İnternet kullanımının giderek yaygınlaştığı bir dünyada, sektör ne olursa olsun, kamu hizmetlerinin ödenmesi, e-postalara erişim, dosya oluşturma ve diğer binlerce günlük işlerin %90'ından fazlası çevrimiçi olarak gerçekleştirildiğinden, seçenekleri, virüsler veya kötü amaçlı yazılımlar gibi tehditlerdeki artış nedeniyle tüm verilerimizin açığa çıkması ve savunmasız kalması yaygındır.
Periyodik olarak Linux kullanırken saldırılara maruz kalmadığımızı ancak gerçekleri gizleyemediğimizi duyuyoruz, çünkü dijital dünyada olduğumuz için kullanılan işletim sisteminden bağımsız olarak daha az veya daha fazla maruz kalacağız ve bu nedenledir. Solvetic, Linux ortamlarında kötü amaçlı yazılımların nasıl analiz edileceğini ve varsa ortadan kaldırılacağını ayrıntılı olarak analiz edeceğiz ve bunun için Ubuntu 17.04 kullanacağız.
Kötü amaçlı yazılım nedirÖncelikle, kötü amaçlı yazılım veya kötü amaçlı yazılımın ne anlama geldiğini açıklığa kavuşturmamız önemlidir ve bu, herhangi bir cihaza uyarılmadan ve kullanıcı fark etmeden erişmek amacıyla oluşturulmuş can sıkıcı veya zararlı bir yazılım türü olarak kabul edilir.
Bazı kötü amaçlı yazılım türleri, casus yazılım (casus yazılım), reklam yazılımı (reklam yazılımı), kimlik avı, virüsler, Truva atları, solucanlar, kök kullanıcı takımları, fidye yazılımları ve sistemin güvenliğini ve gizliliğini etkileyen tarayıcı korsanlarını içerir.
Windows'ta zaten en iyi kötü amaçlı yazılımdan koruma yazılımını gördük. Linux ortamları düzeyinde, saldırıların çoğu, ana amacın hedef hizmetin çalışma şeklini değiştirmek ve bazen de normal kullanımını etkileyerek tamamen kapatmak olduğu java kapsayıcıları veya tarayıcı hizmetleri gibi hizmetlerdeki hatalardan yararlanmayı amaçlar. .
Linux'taki başka bir saldırı türü, bir saldırganın sisteme erişmek ve orada barındırılan her şeye sahip olmak için bir kullanıcının oturum açma kimlik bilgilerini almaya çalışmasıdır.
maldet nedirMaldet veya Linux Kötü Amaçlı Yazılım Algılama (LMD), paylaşılan barındırılan ortamlarda yaygın olan tehditleri ele almak için geliştirilmiş, Linux için bir kötü amaçlı yazılım tarayıcısıdır.
Maldet, tespit için imzalar oluşturarak saldırılarda aktif olarak kullanılan kötü amaçlı yazılımları çıkarmak için ağ saldırı tespit sistemlerinden gelen tehdit verilerini kullanır.
GNU GPLv2 altında lisanslanmıştır ve LMD'de kullanılan imzalar, ClamAV gibi herhangi bir sayıda algılama aracına kolayca aktarılabilen MD5 dosya karmaları ve HEX desen eşleşmeleridir.
Maldet ÖzellikleriMaldet'te bulduğumuz özelliklerden bazıları şunlardır:
- Tehdit değişkenlerini tanımlamak için tanımlama modellerine dayalı HEX.
- -u | ile entegre imza güncelleme özelliği -Güncelleme.
- Gizlenmiş tehditlerin tespiti için istatistiksel analiz bileşeni.
- Entegre ClamAV algılama.
- Tam yol tabanlı tarama için tümünü tara seçeneği.
- Tehditleri izinsiz güvenli bir şekilde depolayan bir karantina kuyruğuna sahiptir.
- Dosyaları orijinal yola geri yüklemek için bir karantina geri yükleme seçeneğine sahiptir.
- Base64 ve gzinflate'ı kaldırmak için daha temiz kurallar.
- Stok RH, Cpanel ve Ensim sistemleriyle uyumlu günlük cron komut dosyası içerir.
- Son 24 saatteki tüm değişikliklerin günlük cron taramasına sahiptir.
- STDIN veya DOSYA yolundan veri alabilen çekirdek inotify monitörü.
- Çekirdek inotify izleyicisi, kullanıcı tarafından yapılandırılabilen bir html köküyle sınırlandırılabilir.
- Optimum performans için dinamik sysctl limitlerine sahip bir çekirdek inotify monitörüne sahiptir.
- Her tarama çalışmasından sonra e-posta uyarı raporları oluşturur.
- Yol, uzantı ve imzaya dayalı seçenekleri yoksayın.
- Katılımsız tarama işlemleri için arka plan tarayıcı seçeneği.
1. Maldet Linux'a nasıl kurulur
Aşama 1
İşlemi başlatmak için atılacak ilk adım, wget kullanarak resmi siteden ar.gz dosyasını indirmektir, bunun için terminalde aşağıdakileri uygulayacağız:
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
BÜYÜT
Adım 2
Şimdi aşağıdakileri yürüterek indirilen dosyanın içeriğini çıkaracağız:
tar -xvf maldetect-current.tar.gz
BÜYÜT
Aşama 3
Ardından, içeriğin çıkarıldığı dizine erişeceğiz, bu durumda şöyle olacaktır:
cd hatalı algılama-1.6.24. Adım
Dizine girdikten sonra, aşağıdaki satırı kullanarak kurulum komut dosyasını çalıştıracağız:
sudo ./install.sh
BÜYÜT
2. Linux'ta Maldet nasıl yapılandırılır
Aşama 1
Kurulum doğru olduğunda, otomatik olarak oluşturulan conf.maldet dosyasını kullanarak Maldet'i yapılandırma zamanı geldi, istenen düzenleyiciyi kullanarak ona erişeceğiz:
sudo nano /usr/local/maldetect/conf.maldet
BÜYÜT
Adım 2
Orada, bildirim düzeyinde aşağıdaki ayarları değiştirebiliriz:
- Kötü amaçlı yazılım algılandığında bildirim almak istiyorsak email_alert alanının değerini bir (1) olarak ayarlayacağız.
- email_addr alanına bilgilendirileceğimiz e-posta adresini gireceğiz.
- Kötü amaçlı yazılım otomatik olarak temizlendiğinde bilgilendirilmek istemiyorsak, email_ignore_clean alanında değerini bir (1) olarak ayarlayabiliriz.
BÜYÜT
Aşama 3
Aynı dosyada karantina düzeyinde aşağıdaki değerleri değiştirebiliriz:
- Karantina_hits alanında, etkilenen dosyaların otomatik olarak karantinaya alınması için 1 değerini tanımlayacağız.
- Karantina_temiz alanında, etkilenen dosyaları otomatik olarak temizlemek için 1 değerini tanımlayabiliriz, bu değeri 0'a ayarlarsanız, dosyaları temizlemeden önce inceleyebilirsiniz.
- Karantina_suspend_use alanındaki ayar 1, hesapları etkilenen kullanıcıları askıya alırken "quarantine_suspend_user_minuid" parametresi, askıya alınması gereken minimum kullanıcı kimliğini belirler. Bu, varsayılan olarak 500'e ayarlanmıştır.
BÜYÜT
4. Adım
Bu parametreler tanımlandıktan sonra, tuşları kullanarak değişiklikleri kaydederiz:
Ctrl + O
ve düzenleyiciyi şunu kullanarak bırakırız:
Ctrl + X
3. Maldet ile Linux'ta kötü amaçlı yazılım nasıl analiz edilir
Aşama 1
Kötü amaçlı yazılım analizini gerçekleştirmek için aşağıdaki sözdizimini uygulayacağız:
sudo maldet --scan-all / Tarama yolu
BÜYÜT
Adım 2
Maldet yükleme işlemi sırasında, aşağıdakilere bir cronjob işlevi de yüklenecektir:
/etc/cron.daily/maldetBu, günlük olarak değiştirilen tüm dosya veya klasörlerin yanı sıra ev dizinlerini de tarar. Maldet ile Linux ortamlarındaki kötü amaçlı yazılımları basit ve güvenli bir şekilde analiz etmek için basit bir aracımız var.