Linux Malware Detect (LMD) là phần mền tìm và diệt mã độc dành cho Linux, được thiết kế cho các môi trường lưu trữ chia sẻ. LMD được phát hành theo giấy phép GNU GPLv2, nó có thể được cài đặt trên cPanel WHM và các môi trường Linux với cùng công cụ phát hiện khác như ClamAV. Clam AntiVirus (ClamAV) là một phần mền nguồn mở để chống virus, nó giúp phát hiện trojan, virus và phần mềm độc hại. ClamAV hỗ trợ nhiều nền tảng bao gồm cả Linux, Windows và MacOS. Trong hướng dẫn này, tôi sẽ cho bạn thấy làm thế nào để cài đặt Linux Malware Detect (LMD) với Clam AntiVirus (ClamAV). Tôi sẽ sử dụng CentOS 7 là hệ điều hành Bước 1 - Cài đặt kho EPEL và mailx Cài đặt các kho EPEL và lệnh mailx với yum. Chúng tôi cài đặt mailx trên hệ thống để cho LMD có thể gửi báo cáo quét đến địa chỉ email của bạn. Mã: yum -y install epel-release Mã: yum -y install mailx Bước 2 - Cài đặt Linux Malware Detect (LMD) Tải LMD và giải nén nó: Mã: cd /tmp wget http://www.rfxn.com/downloads/maldetect-current.tar.gz tar -xzvf maldetect-current.tar.gz Chuyển đến thư mục maldetect và chạy script 'install.sh': Mã: cd maldetect-1.5 ./install.sh Tiếp theo, tạo một liên kết symlink cho lệnh maldet trong thư mục /bin/: Mã: ln -s /usr/local/maldetect/maldet /bin/maldet hash -r Bước 3 - Cấu hình Linux Malware Detect Tất cả cấu hình của ứng dụng này nằm tại file: /usr/local/maldetect/conf.maldet , chúng ta quan tâm tới một số options sau: Các giá trị 0 và 1 có ý nghĩa như sau: 1=true và 0=false. Tới thư mục đó và chỉnh sửa các tập tin cấu hình 'conf.maldet' với vim: Mã: cd /usr/local/maldetect/ vim conf.maldet Mã: email_alert=1 ---> Nếu bạn muốn nhận thông báo qua email. Mã: email_addr=admin@mangmaytinh.net ---> Khai báo email sẽ nhận thông báo. Mã: email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)" ---> Tiêu đề email thông báo. Mã: scan_clamscan="1"---> Sử dụng thư viện mã độc của clamav để quét Mã: quarantine_hits="1" --->di chuyển mã độc tới thư mục /usr/local/maldetect/quarantine/ Mã: quarantine_clean="1" ---> Xóa mã độc khi phát hiện được Lưu lại và thoát. Bước 4 - Cài đặt ClamAV Cài đặt ClamAV và ClamAV devel với yum: Mã: yum -y install clamav clamav-devel Sau khi ClamAV đã được cài đặt, cập nhật cơ sở dữ liệu vi rút ClamAV với lệnh freshclam: Mã: freshclam Bước 5 - Kiểm tra LMD và ClamAV Chúng tôi sẽ kiểm tra quét LMD với lệnh maldet. Chúng tôi sẽ sử dụng lệnh maldet để quét thư mục /home/mangmaytinh.net/public_html , thư mục này các bạn thay đổi để cho phù hợp với máy chủ của mình: - Chuyển đến thư mục trên và tải về một số mẫu phần mềm độc hại (eicar) với wget: Mã: cd /home/mangmaytinh.net/public_html wget http://www.eicar.org/download/eicar.com.txt wget http://www.eicar.org/download/eicar_com.zip wget http://www.eicar.org/download/eicarcom2.zip - Tiếp theo, quét thư mục trên với lệnh maldet dưới đây: Mã: maldet -a /home/mangmaytinh.net/public_html - Sau khi scan xong hệ thống sẽ báo cáo kết quả kèm theo một mã số ví dụ như sau: SCAN ID: 161016-0336.443861 - Xem kết quả report mình sử dụng lệnh sau: Mã: maldet --report 161016-0336.443861 Bước 6 – Một số lệnh maldet khác - Nếu bạn chỉ muốn quét một số loại tập tin cụ thể (.php chẳng hạn), bạn có thể sử dụng lệnh sau: Mã: maldet --scan-all /home/mangmaytinh.net/public_html/*.php - Bạn có thể cập nhật Linux Malware Detect bằng cách chạy lệnh sau: Mã: maldet -u - Xóa tất cả các files đã cách ly: Mã: rm -rf /usr/local/maldetect/quarantine/* - Có được một danh sách của tất cả các báo cáo: Mã: maldet -e list - Quét các tập tin đã được tạo/sửa đổi trong 5 ngày gần đây. Mã: maldet -r /var/www/html/ 5 - Khôi phục tập tin từ thư mục quarantine. Mã: maldet -s SCANID - Kích hoạt tính năng giám sát của một thư mục. Mã: maldet -m /var/www/html/ - Kiểm tra tập tin log monitors: Mã: tail -f /usr/local/maldetect/logs/inotify_log