L'un des grands problèmes que nous avons aujourd'hui en tant qu'utilisateurs et administrateurs est de lutter contre tous les types de virus, logiciels malveillants, chevaux de Troie, qui cherchent à provoquer une instabilité dans le système et affectent de manière significative les fichiers, les registres et les paramètres du système, ce qui affecte finalement tous les utilisateurs .
Les systèmes les plus attaqués sont Windows ainsi que leurs navigateurs, il est bon d'avoir le bon antivirus et antimalware. Dans le cas de Mac également, ils gagnent en force et doivent être protégés de la même manière, également contre les logiciels malveillants. Dans ce tutoriel, nous nous concentrons sur les systèmes Linux qui, bien qu'ils soient moins attaqués par ce style de malware, doivent toujours être protégés, et plus encore si nous utilisons des ordinateurs pour de nombreuses tâches avec un Internet ouvert.
Aujourd'hui, nous disposons de nombreux outils qui nous aident à lutter contre ce type de désagréments, mais la grande majorité ne remplissent pas correctement leur tâche et de nombreux éléments lâches peuvent provoquer des problèmes et des altérations dans le système.
Aujourd'hui nous allons analyser en détail ces outils, les plus utilisés pour la analyse de vulnérabilité pour les systèmes Linux en particulier nous l'utiliserons dans CentOS 7 pour tester :
- Palourde
- LMD (Linux Malware Détection)
Qu'est-ce que ClamAVPalourde (Clam Antivirus) est un puissant antivirus OpenSource développé pour lutter contre les chevaux de Troie, les virus, les logiciels malveillants et tout type de menace pour le système.
Parmi les principales caractéristiques de ClamAV, nous avons les suivantes :
- Gratuit.
- Multiplateforme puisqu'il peut être installé sur Windows, Linux ou Mac OS.
- Hautes performances grâce à un système d'analyse multi-menaces.
- Il est polyvalent car il prend en charge divers formats de fichiers et plusieurs langues.
- Prend en charge les fichiers HTML, PDF et cryptés.
Nous pouvons télécharger ClamAV à partir du lien suivant :
Qu'est-ce que le LMDLMD (Linux Malware Detect - Linux Malware Detector) est un outil qui scanne et détecte les logiciels malveillants sur les systèmes Linux en entier.
LMD est développé pour les environnements informatiques partagés car dans ces situations, la propagation des logiciels malveillants est beaucoup plus susceptible.
Les caractéristiques les plus importantes du LMD sont les suivantes :
- Gratuit.
- Compatible avec d'autres outils de surveillance tels que ClamAV.
- Vous pouvez effectuer une analyse en arrière-plan.
- Détecte une grande variété de menaces.
- Nous pouvons le configurer pour recevoir des rapports sur les nouvelles menaces par e-mail.
- Mises à jour constantes
L'outil peut être téléchargé à partir du lien suivant :
Pour connaître le fonctionnement de ces outils nous utiliserons CentOS 7.
1. Installation des référentiels et Mailx
La première étape que nous allons faire est d'installer les référentiels EPEL (Extra Packages for Enterprise Linux) et la commande mailx qui nous permettra d'envoyer les rapports par courrier en utilisant LMD.
Pour cela, nous allons entrer les commandes suivantes :
sudo yum -y install epel-release sudo yum -y install mailx
2. Installation de LMD (Linux Malware Detect)
Une fois les référentiels installés, nous procédons à l'installation de LMD, pour cela nous exécuterons la commande suivante pour télécharger et extraire :
cd / tmp wget http://www.rfxn.com/downloads/maldetect-current.tar.gz tar -xzvf maldetect-current.tar.gz
Ensuite, nous irons dans le répertoire maldetect et exécuterons le programme d'installation appelé install.sh, pour cela, nous utiliserons les commandes suivantes :
cd maldetect-1.5
./install.sh
L'étape suivante consiste à créer un lien symbolique pour la commande maldet dans le répertoire / bin :
ln -s / usr / local / maldetect / maldet / bin / maldet hash -rCréer un lien symbolique.
3. Paramètres LMD sur CentOS 7
Une fois l'étape précédente réalisée, nous procédons à la configuration du LMD, rappelons que le LMD a été installé sur la route :
/usr/local/maldet/Et il faudra éditer le fichier de configuration appelé conf.maldet.
Nous utiliserons les commandes suivantes :
cd / usr / local / maldetect / nano conf.maldetNous y apporterons les modifications suivantes :
- Sur la ligne email_alert Nous allons mettre la valeur de 0 à 1 pour activer le courrier.
- Sur la ligne adresse_e-mail Nous devons entrer notre adresse e-mail pour recevoir les alertes.
En plus sur la ligne scan_clamscan nous définissons la valeur à 1 puisque nous utiliserons ClamAV. Sur la ligne quarantaine_hits nous définissons la valeur sur 1 pour envoyer le malware détecté en quarantaine.
Enfin en ligne quarantaine_clean Nous définissons la valeur 1 pour que les éléments en quarantaine soient éliminés.
Nous enregistrons les modifications à l'aide de la combinaison de touches :
Ctrl + O
Et nous quittons l'éditeur en utilisant la combinaison :
Ctrl + X
4. Installer ClamAV sur CentOS 7
Ensuite, nous allons effectuer le processus de Installation de ClamAV et pour cela nous entrerons la commande suivante :
sudo miam -y installer clamav clamav-devel
Une fois téléchargé et installé, nous procédons à mettre à jour la base de données ClamAV à l'aide de la commande :
palourdeAvec cela, nous allons le mettre à jour.
5. Analyser le système
Une fois ces paramètres configurés, nous allons effectuer un test en téléchargeant des logiciels malveillants sur le site officiel d'Eicar à des fins de test.
Nous accédons d'abord au chemin tmp à l'aide de la commande :
cd/tmpNous allons maintenant utiliser les commandes suivantes pour télécharger le malware respectif :
wget http://www.eicar.org/download/eicar.com wget http://www.eicar.org/download/eicar.com.txtUne fois téléchargé, nous utiliserons la commande suivante pour démarrer le processus d'analyse :
maldet --scan-all / tmp
Enfin, nous verrons les résultats du processus:
On peut vérifier que a détecté 8 logiciels malveillants sur le système. Nous pouvons envoyer le rapport à notre e-mail en utilisant la syntaxe suivante :
maldet --rapportNous voyons le numéro du rapport dans la dernière ligne du résultat.
6. Paramètres supplémentaires à prendre en compte
Il y a quelques options que nous pouvons implémenter pour filtrer les résultats, ce sont :
Effectuer une analyse avec une extension spécifiquePour cela, nous utiliserons la syntaxe suivante :
maldet -a /tmp/*.(extension)Remplacez l'extension par l'un des fichiers que vous souhaitez analyser.
Obtenez tous les rapportsNous utiliserons la syntaxe suivante :
maldet -e liste
Analyser les fichiers qui ont été créés au cours des derniers joursNous utiliserons la syntaxe suivante :
maldet -r / tmp (Nombre de jours)
Restaurer les fichiers du dossier de quarantainePour restituer ces éléments nous utiliserons la syntaxe suivante :
maldet -s SCANID
Nous voyons qu'avec ces deux outils, nous avons une grande aide à portée de main pour l'ensemble de la tâche de surveillance et contrôle des logiciels malveillants et d'autres menaces sur nos systèmes CentOS 7 ou similaires.
Utiliser ClamAV dans Ubuntu