Wah... sudah lama juga nih belum update blog nya, baru sempat sekarang, Kali ini saya akan coba sharing sedikit mengenai bagaimana cara nya untuk melakukan deteksi malware di OS Linux, Dulu pernah saya bahas juga untuk simple audit security dilinux pada tulisan ini.
Linux Malware Detect (LMD) adalah scanner malware untuk Linux yang dirilis di bawah lisensi GNU GPLv2, dirancang untuk mendeteksi adanya ancaman malware yang sudah tertanam di Linux. Selain itu, LMD ini sudah akan mendeteksi malware berdasarkan signature file nya yang berbasis hash MD5 yang dibandingkan juga dengan HEX pattern nya, Hasil scan LMB ini juga dapat dengan mudah diekspor ke sejumlah alat deteksi seperti ClamAV.
Kebetulan saya pakai Linux Centos untuk mencoba Linux Malware Detect ini. Langkah-langkah untuk melakukan instalasi nya adalah :
1. Download dulu LMD nya :
# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
2. Setelah selesai download, jangan lupa di extract :
# tar -xvzf maldetect-current.tar.gz
maldetect-1.4.2/
maldetect-1.4.2/CHANGELOG
maldetect-1.4.2/cron.daily
maldetect-1.4.2/README
maldetect-1.4.2/files/
maldetect-1.4.2/files/ignore_file_ext
maldetect-1.4.2/files/sigs/
maldetect-1.4.2/files/sigs/rfxn.ndb
maldetect-1.4.2/files/sigs/md5.dat
maldetect-1.4.2/files/sigs/hex.dat
maldetect-1.4.2/files/sigs/maldet.sigs.ver
maldetect-1.4.2/files/sigs/rfxn.hdb
maldetect-1.4.2/files/tmp/
maldetect-1.4.2/files/VERSION.hash
maldetect-1.4.2/files/ignore_inotify
maldetect-1.4.2/files/hexstring.pl
maldetect-1.4.2/files/maldet
maldetect-1.4.2/files/conf.maldet
maldetect-1.4.2/files/clean/
maldetect-1.4.2/files/clean/gzbase64.inject.unclassed
maldetect-1.4.2/files/clean/base64.inject.unclassed
maldetect-1.4.2/files/sess/
maldetect-1.4.2/files/pub/
maldetect-1.4.2/files/internals.conf
maldetect-1.4.2/files/quarantine/
maldetect-1.4.2/files/inotify/
maldetect-1.4.2/files/inotify/tlog
maldetect-1.4.2/files/inotify/inotifywait
maldetect-1.4.2/files/inotify/libinotifytools.so.0
maldetect-1.4.2/files/hexfifo.pl
maldetect-1.4.2/files/ignore_paths
maldetect-1.4.2/files/ignore_sigs
maldetect-1.4.2/files/modsec.sh
maldetect-1.4.2/cron.d.pub
maldetect-1.4.2/COPYING.GPL
maldetect-1.4.2/.ca.def
maldetect-1.4.2/install.sh
3. Kita masuk dulu kedalam folder hasil extract tadi, lalu jalankan instalasi nya dan pastikan linux nya sudah terkoneksi ke internet karena dibutuhkan untuk download signature yang dibutuhkan :
# ./install.sh
Linux Malware Detect v1.4.2
(C) 2002-2013, R-fx Networks
(C) 2013, Ryan MacDonald
inotifywait (C) 2007, Rohan McGovern
This program may be freely redistributed under the terms of the GNU GPL
installation completed to /usr/local/maldetect
config file: /usr/local/maldetect/conf.maldet
exec file: /usr/local/maldetect/maldet
exec link: /usr/local/sbin/maldet
exec link: /usr/local/sbin/lmd
cron.daily: /etc/cron.daily/maldet
imported config options from /usr/local/maldetect.last/conf.maldet
maldet(4130): {sigup} performing signature update check...
maldet(4130): {sigup} local signature set is version 201205035915
maldet(4130): {sigup} new signature set (2014100624041) available
maldet(4130): {sigup} downloaded http://cdn.rfxn.com/downloads/md5.dat
maldet(4130): {sigup} downloaded http://cdn.rfxn.com/downloads/hex.dat
maldet(4130): {sigup} downloaded http://cdn.rfxn.com/downloads/rfxn.ndb
maldet(4130): {sigup} downloaded http://cdn.rfxn.com/downloads/rfxn.hdb
maldet(4130): {sigup} downloaded http://cdn.rfxn.com/downloads/maldet-clean.tgz
maldet(4130): {sigup} signature set update completed
maldet(4130): {sigup} 11792 signatures (9899 MD5 / 1893 HEX)
4. Edit file konfigurasi nya :
# vi /usr/local/maldetect/conf.maldet
Berikut option konfigurasi sederhana nya :
# [ EMAIL ALERTS ]
##
# The default email alert toggle
# [0 = disabled, 1 = enabled]
email_alert=1
# The subject line for email alerts
email_subj="maldet alert from $(hostname)"
# The destination addresses for email alerts
# [ values are comma (,) spaced ]
email_addr="tecmint.com@gmail.com"
# Ignore e-mail alerts for reports in which all hits have been cleaned.
# This is ideal on very busy servers where cleaned hits can drown out
# other more actionable reports.
email_ignore_clean=0
##
# [ QUARANTINE OPTIONS ]
##
# The default quarantine action for malware hits
# [0 = alert only, 1 = move to quarantine & alert]
quar_hits=1
# Try to clean string based malware injections
# [NOTE: quar_hits=1 required]
# [0 = disabled, 1 = clean]
quar_clean=1
# The default suspend action for users wih hits
# Cpanel suspend or set shell /bin/false on non-Cpanel
# [NOTE: quar_hits=1 required]
# [0 = disabled, 1 = suspend account]
quar_susp=0
# minimum userid that can be suspended
quar_susp_minuid=500
Untuk melakukan scanning malware, misal nya kita akan melakukan scan terhadap folder home, maka perintah nya adalah :
# maldet --scan-all /home/
Linux Malware Detect v1.4.2
(C) 2002-2013, R-fx Networks
(C) 2013, Ryan MacDonald
inotifywait (C) 2007, Rohan McGovern
This program may be freely redistributed under the terms of the GNU GPL v2
maldet(4397): {scan} signatures loaded: 11792 (9899 MD5 / 1893 HEX)
maldet(4397): {scan} building file list for /home/, this might take awhile...
maldet(4397): {scan} file list completed, found 61819 files...
maldet(4397): {scan} 61819/61819 files scanned: 0 hits 0 cleaned
maldet(4397): {scan} scan completed on /home/: files 61819, malware hits 0, cleaned hits 0
maldet(4397): {scan} scan report saved, to view run: maldet --report 100714-1657.4397
Anda dapat memeriksa hasil report scan malware dengan menjalankan perintah berikut dan menambahkan report ID nya :
# maldet --report nomor xxxx.xxxxx
Dari contoh diatas, maka perintah nya :
# maldet --report 100714-1657.4397
Untuk mengkarantina file yang terinfeksi, jalankan perintah berikut sesuai dengan laporan ID nya, maka file suspect akan dikarantina untuk pembersihan :
# Maldet -q SCAN ID
# Maldet -quarantine SCAN ID
Untuk membersihkan semua hasil malware dari scan sebelumnya :
# Maldet -n SCAN ID
# Maldet --clean SCAN ID
Mengembalikan file yang telah Anda dikarantina :
# Maldet -s FILENAME
# Maldet --restore FILENAME
Semoga bermanfaat untuk teman semua :)
Dony Ramansyah
site : http://donyramansyah.net
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 400171
Tidak ada komentar:
Posting Komentar