1.ç®è¿°DOSåDDOSçåºå«ç®è¿°dosåddosçåºå«
2.在Linux系统中安装使用恶意软件扫描工具及杀毒引擎的教程
ç®è¿°DOSåDDOSçåºå«ç®è¿°dosåddosçåºå«
dnsé²æ¤æä¹åï¼1.ææDNSæå¡å¨éå¶ååæå¡å¨éå½æ¥è¯¢åè½ï¼éå½dnsæå¡å¨è¦éå¶éå½è®¿é®ç客æ·ï¼å¯ç¨ç½ååIP段ï¼
2.éå¶åºä¼ ézonetransferï¼ä¸»ä»åæ¥çDNSæå¡å¨èå´å¯ç¨ç½ååï¼ä¸å¨å表å çDNSæå¡å¨ä¸å 许åæ¥zoneæ件
allow-transfer{ };
allow-update{ };
3.å¯ç¨é»ç½åå
å·²ç¥çæ»å»IPå å ¥bindçé»ååï¼æé²ç«å¢ä¸è®¾ç½®ç¦æ¢è®¿é®ï¼
éè¿acl设置å 许访é®çIPç½æ®µï¼
éè¿acl设置å 许访é®çIPç½æ®µï¼éè¿acl设置å 许访é®çIPç½æ®µï¼
4.éèBINDççæ¬ä¿¡æ¯ï¼
5.使ç¨érootæéè¿è¡BINDï¼
4.éèBINDççæ¬ä¿¡æ¯ï¼
5.使ç¨érootæéè¿è¡BINDï¼
6.å é¤DNSä¸ä¸å¿ è¦çå ¶ä»æå¡ãå建ä¸ä¸ªDNSæå¡å¨ç³»ç»å°±ä¸åºè¯¥å®è£ WebãPOPãgopherãNNTPNewsçæå¡ã
建议ä¸å®è£ 以ä¸è½¯ä»¶å ï¼
1ï¼X-Windowsåç¸å ³ç软件å ï¼2ï¼å¤åªä½åºç¨è½¯ä»¶å ï¼3ï¼ä»»ä½ä¸éè¦çç¼è¯ç¨åºåèæ¬è§£éè¯è¨ï¼4ï¼ä»»ä½ä¸ç¨çææ¬ç¼è¾å¨ï¼5ï¼ä¸éè¦ç客æ·ç¨åºï¼6ï¼ä¸éè¦çå ¶ä»ç½ç»æå¡ãç¡®ä¿åå解ææå¡çç¬ç«æ§ï¼è¿è¡åå解ææå¡çæå¡å¨ä¸ä¸è½åæ¶å¼å¯å ¶ä»ç«¯å£çæå¡ãæå¨åå解ææå¡åéå½åå解ææå¡éè¦å¨ä¸åçæå¡å¨ä¸ç¬ç«æä¾ï¼
7.使ç¨dnstopçæ§DNSæµé
#yuminstalllibpcap-develncurses-devel
ä¸è½½æºä»£ç /tools/dnstop/src/dnstop-.tar.gz
#ï¼
9.å¢å¼ºDNSæå¡å¨çé²èDos/DDoSåè½
使ç¨SYNcookie
å¢å backlog,å¯ä»¥ä¸å®ç¨åº¦åç¼å¤§éSYN请æ±å¯¼è´TCPè¿æ¥é»å¡çç¶åµ
缩çretries次æ°:Linuxç³»ç»é»è®¤çtcp_synack_retriesæ¯5次
éå¶SYNé¢ç
é²èSYNAttackæ»å»:#echo1>/proc/sys/net/ipv4/tcp_syncookiesæè¿ä¸ªå½ä»¤å å ¥/etc/rc.d/rc.localæ件ä¸ï¼
.ï¼å¯¹ååæå¡åè®®æ¯å¦æ£å¸¸è¿è¡çæ§ï¼å³å©ç¨å¯¹åºçæå¡åè®®æéç¨ç¸åºçæµè¯å·¥å ·åæå¡ç«¯å£å起模æ请æ±ï¼åææå¡å¨è¿åçç»æï¼ä»¥å¤æå½åæå¡æ¯å¦æ£å¸¸ä»¥åå åæ°æ®æ¯å¦åå¨ãå¨æ¡ä»¶å 许çæ åµä¸ï¼å¨ä¸åç½ç»å é¨é¨ç½²å¤ä¸ªæ¢æµç¹åå¸å¼çæ§ï¼
.æä¾ååæå¡çæå¡å¨æ°éåºä¸ä½äº2å°ï¼å»ºè®®ç¬ç«çååæå¡å¨æ°é为5å°ã并ä¸å»ºè®®å°æå¡å¨é¨ç½²å¨ä¸åçç©çç½ç»ç¯å¢ä¸;使ç¨å ¥ä¾µæ£æµç³»ç»ï¼å°½å¯è½çæ£æµåºä¸é´äººæ»å»è¡ä¸º;å¨ååæå¡ç³»ç»å¨å´é¨ç½²ææ»å»è®¾å¤ï¼åºå¯¹è¿ç±»åçæ»å»;å©ç¨æµéåæçå·¥å ·æ£æµåºDDoSæ»å»è¡ä¸ºï¼ä»¥ä¾¿åæ¶éååºæ¥æªæ½ï¼
.ï¼éå¶éå½æå¡çæå¡èå´ï¼ä» å 许ç¹å®ç½æ®µçç¨æ·ä½¿ç¨éå½æå¡ï¼
.ï¼å¯¹éè¦ååç解æç»æè¿è¡éç¹çæµï¼ä¸æ¦åç°è§£ææ°æ®æååè½å¤åæ¶ç»åºåè¦æ示;é¨ç½²dnssecï¼
.建ç«å®åçæ°æ®å¤ä»½æºå¶åæ¥å¿ç®¡çç³»ç»ãåºä¿çææ°ç3个æçå ¨é¨è§£ææ¥å¿ï¼å¹¶ä¸å»ºè®®å¯¹éè¦çååä¿¡æ¯ç³»ç»éå7Ãçç»´æ¤æºå¶ä¿éï¼åºæ¥ååºå°åºæ¶é´ä¸è½è¿äºåéã
ddosä¸pdosæ»å»çåºå«ï¼
ç:ddosä¸pdosæ»å»çåºå«:Ddosæ¯åå¸å¼æç»æå¡ï¼Pdosæ¯æ°¸ä¹ æç»æå¡
å ¨ç§°DistributedDenialofServiceï¼ä¸æææ为âåå¸å¼æç»æå¡âï¼å°±æ¯å©ç¨å¤§éåæ³çåå¸å¼æå¡å¨å¯¹ç®æ åé请æ±ï¼ä»è导è´æ£å¸¸åæ³ç¨æ·æ æ³è·å¾æå¡ãéä¿ç¹è®²å°±æ¯å©ç¨ç½ç»èç¹èµæºå¦ï¼IDCæå¡å¨ã个人PCãææºãæºè½è®¾å¤ãæå°æºãæå头ç对ç®æ å起大éæ»å»è¯·æ±ï¼ä»è导è´æå¡å¨æ¥å¡èæ æ³å¯¹å¤æä¾æ£å¸¸æå¡ï¼åªè½å®£å¸gameoverã
æ°¸ä¹ æç»æå¡æ»å»(PDoS)ï¼ä¹è¢«ç§°ä¸ºphlashingï¼æ¯ä¸ç§ä¸¥éç ´åç³»ç»çæ»å»ï¼éè¦æ´æ¢æéæ°å®è£ 硬件ãä¸åå¸å¼æç»æå¡æ»å»ä¸åï¼PDOå©ç¨çæ»å»å®å ¨æ¼æ´å 许è¿ç¨ç®¡çå害è 硬件管çæ¥å£ä¸çç½ç»ç¡¬ä»¶ï¼å¦è·¯ç±å¨ãæå°æºæå ¶ä»è¿ç¨ç®¡çç½ç»ãæ»å»è å©ç¨è¿äºæ¼æ´ç¨ä¿®æ¹ãæåææ缺é·çåºä»¶æ åæ¿æ¢è®¾å¤åºä»¶ï¼åæ³å®æå称为éªåãå æ¤ï¼è¿ç§âç åâè£ ç½®å¨ç»´ä¿®ææ´æ¢ä¹åï¼ä¸å¯è½ç¨äºåæ¥çç¨éã
PDoSæ¯ä¸ç§çº¯ç²¹ç硬件ç®æ æ»å»ï¼ä¸DDoSæ»å»ä¸ä½¿ç¨åµå°¸ç½ç»ææ ¹/èææå¡å¨ç¸æ¯ï¼é度æ´å¿«ï¼æéèµæºæ´å°ãç±äºè¿äºç¹å¾ä»¥åå¨å¯ç¨ç½ç»çåµå ¥å¼è®¾å¤(NEED)ä¸çå®å ¨æ¼æ´çæ½å¨åé«æ¦çï¼è¿ç§ææ¯å·²ç»å¼èµ·è®¸å¤é»å®¢å¢ä½ç注æã
PhlashDanceæ¯RichSmith(Hewlett-Packardç³»ç»å®å ¨å®éªå®¤çåå·¥)å建çå·¥å ·ï¼ç¨äºå¨å¹´ä¼¦æ¦EUSecWeståºç¨å®å ¨ä¼è®®ä¸æ£æµåæ¼ç¤ºPDoSæ¼æ´ã
æ¬ææ¥æºï¼
d-dosæ»å»æ¯ä»ä¹ï¼
DDoSå ¨ç§°DistributedDenialofService,ä¸æè¯ä¸ºâåå¸å¼æç»æå¡â,å°±æ¯å©ç¨å¤§éåæ³çåå¸å¼æå¡å¨åç®æ åé请æ±ï¼ä»è导è´æ£å¸¸åæ³ç¨æ·æ æ³è·å¾æå¡ã
æ个æ¯æ¹ï¼å¦æé»å®¢æ§å¶äºæåä¸ä¸ç计ç®æºï¼ç¶å让å®ä»¬åæ¶å»åä¸å°Webæå¡å¨å起请æ±ãè该æå¡å¨çååºè½åæ¯æéçï¼é£ä¹å®å¾å¿«å°±ä¼å 为èµæºèå°½èåæ¢ååºäºã
æå¡å¨ç¹å¿è¯·ç¨ååè¯æä¹è§£å³ï¼
1.æ£æ¥ç½ç»è¿æ¥æ¯å¦ç¨³å®ï¼å»ºè®®æ´æ¢æ 线ç½ç»å°è¯ã
2.æ´æ°è½¯ä»¶çæ¬å°è¯ã
3.设置-åºç¨ç¨åºç®¡çå¨/åºç¨ç¨åº-æ´å¤-éç½®åºç¨ç¨åºå好ã
4.å°æ°æ®å¤ä»½ï¼è系人ï¼çä¿¡ï¼å¾ççï¼ï¼æ¢å¤åºå设置éæ°å®è£ å°è¯ã
5.æ´æ°ä¸ææºç³»ç»çæ¬ã
ä»ä¹æ¯DDOSæ»å»ï¼å®çåçæ¯ä»ä¹ï¼å®çç®çæ¯ä»ä¹ï¼è¶è¯¦ç»è¶å¥½ï¼è°¢è°¢ï¼
ç½ç«æ头ççå°±æ¯è¢«æ»å»ï¼å¸¸è§çæå¡å¨æ»å»æ¹å¼ä¸»è¦æè¿å ç§ï¼ç«¯å£æ¸éã端å£æ¸éãå¯ç ç ´è§£ãDDOSæ»å»ãå ¶ä¸ï¼DDOSæ¯ç®åæ强大ï¼ä¹æ¯æé¾é²å¾¡çæ»å»æ¹å¼ä¹ä¸ã
é£ä»ä¹æ¯DDOSæ»å»å¢ï¼
æ»å»è åæå¡å¨ä¼ªé 大éåæ³ç请æ±ï¼å ç¨å¤§éç½ç»å¸¦å®½ï¼è´ä½¿ç½ç«ç«çªï¼æ æ³è®¿é®ãå ¶ç¹ç¹æ¯ï¼é²å¾¡çææ¬è¿æ¯æ»å»çææ¬é«ï¼ä¸ä¸ªé»å®¢å¯ä»¥è½»æ¾åèµ·GãGçæ»å»ï¼èè¦é²å¾¡GãGçææ¬å´æ¯ååé«æã
DDOSæ»å»æå人们称ä¹ä¸ºDOSï¼DenialofServiceï¼æ»å»ï¼å®çæ»å»åçæ¯ï¼ä½ æä¸å°æå¡å¨ï¼ææä¸å°ä¸ªäººçµèï¼æå°±ç¨æç个人çµèåä½ çæå¡å¨åé大éçåå¾ä¿¡æ¯ï¼æ¥å µä½ çç½ç»ï¼å¹¶å å¤§ä½ å¤çæ°æ®çè´æ ï¼éä½æå¡å¨CPUåå åçå·¥ä½æçã
ä¸è¿ï¼éçç§æçè¿æ¥ï¼ç±»ä¼¼DOSè¿æ ·ä¸å¯¹ä¸çæ»å»å¾å®¹æé²å¾¡ï¼äºæ¯DDOSâåå¸å¼æç»æå¡æ»å»è¯çäºãå ¶åçåDOSç¸åï¼ä¸åä¹å¤å¨äºDDOSæ»å»æ¯å¤å¯¹ä¸è¿è¡æ»å»ï¼çè³è¾¾å°æ°ä¸å°ä¸ªäººçµèå¨åä¸æ¶é´ç¨DOSæ»å»çæ¹å¼æ»å»ä¸å°æå¡å¨ï¼æç»å¯¼è´è¢«æ»å»çæå¡å¨ç«çªã
DDOS常è§ä¸ç§æ»å»æ¹å¼
SYN/ACKFloodæ»å»ï¼æ为ç»å ¸ãææçDDOSæ»å»æ¹å¼ï¼å¯éæåç§ç³»ç»çç½ç»æå¡ã主è¦æ¯éè¿åå害主æºåé大é伪é æºIPåæºç«¯å£çSYNæACKå ï¼å¯¼è´ä¸»æºçç¼åèµæºè¢«èå°½æå¿äºåéååºå èé ææç»æå¡ï¼ç±äºæºé½æ¯ä¼ªé çæ 追踪起æ¥æ¯è¾å°é¾ï¼ç¼ºç¹æ¯å®æ½èµ·æ¥æä¸å®é¾åº¦ï¼éè¦é«å¸¦å®½çåµå°¸ä¸»æºæ¯æã
TCPå ¨è¿æ¥æ»å»ï¼è¿ç§æ»å»æ¯ä¸ºäºç»è¿å¸¸è§é²ç«å¢çæ£æ¥è设计çï¼ä¸è¬æ åµä¸ï¼å¸¸è§é²ç«å¢å¤§å¤å ·å¤è¿æ»¤TearDropãLandçDOSæ»å»çè½åï¼ä½å¯¹äºæ£å¸¸çTCPè¿æ¥æ¯æ¾è¿çï¼æ®ä¸ç¥å¾å¤ç½ç»æå¡ç¨åºï¼å¦ï¼IISãApacheçWebæå¡å¨ï¼è½æ¥åçTCPè¿æ¥æ°æ¯æéçï¼ä¸æ¦æ大éçTCPè¿æ¥ï¼å³ä¾¿æ¯æ£å¸¸çï¼ä¹ä¼å¯¼è´ç½ç«è®¿é®é常ç¼æ ¢çè³æ æ³è®¿é®ï¼TCPå ¨è¿æ¥æ»å»å°±æ¯éè¿è®¸å¤åµå°¸ä¸»æºä¸æå°ä¸å害æå¡å¨å»ºç«å¤§éçTCPè¿æ¥ï¼ç´å°æå¡å¨çå åçèµæºè¢«èå°½è被æè·¨ï¼ä»èé ææç»æå¡ï¼è¿ç§æ»å»çç¹ç¹æ¯å¯ç»è¿ä¸è¬é²ç«å¢çé²æ¤èè¾¾å°æ»å»ç®çï¼ç¼ºç¹æ¯éè¦æ¾å¾å¤åµå°¸ä¸»æºï¼å¹¶ä¸ç±äºåµå°¸ä¸»æºçIPæ¯æ´é²çï¼å æ¤æ¤ç§DDOSæ»å»æ¹å¼å®¹æ被追踪ã
å·Scriptèæ¬æ»å»ï¼è¿ç§æ»å»ä¸»è¦æ¯é对åå¨ASPãJSPãPHPãCGIçèæ¬ç¨åºï¼å¹¶è°ç¨MSSQLServerãMySQLServerãOracleçæ°æ®åºçç½ç«ç³»ç»è设计çï¼ç¹å¾æ¯åæå¡å¨å»ºç«æ£å¸¸çTCPè¿æ¥ï¼å¹¶ä¸æçåèæ¬ç¨åºæ交æ¥è¯¢ãå表ç大éèè´¹æ°æ®åºèµæºçè°ç¨ï¼å ¸åç以å°å大çæ»å»æ¹æ³ã
å¦ä½é²å¾¡DDOSæ»å»ï¼
æ»ä½æ¥è¯´ï¼å¯ä»¥ä»ç¡¬ä»¶ãå个主æºãæ´ä¸ªæå¡å¨ç³»ç»ä¸æ¹é¢å ¥æã
ä¸ã硬件
1.å¢å 带宽
带宽ç´æ¥å³å®äºæ¿åæ»å»çè½åï¼å¢å 带宽硬é²æ¤æ¯ç论æä¼è§£ï¼åªè¦å¸¦å®½å¤§äºæ»å»æµéå°±ä¸æäºï¼ä½ææ¬é常é«ã
2ãæå硬件é ç½®
å¨æç½ç»å¸¦å®½ä¿è¯çåæä¸ï¼å°½éæåCPUãå åã硬çãç½å¡ãè·¯ç±å¨ã交æ¢æºç硬件设æ½çé ç½®ï¼éç¨ç¥å度é«ãå£ç¢å¥½ç产åã
3ã硬件é²ç«å¢
å°æå¡å¨æ¾å°å ·æDDoS硬件é²ç«å¢çæºæ¿ãä¸ä¸çº§é²ç«å¢éå¸¸å ·æ对å¼å¸¸æµéçæ¸ æ´è¿æ»¤åè½ï¼å¯å¯¹æSYN/ACKæ»å»ãTCPå ¨è¿æ¥æ»å»ãå·èæ¬æ»å»ççæµéåDDoSæ»å»
äºãå个主æº
1ãåæ¶ä¿®å¤ç³»ç»æ¼æ´ï¼å级å®å ¨è¡¥ä¸ã
2ãå ³éä¸å¿ è¦çæå¡å端å£ï¼åå°ä¸å¿ è¦çç³»ç»å 载项åèªå¯å¨é¡¹ï¼å°½å¯è½åå°æå¡å¨ä¸æ§è¡è¾å°çè¿ç¨ï¼æ´æ¹å·¥ä½æ¨¡å¼
3ãiptables
4ãä¸¥æ ¼æ§å¶è´¦æ·æéï¼ç¦æ¢rootç»å½ï¼å¯ç ç»å½ï¼ä¿®æ¹å¸¸ç¨æå¡çé»è®¤ç«¯å£
ä¸ãæ´ä¸ªæå¡å¨ç³»ç»
1.è´è½½åè¡¡
使ç¨è´è½½åè¡¡å°è¯·æ±è¢«åè¡¡åé å°å个æå¡å¨ä¸ï¼åå°å个æå¡å¨çè´æ ã
2ãCDN
CDNæ¯æ建å¨ç½ç»ä¹ä¸çå 容ååç½ç»ï¼ä¾é é¨ç½²å¨åå°çè¾¹ç¼æå¡å¨ï¼éè¿ä¸å¿å¹³å°çååãè°åº¦çåè½æ¨¡åï¼ä½¿ç¨æ·å°±è¿è·åæéå 容ï¼éä½ç½ç»æ¥å¡ï¼æé«ç¨æ·è®¿é®ååºé度åå½ä¸çï¼å æ¤CDNå éä¹ç¨å°äºè´è½½åè¡¡ææ¯ãç¸æ¯é«é²ç¡¬ä»¶é²ç«å¢ä¸å¯è½æä¸æ éæµéçéå¶ï¼CDNåæ´å çæºï¼å¤èç¹åæ æ¸éæµéï¼ç®å大é¨åçCDNèç¹é½æGçæµéé²æ¤åè½ï¼åå ä¸ç¡¬é²çé²æ¤ï¼å¯ä»¥è¯´è½åºä»ç®ç»å¤§å¤æ°çDDoSæ»å»äºã
3.åå¸å¼é群é²å¾¡
åå¸å¼é群é²å¾¡çç¹ç¹æ¯å¨æ¯ä¸ªèç¹æå¡å¨é ç½®å¤ä¸ªIPå°åï¼å¹¶ä¸æ¯ä¸ªèç¹è½æ¿åä¸ä½äºGçDDoSæ»å»ï¼å¦ä¸ä¸ªèç¹åæ»å»æ æ³æä¾æå¡ï¼ç³»ç»å°ä¼æ ¹æ®ä¼å 级设置èªå¨åæ¢å¦ä¸ä¸ªèç¹ï¼å¹¶å°æ»å»è çæ°æ®å å ¨é¨è¿ååéç¹ï¼ä½¿æ»å»æºæ为ç«çªç¶æã
在Linux系统中安装使用恶意软件扫描工具及杀毒引擎的教程
恶意软件是指任何旨在干扰或破坏计算系统正常运行的软件程序。虽然最臭名昭著的几种恶意软件如病毒、间谍软件和广告软件,但它们企图引起的危害不一:有的是窃取私密信息,有的是删除个人数据,有的c new源码则介于两者之间;而恶意软件的另一个常见用途就是控制系统,然后利用该系统发动僵尸网络,形成所谓的拒绝服务(DoS)攻击或分布式拒绝服务(DDoS)攻击。
换句话说,我们万万不可抱有这种想法“因为我并不存储任何敏感数据或重要数据,所以不需要保护自己的系统远离恶意软件”,因为那些数据并不是恶意软件的唯一目标。
由于这个原因,食物溯源码英语我们将在本文中介绍在RHEL 7.0/6.x(x是版本号)、CentOS 7.0/6.x和Fedora -中,如何安装并配置Linux恶意软件检测工具(又叫MalDet,或简称LMD)和ClamAV(反病毒引擎)。
这是采用GPL v2许可证发布的一款恶意软件扫描工具,专门为主机托管环境而设计。然而,你很快就会认识到,无论自己面对哪种环境,都会得益于MalDet。
将LMD安装到RHEL/CentOS 7.0/6.x和Fedora -上
LMD无法从在线软件库获得,而是量化指标源码公式以打包文件的形式从项目官方网站分发。打包文件含有最新版本的源代码,总是可以从下列链接处获得,可使用下列命令来下载:
代码如下:
# wget /downloads/maldetect-current.tar.gz
然后,我们需要解压该打包文件,并进入提取/解压内容的目录。由于当前版本是1.4.2,目录为maldetect-1.4.2。我们会在该目录中找到安装脚本install.sh。
代码如下:
# tar -xvf maldetect-current.tar.gz
# ls -l | grep maldetect
下载Linux恶意软件检测工具如果我们检查安装脚本,该脚本长度只有行(包括注释),就会发现,它不仅安装该工具,bootstrap的源码分析还执行预检测,看看默认安装目录(/usr/local/maldetect)有无存在。要是不存在,脚本就会先创建安装目录,然后执行下一步。
最后,安装完成后,只要将cron.daily脚本(参阅上图)放入到/etc/cron.daily,就可以排定通过cron(计划任务)的每天执行。这个帮助脚本具有诸多功能,包括清空旧的临时数据,检查新的和平精英源码开源LMD版本,扫描默认Apache和Web控制面板(比如CPanel和DirectAdmin等)默认数据目录。
话虽如此,还是按平常那样运行安装脚本:
代码如下:
# ./install.sh
在Linux中安装Linux恶意软件检测工具
配置Linux恶意软件检测工具
配置LDM的工作通过/usr/local/maldetect/conf.maldet来处理,所以选项都进行了充分的注释,以便配置起来相当容易。万一你哪里卡住了,还可以参阅/usr/local/src/maldetect-1.4.2/README,了解进一步的指示。
在配置文件中,你会找到用方括号括起来的下列部分:
EMAIL ALERTS(邮件提醒)
QUARANTINE OPTIONS(隔离选项)
SCAN OPTIONS(扫描选项)
STATISTICAL ANALYSIS(统计分析)
MONITORING OPTIONS(监控选项)
这每个部分都含有几个变量,表明LMD会如何运行、有哪些功能特性可以使用。
如果你想收到通知恶意软件检测结果的电子邮件,就设置email_alert=1。为了简洁起见,我们只将邮件转发到本地系统用户,但是你同样可以探究其他选项,比如将邮件提醒发送到外部用户。
如果你之前已设置了email_alert=1,设置email_subj=”Your subject here”和email_addr=username@localhost。
至于quar_hits,即针对恶意软件袭击的默认隔离操作(0 =仅仅提醒,1 = 转而隔离并提醒),你告诉LMD在检测到恶意软件后执行什么操作。
quar_clean将让你决定想不想清理基于字符串的恶意软件注入。牢记一点:就本身而言,字符串特征是“连续的字节序列,有可能与恶意软件家族的许多变种匹配。”
quar_susp,即针对遭到袭击的用户采取的默认暂停操作,让你可以禁用其所属文件已被确认为遭到袭击的帐户。
clamav_scan=1将告诉LMD试图检测有无存在ClamAV二进制代码,并用作默认扫描器引擎。这可以获得最多快出四倍的扫描性能和出色的十六进制分析。这个选项只使用ClamAV作为扫描器引擎,LMD特征仍是检测威胁的基矗
重要提示:
请注意:quar_clean和quar_susp需要quar_hits被启用(=1)。
总之,在/usr/local/maldetect/conf.maldet中,有这些变量的行应该看起来如下:
代码如下:
email_alert=1
email_addr=gacanepa@localhost
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quar_hits=1
quar_clean=1
quar_susp=1
clam_av=1
将ClamAV安装到RHEL/CentOS 7.0/6.x和Fedora -上
想安装ClamAV以便充分利用clamav_scan设置,请遵循这些步骤:
创建软件库文件/etc/yum.repos.d/dag.repo:
代码如下:
[dag]
name=Dag RPM Repository for Red Hat Enterprise Linux
baseurl=/packages/RPM-GPG-KEY.dag.txt
enabled=1
然后运行命令:
代码如下:
# yum update yum install clamd
注意:这些只是安装ClamAV的基本指令,以便将它与LMD整合起来。我们在ClamAV设置方面不作详细介绍,因为正如前面所述,LMD特征仍是检测和清除威胁的基矗
测试Linux恶意软件检测工具
现在就可以检测我们刚刚安装的LMD / ClamAV了。不是使用实际的恶意软件,我们将使用EICAR测试文件(
# wget .txt
# wget .zip
# wget 2.zip
这时候,你可以等待下一个cron任务运行,也可以自行手动执行maldet。我们将采用第二种方法:
代码如下:
# maldet --scan-all /var/www/
LMD还接受通配符,所以如果你只想扫描某种类型的文件(比如说zip文件),就可以这么做:
代码如下:
# maldet --scan-all /var/www/*.zip
扫描Linux中的恶意软件
扫描完成后,你可以查阅LMD发送过来的电子邮件,也可以用下列命令查看报告:
代码如下:
# maldet --report -.
Linux恶意软件扫描报告
其中-.是SCANID(SCANID与你的实际结果会略有不同)。
重要提示:请注意:由于eicar.com文件下载了两次(因而导致eicar.com和eicar.com.1),LMD发现了5次袭击。
如果你检查隔离文件夹(我只留下了一个文件,删除了其余文件),我们会看到下列结果:
代码如下:
# ls –l
Linux恶意软件检测工具隔离文件
你然后可以用下列命令删除所有隔离的文件:
代码如下:
# rm -rf /usr/local/maldetect/quarantine/
*万一那样,
代码如下:
# maldet --clean SCANID
最后的考虑因素
由于maldet需要与cron整合起来,你就需要在root的crontab中设置下列变量(以root用户的身份键入crontab –e,并按回车键),也许你会注意到LMD并没有每天正确运行:
代码如下:
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
SHELL=/bin/bash
这将有助于提供必要的调试信息。
结束语
我们在本文中讨论了如何安装并配置Linux恶意软件检测工具和ClamAV这个功能强大的搭档。借助这两种工具,检测恶意软件应该是相当轻松的任务。
不过,你要帮自己一个忙,熟悉之前解释的README文件,那样你就能确信自己的系统得到了全面支持和妥善管理。