Recherche de site Web

Comment installer et utiliser Linux Malware Detect (LMD) avec ClamAV comme moteur antivirus

Malware, ou logiciel malveillant, est la désignation donnée à tout programme visant à perturber le fonctionnement normal d'un système informatique. Bien que les formes les plus connues de logiciels malveillants soient les virus, les logiciels espions et les logiciels publicitaires, les dommages qu'ils visent à causer peuvent aller du vol d'informations privées à la suppression de données personnelles, et tout le reste, tandis qu'une autre utilisation classique des logiciels malveillants consiste à contrôler le système afin de l'utiliser pour lancer des botnets dans une attaque (D)DoS.

En d’autres termes, vous ne pouvez pas vous permettre de penser : « Je n’ai pas besoin de sécuriser mon (mes) système(s) contre les logiciels malveillants puisque je ne stocke aucune donnée sensible ou importante », car ce ne sont pas les seules cibles des logiciels malveillants.

Pour cette raison, dans cet article, nous expliquerons comment installer et configurer Linux Malware Detect (alias MalDet ou LMD en abrégé) ainsi que ClamAV (moteur antivirus) dans RHEL 8/7/6 (où x est le numéro de version), CentOS 8/7/6 et Fedora 30-32 (les mêmes instructions fonctionnent également sur Ubuntu et Debian).

Un scanner de malware publié sous licence GPL v2, spécialement conçu pour les environnements d'hébergement. Cependant, vous vous rendrez vite compte que vous bénéficierez de MalDet quel que soit le type d'environnement sur lequel vous travaillez.

Installation de LMD sur RHEL/CentOS et Fedora

LMD n'est pas disponible dans les référentiels en ligne mais est distribué sous forme d'archive tar à partir du site Web du projet. L'archive tar contenant le code source de la dernière version est toujours disponible sur le lien suivant, où elle peut être téléchargée avec la commande wget :

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Ensuite, nous devons décompresser l'archive tar et entrer dans le répertoire où son contenu a été extrait. Puisque la version actuelle est 1.6.4, le répertoire est maldetect-1.6.4. Nous y trouverons le script d'installation, install.sh.

tar -xvf maldetect-current.tar.gz
ls -l | grep maldetect
cd maldetect-1.6.4/
ls

Si nous inspectons le script d'installation, qui ne fait que 75 lignes (commentaires compris), nous verrons qu'il installe non seulement l'outil, mais effectue également une pré-vérification pour voir si le répertoire d'installation par défaut ( /usr/local/maldetect) existe. Sinon, le script crée le répertoire d'installation avant de continuer.

Enfin, une fois l'installation terminée, une exécution quotidienne via cron est programmée en plaçant le script cron.daily (reportez-vous à l'image ci-dessus) dans /etc/ cron.daily. Ce script d'assistance effacera, entre autres choses, les anciennes données temporaires, vérifiera les nouvelles versions de LMD et analysera les répertoires de données par défaut d'Apache et du Web (c'est-à-dire CPanel, DirectAdmin, pour n'en nommer que quelques-uns).

Cela étant dit, exécutez le script d'installation comme d'habitude :

./install.sh

Configuration de la détection des logiciels malveillants Linux

La configuration de LMD est gérée via /usr/local/maldetect/conf.maldet et toutes les options sont bien commentées pour faire de la configuration une tâche plutôt simple. Si vous êtes bloqué, vous pouvez également vous référer à /maldetect-1.6.4/README pour des instructions supplémentaires.

Dans le fichier de configuration, vous trouverez les sections suivantes, entre crochets :

  1. ALERTES COURRIER ÉLECTRONIQUE
  2. OPTIONS DE QUARANTAINE
  3. OPTIONS DE NUMÉRISATION
  4. ANALYSES STATISTIQUES
  5. OPTIONS DE SURVEILLANCE

Chacune de ces sections contient plusieurs variables qui indiquent comment LMD se comportera et quelles fonctionnalités sont disponibles.

  1. Définissez email_alert=1 si vous souhaitez recevoir des notifications par e-mail des résultats de l'inspection des logiciels malveillants. Par souci de brièveté, nous relayerons uniquement le courrier vers les utilisateurs locaux du système, mais vous pouvez également explorer d'autres options telles que l'envoi d'alertes par courrier électronique à l'extérieur.
  2. Définissez email_subj=”Votre sujet ici” et email_addr=username@localhost si vous avez déjà défini email_alert=1.
  3. Avec quar_hits, l'action de quarantaine par défaut pour les hits de malware (0=alerte uniquement, 1=passer en quarantaine et alerte), vous indiquerez à LMD quoi faire lorsqu'un malware est détecté.
  4. quar_clean vous permettra de décider si vous souhaitez nettoyer les injections de logiciels malveillants basés sur des chaînes. Gardez à l’esprit qu’une signature de chaîne est, par définition, « une séquence d’octets contiguë qui peut potentiellement correspondre à de nombreuses variantes d’une famille de logiciels malveillants ».
  5. quar_susp, l'action de suspension par défaut pour les utilisateurs ayant reçu des appels, vous permettra de désactiver un compte dont les fichiers détenus ont été identifiés comme des appels.
  6. clamav_scan=1 indiquera à LMD de tenter de détecter la présence du binaire ClamAV et de l'utiliser comme moteur de scanner par défaut. Cela donne des performances d'analyse jusqu'à quatre fois plus rapides et une analyse hexadécimale supérieure. Cette option utilise uniquement ClamAV comme moteur d'analyse, et les signatures LMD restent la base de la détection des menaces.

En résumé, les lignes avec ces variables devraient ressembler à ceci dans /usr/local/maldetect/conf.maldet :

email_alert=1
email_addr=gacanepa@localhost
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quar_hits=1
quar_clean=1
quar_susp=1
clam_av=1

Installation de ClamAV sur RHEL/CentOS et Fedora

Pour installer ClamAV afin de profiter du paramètre clamav_scan, suivez ces étapes :

Activez le référentiel EPEL.

yum install epel-release

Alors fais:


yum update && yum install clamd
apt update && apt-get install clamav clamav-daemon  [Ubuntu/Debian]

Remarque : Ce ne sont que les instructions de base pour installer ClamAV afin de l'intégrer à LMD. Nous n'entrerons pas dans les détails en ce qui concerne les paramètres de ClamAV puisque comme nous l'avons dit précédemment, les signatures LMD restent la base de la détection et du nettoyage des menaces.

Test de la détection des logiciels malveillants Linux

Il est maintenant temps de tester notre récente installation LMD/ClamAV. Au lieu d'utiliser de vrais logiciels malveillants, nous utiliserons les fichiers de test EICAR, disponibles en téléchargement sur le site Web de l'EICAR.

cd /var/www/html
wget http://www.eicar.org/download/eicar.com 
wget http://www.eicar.org/download/eicar.com.txt 
wget http://www.eicar.org/download/eicar_com.zip 
wget http://www.eicar.org/download/eicarcom2.zip

À ce stade, vous pouvez soit attendre l'exécution de la prochaine tâche cron, soit exécuter maldet manuellement vous-même. Nous allons opter pour la deuxième option :

maldet --scan-all /var/www/

LMD accepte également les caractères génériques, donc si vous souhaitez analyser uniquement un certain type de fichier (c'est-à-dire les fichiers zip, par exemple), vous pouvez le faire :

maldet --scan-all /var/www/*.zip

Une fois l'analyse terminée, vous pouvez soit vérifier l'e-mail envoyé par LMD, soit consulter le rapport avec :

maldet --report 021015-1051.3559

021015-1051.3559 est le SCANID (le SCANID sera légèrement différent dans votre cas).

Important : Veuillez noter que LMD a trouvé 5 résultats depuis que le fichier eicar.com a été téléchargé deux fois (résultant ainsi en eicar.com et eicar.com.1).

Si vous vérifiez le dossier de quarantaine (je viens de laisser un des fichiers et j'ai supprimé le reste), nous verrons ce qui suit :

ls -l

Vous pouvez ensuite supprimer tous les fichiers mis en quarantaine avec :

rm -rf /usr/local/maldetect/quarantine/*

Au cas où,

maldet --clean SCANID

Ne fait pas le travail pour une raison quelconque. Vous pouvez vous référer au screencast suivant pour une explication étape par étape du processus ci-dessus :

Considérations finales

Puisque maldet doit être intégré à cron, vous devez définir les variables suivantes dans la crontab de root (tapez crontab -e en tant que root et appuyez sur le bouton Touche Entrée) au cas où vous remarqueriez que LMD ne fonctionne pas correctement au quotidien :

PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
SHELL=/bin/bash

Cela aidera à fournir les informations de débogage nécessaires.

Conclusion

Dans cet article, nous avons expliqué comment installer et configurer Linux Malware Detect, ainsi que ClamAV, un puissant allié. Avec l’aide de ces 2 outils, détecter les logiciels malveillants devrait être une tâche plutôt simple.

Cependant, rendez-vous service et familiarisez-vous avec le fichier README comme expliqué précédemment, et vous serez assuré que votre système est bien pris en compte et bien géré.

N'hésitez pas à laisser vos commentaires ou questions, le cas échéant, en utilisant le formulaire ci-dessous.

Liens de référence

Page d'accueil du LMD