri Anda sendiri dan pahami file README seperti yang dijelaskan sebelumnya, dan Anda akan yakin bahwa sistem Anda diperhitungkan dan dikelola dengan baik.
Jangan ragu untuk meninggalkan komentar atau pertanyaan Anda, jika ada, menggunakan formulir di bawah ini.
Tautan Referensi
Beranda LMD