[align=right]با سلام خدمت تمامی دوستان عزیز.
شاید شما هم یکی از مدیران سروری باشید که از دست شلرها به امان آمده. شلرهایی که به زبان های مختلف همچون PHP , Perl , Python و... نوشته می شوند و ممکن هست خسارات جبران ناپذیری را برای یک مدیر سرور به بار آورند.
در این پست شما را با ابزار Linux Malware Detect آشنا خواهیم کرد که یکی از برترین آنتی شلرها - آنتی ویروس ها در بین ابزارهای رایگان در این زمینه می باشد.
[/align][align=center]توضیحات[/align][align=right]
LMD یک اسکنر نرم افزارهای مخرب تحت لینوکس می باشد که تحت مجوز GNU GPLv2 منتشر شده است و در رابطه با تهدیداتی که یک هاستینگ اشتراکی با آنها مواجه است طراحی شده است. این ابزار، اطلاعات نرم افزارهای مخرب که در حال فعالیت می باشند را از طریق سیستم تشخیص نفوذ خود استخراج کرده و گزارشاتی را در این مورد به مدیر سرور ارائه می دهد. به علاوه، اطلاعات این ابزارهای مخرب از طریق گزارش های ارسال شده کاربران توسط قابلیت LMD checkout و منابع ابزارهای مخرب جمع آوری می شوند. منابعی که LMD از آنها استفاده می کند فایل های هش شده به صورت MD5 و الگوهای HEX هستند.
قابلیت های این نرم افزار عبارتند از :
- تشخیص یکپارچه تهدیدها با همراهی ClamAV و قرار دادن آن به عنوان موتور جستجوگر در جهت بهبود عملکرد برنامه
- قابلیت آپدیت مستقیم ورژن برنامه توسط دستور -d و –update-ver
- قابلیت آپدیت مستقیم دیتابیس کدهای مخرب با دستور -u و –update
- قابلیت scan-recent جهت اسکن فایل هایی که فقط در X روز قبل ایجاد/تغییر داده شده اند
- قابلیت scan-all جهت اسکن فایل ها بر اساس مسیر کامل
- قابلیت checkout جهت ارسال بدافزارهای مشکوک به rfxn.com
- سیستم گزارش کامل در جهت مشاهده نتایج اسکن های در حال جریان و نتایج قبلی
- قابلیت قرنطینه (Quarantine) که فایل های مشکوک را در یک مسیر امن (داخل سرور) و بدون دسترسی نگهداری میکند
- قابلیت قرنطینه نتایج اسکن های در حاب جریان و اسکن های قبلی ( Quarantine batching )
- قابلیلت بازگردانی فایل های قرنطینه شده به مسیر اصلی آنها و برگرداندن دسترسی و owner اصلی آنها
- قابلیت suspend کردن کاربر متخلف و یا ابطال مجوز دسترسی Shell از کاربر متخلف
- قابلیت Clean در جهت پاکسازی ابزارهای مخرب
- قابلیت Cleaner batching در جهت پاکسازی نتایج اسکن های قبلی
- قابلیت پاکسازی فایل هایی که توسط base64 و gzinflate کدگذاری شده اند
- قابلیت اسکن روزانه تمامی تغییراتی که در 24 ساعت گذشته در فایل های کاربران ایجاد شده
- قابلیت مانیتورینگ فایل های ایجاد شده / شناسایی شده / تغییر داده شده به صورت Real-Time
- قابلیت جلوگیری از دسترسی کاربران به دایرکتوری اصلی html سرور
- قابلیت ارسال ایمیل بعد از هر اسکن
منابع اطلاعات :
یکی از ویژگی هایی که LMD را با سایر ابزارهای موجود متمایز می کند این است که محدود به کشف فایل هایی که در یک منبع و یا به صورت Hash تعریف شده اند نمی باشد. این قابلیت شامل پروژه ای می شود که به صورت فعال در میان برافزارهای ناشناخته جستجو می کند و منبعی را در خصوص بدافزارهایی که در حال گردش هستند را تولید می کند.
LMD به طور کلی از چهار منبع برای شناسایی بدافزارها استفاده می کند :
Network Edge IPS
Community Data
ClamAV
User Submission
بروزرسانی منابع :
منبع LMD معمولاً به صورت روزانه بروزرسانی می شود. البته ممکن است این بروزرسانی بیشتر از 1 بار در روز باشد که بسته به بدافزارهایی است که از طریق LMD checkout گزارش داده می شوند. بروزرسانی این ابزار در سرور توسط cron روزانه واقع در /etc/cron.daily به صورت خودکار و همچنین به صورت دستی توسط دستور update- انجام می شود.
بدافزارهای شناسایی شده :
LMD نسخه 1.4.0 در کل دارای 7,241 بدافزار شناسایی شده است که 5393 آنها به صورت MD5 ( در بالا توضیح داده شد ) و 1848 عدد آنها به صورت HEX می باشند.
در لیست زیر، 60 عدد از بدافزارهایی که بیشترین شیوع را داشته و توسط LMD شناسایی شده اند را مشاهده می کنید :
قابلیت Real-Time Monitoring :
در LMD قابلیتی به نام inotify monitoring وجود دارد که فایل های ایجاد شده/شناسایی شده/جابجا شده درمسیرها و کاربران را به صورت Real-Time زیر نظر دارد. برای استفاده از این قابلیت، کرنل سیستم عامل شما باید از inotify_watch پشتیبانی کند که در CentOS/RHEL 5 به بالا این قابلیت به صورت پیش فرض وجود دارد. چنانچه شما از CentOS 4 استفاده می کنید باید برای استفاده از این قابلیت، ارتقاء دهید.[align=center]نصب[/align]
مراحل نصب این ابزار به صورت زیر است :
1- دریافت :
2- خارج کردن از حالت فشرده :
3- اجرای فایل نصب :
[align=center]تنظیمات[/align]
برای اجرای تنظیمات LMD، فایل زیر را برای ویرایش باز می کنیم :
در این فایل، شما تنظیمات مربوط به بخش های زیر را مشاهده می کنید :
متغیرهای موجود در فایل تنظیمات و توضیحات آنها به شرح زیر است :
email_alert : چنانچه قصد دارید پس از هر بار بررسی سرور شما توسط LMD، گزارش آن به ایمیل شما ارسال شود، مقدار این متغیر را برابر 1 قرار دهید و در غیر این صورت، مقدار آن را برابر 0 قرار دهید.
email_subj : موضوع ایمیلی که پس از بررسی سرور به شما ارسال می شود.
email_addr : آدرس ایمیل شما جهت ارسال گزارش پس از بررسی سرور.
quar_hits : اسکنر پس از مواجه شدن با بدافزار می تواند به سه شکل با آن برخورد کند :
1- نادیده گرفتن آن و اکتفا به گزارش دادن آن
2- قرنطینه کردن خودکار فایل مخرب
3- قرنطینه و سپس پاکسازی خودکار فایل مخرب
چنانچه قصد دارید فایل ها پس از شناسایی به صورت خودکار قرنطینه شوند مقدار این متغیر را برابر 1 و در غیر این صورت 0 قرار دهید.
quar_clean : چنانچه قصد دارید فایل های مخرب پس از شناسایی به صورت خودکار پاکسازی شوند مقدار این متغیر را برابر 1 و در غیر اینصورت 0 قرار دهید.
در نظر داشته باشید که فعال کردن این قابلیت ممکن است مشکلاتی را برای کاربران به وجود آورد.
quar_susp : چنانچه قصد دارید کاربر متخلف ( کاربری که اسکنر در فایل آن بدافزار شناسایی نموده است ) به صورت خودکار معلق ( suspend ) شود مقدار این متغیر را برابر 1 و در غیر این صورت 0 قرار دهید.
clamav_scan : همانطور که در توضیحات اشاره شد، LMD با آنتی ویروس - آنتی شلر Clam سازگاری کامل دارد. چنانچه شما قصد دارید که برای اسکن بدافزارها از موتور ClamAV استفاده شود، مقدار این متغیر را برابر 1 و در غیر اینصورت 0 قرار دهید.
دستورات و نحوه استفاده :
تا به اینجا شما را با ساختار کلی و نحوه تنظیم LMD آشنا نمودیم. در این قسمت توضیحاتی پیرامون دستورات آن خواهیم داد.
پس از نصب شدن LMD شما میتوانید آن را با استفاده از دستور maldet اجرا نمائید.
پارامترهای این دستور و توضیحات آن به شکل زیر است :
دستورات را در background اجرا می کند که برای اسکن های بزرگ مناسب است. مثال :
[align=center][hr]
[/align]
بروزرسانی مستقیم منبع بدافزارها[hr]
بروزرسانی مستقیم نسخه نرم افزار[hr]
مانیتورینگ فایل ها/مسیرها/ کابران به صورت Real-Time
این دستور به سه شیوه قابل اجرا می باشد :
جهت مانیتورینگ کاربران[align=center]+++++++++++++++++++++++++++++++++[/align]
جهت مانیتورینگ مسیر مورد نظر[align=center]+++++++++++++++++++++++++++++++++[/align]
جهت مانیتورینگ چندین مسیر به صورت همزمان[hr]
توقف تمامی مانیتورینگ ها ( که توسط پارامتر m- اجرا شده اند )[hr]
جهت اسکن فایل های ایجاد/شناسایی شده در X روز قبل در یک مسیر خاص
مثال :
[hr]
جهت اسکن دستی مسیر(ها) مورد نظر
مثال :
[hr]
ارسال فایل مشکوک به سایت منبع برای بررسی
مثال :
[hr]
مشاهده log ها[hr]
مشاهده گزارش بر اساس ID آن و ارسال آن به ایمیل مورد نظر
مثال :
[hr]
بازگردانی فایل قرنطینه شده
مثال :
[hr]
قرنطینه کردن فایل ها بر اساس ID اسکن
مثال :
[hr]
پاکسازی فایل مخرب بر اساس شماره اسکن[hr]
پاکسازی لاگ ها، فایل های قرنطینه شده و...
جهت کسی اطلاعات بیشتر در رابطه با این نرم ازار می توانید به لینک زیر مراجعه کنید :
http://www.rfxn.com/appdocs/README.maldetect
منابع :
https://www.rfxn.com/projects/linux-malware-detect/
http://www.rfxn.com/appdocs/README.maldetect
http://www.tecmint.com/install-linux-malware-detect-lmd-in-rhel-centos-and-fedora/
امیدوارم از این آموزش استفاده کافی را برده باشید
موفق و پیروز باشید[/align]
شاید شما هم یکی از مدیران سروری باشید که از دست شلرها به امان آمده. شلرهایی که به زبان های مختلف همچون PHP , Perl , Python و... نوشته می شوند و ممکن هست خسارات جبران ناپذیری را برای یک مدیر سرور به بار آورند.
در این پست شما را با ابزار Linux Malware Detect آشنا خواهیم کرد که یکی از برترین آنتی شلرها - آنتی ویروس ها در بین ابزارهای رایگان در این زمینه می باشد.
[/align][align=center]توضیحات[/align][align=right]
LMD یک اسکنر نرم افزارهای مخرب تحت لینوکس می باشد که تحت مجوز GNU GPLv2 منتشر شده است و در رابطه با تهدیداتی که یک هاستینگ اشتراکی با آنها مواجه است طراحی شده است. این ابزار، اطلاعات نرم افزارهای مخرب که در حال فعالیت می باشند را از طریق سیستم تشخیص نفوذ خود استخراج کرده و گزارشاتی را در این مورد به مدیر سرور ارائه می دهد. به علاوه، اطلاعات این ابزارهای مخرب از طریق گزارش های ارسال شده کاربران توسط قابلیت LMD checkout و منابع ابزارهای مخرب جمع آوری می شوند. منابعی که LMD از آنها استفاده می کند فایل های هش شده به صورت MD5 و الگوهای HEX هستند.
قابلیت های این نرم افزار عبارتند از :
- تشخیص یکپارچه تهدیدها با همراهی ClamAV و قرار دادن آن به عنوان موتور جستجوگر در جهت بهبود عملکرد برنامه
- قابلیت آپدیت مستقیم ورژن برنامه توسط دستور -d و –update-ver
- قابلیت آپدیت مستقیم دیتابیس کدهای مخرب با دستور -u و –update
- قابلیت scan-recent جهت اسکن فایل هایی که فقط در X روز قبل ایجاد/تغییر داده شده اند
- قابلیت scan-all جهت اسکن فایل ها بر اساس مسیر کامل
- قابلیت checkout جهت ارسال بدافزارهای مشکوک به rfxn.com
- سیستم گزارش کامل در جهت مشاهده نتایج اسکن های در حال جریان و نتایج قبلی
- قابلیت قرنطینه (Quarantine) که فایل های مشکوک را در یک مسیر امن (داخل سرور) و بدون دسترسی نگهداری میکند
- قابلیت قرنطینه نتایج اسکن های در حاب جریان و اسکن های قبلی ( Quarantine batching )
- قابلیلت بازگردانی فایل های قرنطینه شده به مسیر اصلی آنها و برگرداندن دسترسی و owner اصلی آنها
- قابلیت suspend کردن کاربر متخلف و یا ابطال مجوز دسترسی Shell از کاربر متخلف
- قابلیت Clean در جهت پاکسازی ابزارهای مخرب
- قابلیت Cleaner batching در جهت پاکسازی نتایج اسکن های قبلی
- قابلیت پاکسازی فایل هایی که توسط base64 و gzinflate کدگذاری شده اند
- قابلیت اسکن روزانه تمامی تغییراتی که در 24 ساعت گذشته در فایل های کاربران ایجاد شده
- قابلیت مانیتورینگ فایل های ایجاد شده / شناسایی شده / تغییر داده شده به صورت Real-Time
- قابلیت جلوگیری از دسترسی کاربران به دایرکتوری اصلی html سرور
- قابلیت ارسال ایمیل بعد از هر اسکن
منابع اطلاعات :
یکی از ویژگی هایی که LMD را با سایر ابزارهای موجود متمایز می کند این است که محدود به کشف فایل هایی که در یک منبع و یا به صورت Hash تعریف شده اند نمی باشد. این قابلیت شامل پروژه ای می شود که به صورت فعال در میان برافزارهای ناشناخته جستجو می کند و منبعی را در خصوص بدافزارهایی که در حال گردش هستند را تولید می کند.
LMD به طور کلی از چهار منبع برای شناسایی بدافزارها استفاده می کند :
Network Edge IPS
Community Data
ClamAV
User Submission
بروزرسانی منابع :
منبع LMD معمولاً به صورت روزانه بروزرسانی می شود. البته ممکن است این بروزرسانی بیشتر از 1 بار در روز باشد که بسته به بدافزارهایی است که از طریق LMD checkout گزارش داده می شوند. بروزرسانی این ابزار در سرور توسط cron روزانه واقع در /etc/cron.daily به صورت خودکار و همچنین به صورت دستی توسط دستور update- انجام می شود.
بدافزارهای شناسایی شده :
LMD نسخه 1.4.0 در کل دارای 7,241 بدافزار شناسایی شده است که 5393 آنها به صورت MD5 ( در بالا توضیح داده شد ) و 1848 عدد آنها به صورت HEX می باشند.
در لیست زیر، 60 عدد از بدافزارهایی که بیشترین شیوع را داشته و توسط LMD شناسایی شده اند را مشاهده می کنید :
کد:
base64.inject.unclassed bin.dccserv.irsexxy bin.fakeproc.Xnuxer bin.ircbot.nbot bin.ircbot.php3 bin.ircbot.unclassed bin.pktflood.ABC123 bin.pktflood.osf bin.trojan.linuxsmalli c.ircbot.tsunami exp.linux.rstb exp.linux.unclassed exp.setuid0.unclassed gzbase64.inject html.phishing.auc61 html.phishing.hsbc perl.connback.DataCha0s perl.connback.N2 perl.cpanel.cpwrap perl.ircbot.atrixteam perl.ircbot.bRuNo perl.ircbot.Clx perl.ircbot.devil perl.ircbot.fx29 perl.ircbot.magnum perl.ircbot.oldwolf perl.ircbot.putr4XtReme perl.ircbot.rafflesia perl.ircbot.UberCracker perl.ircbot.xdh perl.ircbot.xscan perl.mailer.yellsoft perl.shell.cbLorD perl.shell.cgitelnet php.cmdshell.c100 php.cmdshell.c99 php.cmdshell.ItsmYarD php.cmdshell.cih php.cmdshell.egyspider php.cmdshell.fx29 php.cmdshell.Ketemu php.cmdshell.N3tshell php.cmdshell.r57 php.cmdshell.unclassed php.defash.buno php.exe.globals php.include.remote php.ircbot.InsideTeam php.ircbot.lolwut php.ircbot.sniper php.ircbot.vj_denie php.mailer.10hack php.mailer.bombam php.mailer.PostMan php.phishing.AliKay php.phishing.mrbrain php.phishing.ReZulT php.pktflood.oey php.shell.rc99 php.shell.shellcomm
در LMD قابلیتی به نام inotify monitoring وجود دارد که فایل های ایجاد شده/شناسایی شده/جابجا شده درمسیرها و کاربران را به صورت Real-Time زیر نظر دارد. برای استفاده از این قابلیت، کرنل سیستم عامل شما باید از inotify_watch پشتیبانی کند که در CentOS/RHEL 5 به بالا این قابلیت به صورت پیش فرض وجود دارد. چنانچه شما از CentOS 4 استفاده می کنید باید برای استفاده از این قابلیت، ارتقاء دهید.[align=center]نصب[/align]
مراحل نصب این ابزار به صورت زیر است :
1- دریافت :
کد:
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
کد:
tar -xvf maldetect-current.tar.gz
کد:
./install.sh
برای اجرای تنظیمات LMD، فایل زیر را برای ویرایش باز می کنیم :
کد:
/usr/local/maldetect/conf.maldet
کد:
EMAIL ALERTS QUARANTINE OPTIONS SCAN OPTIONS STATISTICAL ANALYSIS MONITORING OPTIONS
email_alert : چنانچه قصد دارید پس از هر بار بررسی سرور شما توسط LMD، گزارش آن به ایمیل شما ارسال شود، مقدار این متغیر را برابر 1 قرار دهید و در غیر این صورت، مقدار آن را برابر 0 قرار دهید.
email_subj : موضوع ایمیلی که پس از بررسی سرور به شما ارسال می شود.
email_addr : آدرس ایمیل شما جهت ارسال گزارش پس از بررسی سرور.
quar_hits : اسکنر پس از مواجه شدن با بدافزار می تواند به سه شکل با آن برخورد کند :
1- نادیده گرفتن آن و اکتفا به گزارش دادن آن
2- قرنطینه کردن خودکار فایل مخرب
3- قرنطینه و سپس پاکسازی خودکار فایل مخرب
چنانچه قصد دارید فایل ها پس از شناسایی به صورت خودکار قرنطینه شوند مقدار این متغیر را برابر 1 و در غیر این صورت 0 قرار دهید.
quar_clean : چنانچه قصد دارید فایل های مخرب پس از شناسایی به صورت خودکار پاکسازی شوند مقدار این متغیر را برابر 1 و در غیر اینصورت 0 قرار دهید.
در نظر داشته باشید که فعال کردن این قابلیت ممکن است مشکلاتی را برای کاربران به وجود آورد.
quar_susp : چنانچه قصد دارید کاربر متخلف ( کاربری که اسکنر در فایل آن بدافزار شناسایی نموده است ) به صورت خودکار معلق ( suspend ) شود مقدار این متغیر را برابر 1 و در غیر این صورت 0 قرار دهید.
clamav_scan : همانطور که در توضیحات اشاره شد، LMD با آنتی ویروس - آنتی شلر Clam سازگاری کامل دارد. چنانچه شما قصد دارید که برای اسکن بدافزارها از موتور ClamAV استفاده شود، مقدار این متغیر را برابر 1 و در غیر اینصورت 0 قرار دهید.
دستورات و نحوه استفاده :
تا به اینجا شما را با ساختار کلی و نحوه تنظیم LMD آشنا نمودیم. در این قسمت توضیحاتی پیرامون دستورات آن خواهیم داد.
پس از نصب شدن LMD شما میتوانید آن را با استفاده از دستور maldet اجرا نمائید.
پارامترهای این دستور و توضیحات آن به شکل زیر است :
کد:
-b, --background
کد:
maldet -b -r /home/?/public_html 7
[/align]
کد:
-u, --update
کد:
-d, --update-ver
کد:
-m, --monitor USERS|PATHS|FILE
این دستور به سه شیوه قابل اجرا می باشد :
کد:
maldet --monitor users
کد:
maldet --monitor /root/monitor_paths
کد:
maldet --monitor /home/irh,/home/iranhack
کد:
-k, --kill
کد:
-r, --scan-recent PATH DAYS
مثال :
کد:
maldet -r /home/?/public_html 2
کد:
-a, --scan-all PATH
مثال :
کد:
maldet -a /home/?/public_html
کد:
-c, --checkout FILE
مثال :
کد:
maldet -a /home/irh/public_html/file.php
کد:
-l, --log
کد:
-e, --report SCANID email
مثال :
کد:
maldet --report
کد:
maldet --report list
کد:
maldet --report 050910-1534.21135
کد:
maldet --report SCANID [email protected]
کد:
-s, --restore FILE|SCANID
مثال :
کد:
maldet --restore /usr/local/maldetect/quarantine/config.php.23754
کد:
maldet --restore 050910-1534.21135
کد:
-q, --quarantine SCANID
مثال :
کد:
maldet --quarantine 050910-1534.21135
کد:
-n, --clean SCANID
کد:
-p, --purge
جهت کسی اطلاعات بیشتر در رابطه با این نرم ازار می توانید به لینک زیر مراجعه کنید :
http://www.rfxn.com/appdocs/README.maldetect
منابع :
https://www.rfxn.com/projects/linux-malware-detect/
http://www.rfxn.com/appdocs/README.maldetect
http://www.tecmint.com/install-linux-malware-detect-lmd-in-rhel-centos-and-fedora/
امیدوارم از این آموزش استفاده کافی را برده باشید
موفق و پیروز باشید[/align]