HomeKnowledge BaseWindows Knowledge baseSpeed up your PC in 5 Step

ติดเกราะ Linux ป้องกัน Malware ด้วย LMD

Malware Detect for Linux

    ปัจจุบัน Linux ได้กลายเป็น OS ที่สำคัญ เนื่องจากมีขนาดเล็ก มีประสิทธิภาพสูง สามารถติดตั้งได้ตั้งแต่เครื่อง PC ขนาดเล็ก processor 386 memory 128-256MB ก็สามารถใช้เป็น Linux Server ได้แล้ว นอกจากนี้ยังเป็น Open Source OS ทำให้เป็นที่นิยมใช้เป็น Server สำหรับระบบต่างๆ เช่น File Server, Mail Server, Web Server, Database Server, Application Server รวมทั้งทำเป็น Hosting สำหรับให้บริการ Web, Database และ Email สำหรับ ผุ้ใช้บริการรายย่อยๆทั่วไป

    ปัญหาสำคัญในการติดตั้ง และ ใช้งาน Web Server, Mail Server, File Server, Database Server คือ ปัญหาเรื่อง Virus, Malware ต่างๆในโลก Internet ที่แพร่กระจายสู่ Server แทบทุกค่าย ทุก OS ผ่านทาง email, web, attach file รวมทั้ง script และ ภาพต่างๆ

    Linux Knowledge Base บทความนี้จึงขอแนะแนวทางหนึ่งในการป้องกัน และ กำจัด Virus Malware โดยใช้ Linux Malware Detect ดังต่อไปนี้

    Linux Malware Detect (LMD) เป็น software มีประสิทธิภาพ และ ยีดหยุ่นในการใช้งาน อีกทั้งยังสามารถติดตั้งใช้งานร่วมกับ ClamAV ซึ่งเป็น Open Source Antivirus ตัวเก่งบน Linux อีกด้วย

ขั้นตอนในการติดตั้ง Linux Malware Detect (LMD) เป็นดังนี้

    เนื่องจาก Linux มีหลาย Distro (Distribution) ดังนั้นในบทความนี้จะขอนำเสนอวิธีการติดตั้งบน CentOS Distro

โดยใช้ CentOS 6.5 x64

    1. update Path และ Security update ของ Linux  

             #  login as root

             # yum update

              [Download EPEL]

             # wget http://download.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
             # rpm -ivh epel-release-6-8.noarch.rpm

    2. ติดตั้ง ClamAV รวมทั้ง update scan engine และ Database ให้เป็น Version ล่าสุด

        ( ในกรณีที่ต้องการใช้ LMD ให้ทำงานร่วมกับ ClamAV เพื่อเพิ่มประสิทธิภาพในการ Scan และ กำจัด Malware) 

       *** แนะนำให้ติดตั้ง CalmAV เพื่อทำงานร่วมกับ LMD

               Install ClamAV
       # yum install clamd clamav -y

              update ClamAV database
              #  freshclam

    3. ติดตั้ง LMD ด้วย package ปัจจุบัน

              # cd /usr/local/src/

          Download LMD package ปัจจุบันในรูป  tar file โดยใช้คำสั่ง wget
              # wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

          Extract file โดยใช้คำสั่ง tar ดังนี้
       # tar -xzf maldetect-current.tar.gz

          ไปยัง maldet folder
       # cd maldetect-*

           run sh command to install maldet.
       # sh ./install.sh or sudo sh ./install.sh

            หลัง package ถูกติดตั้งเสร็จ จะแสดง Report การติดตั้ง
 

     Linux Malware Detect v1.3.4
     (C) 1999-2010, R-fx Networks <This email address is being protected from spambots. You need JavaScript enabled to view it.>
     (C) 2010, Ryan MacDonald <This email address is being protected from spambots. You need JavaScript enabled to view it.>
     inotifywait (C) 2007, Rohan McGovern <This email address is being protected from spambots. You need JavaScript enabled to view it.>
     This program may be freely redistributed under the terms of the GNU GPL

     installation completed to /usr/local/maldetect
     config file: /usr/local/maldetect/conf.maldet
     exec file: /usr/local/maldetect/maldet
     exec link: /usr/local/sbin/maldet
     cron.daily: /etc/cron.daily/maldet

     maldet(32517): {sigup} performing signature update check…
     maldet(32517): {sigup} local signature set is version 2010051510029
     maldet(32517): {sigup} latest signature set already installed

    4. Config LMD เพื่อให้การทำงานเหมาะสมกับการใช้งานของแต่ละระบบ

          Config ของ LMD จะเก็บอยู่ในไฟล์ "conf.maldet" ซึ่งอยู่ใน  /usr/local/maldetect/conf.maldet

         ใน conf.maldet นี้จะเก็บค่า config ต่างๆ ของ LMD รวมทั้งคำแนะนำในการใช้ Option และ ความหมายของค่าต่างๆโดยละเอียด ดังนั้น เราจะนำเอาเฉพาะค่าต่างๆที่สำคัญ และ จำเป็นในการตั้งค่าใช้งาน มาแนะนำในที่นี้ ส่วนการปรับปรุงค่าโดยละเอียดสามารถ ดู comment และ คำแนะนำใน config ได้

          การตั้งค่า LMD config (conf.maldet)

          4.1 ทำการแก้ไขไฟล์ config ด้วย nano (editor) ดังนี้

                 # nano /usr/local/maldetect/conf.maldet

                ปรับเปลี่ยนค่า option ต่างๆที่จำเป็นดังนี้

  1. email_alert : เป็นตั้งค่าเตือนทาง email โดยถ้าค่า email_alert = 1 คือ enable การเตือนทาง email,           email_alert = 0 disable การเตือน
  2. email_subj : เป็นส่วนใส่ข้อความ Subjet สำหรับ email aleart
  3. email_addr : เป็นตั้งค่า email address ที่จะส่งคำเตือนจาก LMD
  4. quar_hits : เป็นการตั้งค่าการทำงานเมื่อพบ malwar  โดยตั้งค่า quar_hits = 0 คือแจ้งเตือนเท่า  หากตั้งค่า quar_hits = 1 เป็นการ move malware ไปยัง qualentire และ ส่งคำเตือน ค่าปกติของ quar_hits = 1
  5. quar_clean : เป็นการตั้งค่าการ Cleaning detected malware injections, ปกติตั้งค่า quar_clean = 1 คือสั่งให้ clean detect malware ก่อน หาก clean ไม่ได้ให้ move to qualentire folder

       Example:

           email_alert=1

           email_subj="Maldet alert from $(hostname)"

           email_addr="This email address is being protected from spambots. You need JavaScript enabled to view it."

           quar_hits=1

           quar_clean=1

           เก็บค่า config ที่แก้ไขโดย

               Ctrl-O เพื่อ save file ในชื่อเดิมคือ 'conf.maldet' <enter>

    5. Configure การ Scan และ Update Database แบบ manual

           Scan folder ต่างๆ ได้ด้วยคำสั่ง

                # maldet -a /path/to/directory   ; โดย option -a เป็นการสั่งให้ scan all directory & subdirectory

            หรือ

                # maldet -b -a /path/to/directory ; โดย option -a เป็นการสั่งให้ scan all directory & subdirectory

                                                                                       -b เป็นการสั่งให้ scan แบบ background

              Example:

                # maldet -a /home/username/

                # maldet -a /var/www/

               คำสั่งที่ใช้ในการ update LMD

                # maldet -u  หรือ  # maldet -d

               คำสั่งในการขอดู help option

                # maldet -h

    6. Configure การ Scan และ Update Database แบบอัติโนมัติ

            โดยปกติในขั้นตอนการ install LMD จะติดตั้ง daily cronjob ให้โดยอัติโนมัติ เพื่อทำการ Scan malware และ Update LMD โดยอัติโนมัติ ดูได้จาก installation report ด้านบน cron.daily: /etc/cron.daily/maldet โดย daily cronjob จะถูกสร้างไว้ใน

                 /etc/cron.daily/maldet      

             เราสามารถปรับเปลี่ยนเงื่อนไขการ scan และ update ได้โดยแก้ไข daily cron job นี้

       ตัวอย่าง daily cronjob ที่เก็บอยู่ใน   /etc/cron.daily/maldet คือ

#!/bin/bash

# clear quarantine/session/tmp data every 14 days
/usr/sbin/tmpwatch 336 /usr/local/maldetect/tmp >> /dev/null 2>&1
/usr/sbin/tmpwatch 336 /usr/local/maldetect/sess >> /dev/null 2>&1
/usr/sbin/tmpwatch 336 /usr/local/maldetect/quarantine >> /dev/null 2>&1
/usr/sbin/tmpwatch 336 /usr/local/maldetect/pub/*/ >> /dev/null 2>&1

# check for new release version
/usr/local/maldetect/maldet -d >> /dev/null 2>&1

# check for new definition set
/usr/local/maldetect/maldet -u >> /dev/null 2>&1

# if were running inotify monitoring, send daily hit summary
if [ "$(ps -A --user root -o "comm" | grep inotifywait)" ]; then
        /usr/local/maldetect/maldet --alert-daily >> /dev/null 2>&1
else
        # scan the last 2 days of file changes
        if [ -d "/home/virtual" ] && [ -d "/usr/lib/opcenter" ]; then
                # ensim
                /usr/local/maldetect/maldet -b -r /home/virtual/?/fst/var/www/html 2 >> /dev/null 2>&1
                /usr/local/maldetect/maldet -b -r /home/virtual/?/fst/home/?/public_html 2 >> /dev/null 2>&1
        elif [ -d "/etc/psa" ] && [ -d "/var/lib/psa" ]; then
                # psa
                /usr/local/maldetect/maldet -b -r /var/www/vhosts/?/httpdocs 2 >> /dev/null 2>&1
                /usr/local/maldetect/maldet -b -r /var/www/vhosts/?/subdomains/?/httpdocs 2 >> /dev/null 2>&1
        elif [ -d "/usr/local/directadmin" ]; then
                # DirectAdmin
                /usr/local/maldetect/maldet -b -r /var/www/html/?/ 2 >> /dev/null 2>&1
                /usr/local/maldetect/maldet -b -r /home?/?/domains/?/public_html 2 >> /dev/null 2>&1
        else
                # cpanel, interworx and other standard home/user/public_html setups
                /usr/local/maldetect/maldet -b -r /home?/?/public_html 2 >> /dev/null 2>&1
        fi
fi

 

        หากท่านมีข้อคำถามหรือ ข้อสงสัย สามารถติดต่อสอบถามได้ทาง email: This email address is being protected from spambots. You need JavaScript enabled to view it.

สมัครสมาชิก EIT

Free business joomla templates