LMD洋文全称Linux Malware Detect,是Linux下的病毒扫描检测软件,源代码:https://github.com/rfxn/linux-malware-detect。
Linux恶意软件检测(LMD)是根据GNU GPLv2许可证发布的用于Linux的恶意软件扫描器,该许可证是围绕共享托管环境中面临的威胁设计的。它使用来自网络边缘入侵检测系统的威胁数据来提取恶意软件,这些恶意软件正积极地用于攻击并生成用于检测的签名。此外,威胁数据还来源于具有LMD结账功能的用户提交和恶意软件社区资源。LMD使用的签名是MD5文件散列和HEX模式匹配,它们也很容易导出到任意数量的检测工具,如ClamAV。
ClamAV是跨平台的开源杀毒软件,支持Linux、Windows和macOS。使用它做为LMD的扫描引擎。
# 安装Linux Malware Detect (LMD)
首先安装mailx(发送邮件用),使用它发送LMD扫描结果。
1 2 | yum install epel-release yum install mailx |
下载LMD:
1 2 3 | cd /tmp wget http://www.rfxn.com/downloads/maldetect-current.tar.gz tar -xzvf maldetect-current.tar.gz |
运行安装脚本:
1 2 | cd maldetect-1.5 ./install.sh |
创建链接:
1 | ln -s /usr/local/maldetect/maldet /bin/maldet |
配置LMD:
1 | vim /usr/local/maldetect/conf.maldet |
开启邮件通知:
1 2 3 | email_alert="1" #开启发邮件功能 #设置邮件 email_addr="test@test.com" #设置成自己的邮箱地址 |
使用ClamAV clamscan做为默认扫描引擎:
1 | scan_clamscan="1" |
自动把病毒移动到隔离区:
1 | quarantine_hits="1" |
1 | quarantine_clean="1" |
# 安装ClamAV
ClamAV做为LMD的扫描引擎。
1 2 | yum install epel-release yum install clamav clamav-devel clamav-update |
编辑freshclam配置文件:
1 2 | cp /etc/freshclam.conf /etc/freshclam.conf.bak #备份该文件 sed -i '/^Example/d' /etc/freshclam.conf |
更新病毒库:
1 | freshclam |
# 测试LMD
扫描www目录:
1 | maldet --scan-all /www |
查看扫描报告:
1 | maldet --report 161101-0651.14136 |
2 | maldet -e list #列出所有报告 |
清除病毒:
1 | maldet -q 161101-0651.14136 |
删除所有隔离的文件:
1 | rm -rf /usr/local/maldetect/quarantine/* |
查询是否清除干净:
1 | maldet --clean scanid |
从隔离目录回复文件:
1 | maldet -s <扫描ID> |
监控一个目录:
1 | maldet -m /var/www/html/ |
查看监控日志:
1 | tail -f /usr/local/maldetect/logs/inotify_log |