Comment analyser et supprimer les logiciels malveillants sur Linux avec Maldet

Dans un monde où l'utilisation d'Internet est de plus en plus courante, puisque plus de 90 % des tâches quotidiennes, quel que soit le secteur, s'effectuent en ligne, comme le paiement des services publics, l'accès aux e-mails, la création de fichiers et des milliers d'autres options, il est courant que toutes nos données soient exposées et vulnérables en raison de l'augmentation des menaces telles que les virus ou les logiciels malveillants.

Périodiquement, nous entendons dire qu'en utilisant Linux, nous ne sommes pas exposés aux attaques mais nous ne pouvons pas cacher la réalité, car étant dans un monde numérique, nous serons plus ou moins exposés quel que soit le système d'exploitation utilisé et c'est pour cette raison que dans Solvetic, nous analyserons en détail comment analyser et éliminer, s'il existe, les logiciels malveillants dans les environnements Linux et pour cela, nous utiliserons Ubuntu 17.04.

Qu'est-ce qu'un malwareTout d'abord, il est important que nous clarifions ce que signifient les logiciels malveillants ou les logiciels malveillants, et cela est considéré comme un type de logiciel ennuyeux ou nuisible qui a été créé dans le but d'accéder à n'importe quel appareil sans être averti et sans que l'utilisateur ne s'en aperçoive.

Certains types de logiciels malveillants incluent les logiciels espions (logiciels espions), les logiciels publicitaires (logiciels publicitaires), le phishing, les virus, les chevaux de Troie, les vers, les rootkits, les ransomwares et les pirates de navigateur affectant la sécurité et la confidentialité du système.

Sous Windows, nous avons déjà vu le meilleur anti-malware. Au niveau des environnements Linux, la plupart des attaques visent à exploiter des bogues dans des services tels que des conteneurs java ou des services de navigateur, où l'objectif principal est de changer le fonctionnement du service cible et, parfois, de le fermer complètement, affectant son utilisation normale .

Un autre type d'attaque sous Linux est lorsqu'un attaquant essaie d'obtenir les identifiants de connexion d'un utilisateur pour accéder au système et avoir tout ce qui y est hébergé.

Qu'est-ce que MaldetMaldet ou Linux Malware Detect (LMD), est un scanner de logiciels malveillants pour Linux qui a été développé afin de gérer les menaces courantes dans les environnements hébergés partagés.

Maldet utilise les données sur les menaces des systèmes de détection d'intrusion réseau pour extraire les logiciels malveillants activement utilisés dans les attaques en générant des signatures pour la détection.

Il est sous licence GNU GPLv2 et les signatures utilisées dans LMD sont des hachages de fichiers MD5 et des correspondances de motifs HEX, qui peuvent également être facilement exportés vers un certain nombre d'outils de détection tels que ClamAV.

Caractéristiques de MaldetCertaines des caractéristiques que nous trouvons dans Maldet sont :

  • HEX basé sur des modèles d'identification pour identifier les variantes de la menace.
  • Fonctionnalité de mise à jour de signature intégrée à -u | -mettre à jour.
  • Composant d'analyse statistique pour la détection des menaces obscurcies.
  • Détection ClamAV intégrée.
  • Option Scan-all pour une analyse basée sur le chemin complet.
  • Il dispose d'une file d'attente de quarantaine qui stocke les menaces en toute sécurité sans autorisations.
  • Il dispose d'une option de restauration de quarantaine pour restaurer les fichiers sur le chemin d'origine.
  • Règles plus propres pour supprimer base64 et gzinflate.
  • Comprend un script cron quotidien compatible avec les systèmes RH, Cpanel et Ensim d'origine.
  • Il a une analyse cron quotidienne de tous les changements au cours des dernières 24 heures.
  • Kernel inotify moniteur qui peut prendre des données du chemin STDIN ou FILE.
  • Le moniteur inotify du noyau peut être limité à une racine html configurable par l'utilisateur.
  • Il dispose d'un moniteur inotify du noyau avec des limites sysctl dynamiques pour des performances optimales.
  • Génère des rapports d'alerte par e-mail après chaque analyse.
  • Ignorez les options basées sur le chemin, l'extension et la signature.
  • Option d'analyse en arrière-plan pour les opérations d'analyse sans surveillance.

1. Comment installer Maldet sur Linux

Étape 1
Pour démarrer le processus, la première étape à suivre est de télécharger le fichier ar.gz depuis le site officiel en utilisant wget, pour cela nous exécuterons ce qui suit dans le terminal :

 wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

AGRANDIR

Étape 2
Nous allons maintenant extraire le contenu du fichier téléchargé en exécutant la commande suivante :

 tar -xvf maldetect-current.tar.gz

AGRANDIR

Étape 3
Ensuite, nous accéderons au répertoire où le contenu a été extrait, dans ce cas ce sera :

 cd maldetect-1.6.2
Étape 4
Une fois dans le répertoire, nous exécuterons le script d'installation en utilisant la ligne suivante :
 sudo ./install.sh

AGRANDIR

2. Comment configurer Maldet sur Linux

Étape 1
Une fois l'installation correcte, il est temps de configurer Maldet à l'aide du fichier conf.maldet qui a été créé automatiquement, nous y accéderons à l'aide de l'éditeur souhaité :

 sudo nano /usr/local/maldetect/conf.maldet

AGRANDIR

Étape 2
Là, nous pouvons modifier les paramètres suivants au niveau de la notification :

  • Si nous voulons recevoir une notification lorsqu'un malware est détecté, nous définirons la valeur du champ email_alert sur un (1).
  • Dans le champ email_addr, nous entrerons l'adresse e-mail où nous serons avertis.
  • Dans le champ email_ignore_clean, nous pouvons définir sa valeur sur un (1) si nous ne voulons pas être avertis lorsque le malware est automatiquement nettoyé.

AGRANDIR

Étape 3
Dans le même fichier, nous pouvons modifier les valeurs suivantes au niveau de la quarantaine :

  • Dans le champ quarantaine_hits nous définirons la valeur 1 pour que les fichiers concernés soient automatiquement mis en quarantaine.
  • Dans le champ quarantaine_clean, nous pouvons définir la valeur 1 pour nettoyer automatiquement les fichiers affectés, si vous définissez cette valeur sur 0, vous pouvez d'abord inspecter les fichiers avant de les nettoyer.
  • Le paramètre 1 dans le champ quarantaine_suspend_use suspendra les utilisateurs dont les comptes sont affectés, tandis que le paramètre "quarantine_suspend_user_minuid" établit l'ID utilisateur minimum qui doit être suspendu. Il est défini sur 500 par défaut.

AGRANDIR

Étape 4
Une fois ces paramètres définis, nous sauvegardons les modifications à l'aide des touches :

Ctrl + O

et nous quittons l'éditeur en utilisant :

Ctrl + X

3. Comment analyser les logiciels malveillants sous Linux avec Maldet

Étape 1
Pour effectuer l'analyse des logiciels malveillants, nous exécuterons la syntaxe suivante :

 sudo maldet --scan-all / Chemin à analyser

AGRANDIR

Étape 2
Lors du processus d'installation de Maldet, une fonction cronjob sera également installée sur :

 /etc/cron.daily/maldet
Qui analysera les répertoires personnels, ainsi que tous les fichiers ou dossiers qui ont été modifiés quotidiennement. Avec Maldet, nous disposons d'un outil simple pour analyser les logiciels malveillants dans les environnements Linux de manière simple et sécurisée.

wave wave wave wave wave