Linux Malware Detect (LMD) คือ malware snanner สำหรับ Linux ภายใต้ GNU GPLv2 License, ที่ถูกออกแบบมาเพื่อเผชิญกับภัยคุกคาม ในสภาพแวดล้อมแบบ shared hosted. โดยมันจะใช้ข้อมูลภัยคุกคามจากระบบตรวจจับการบุกรุกเครือข่าย (IDS) ที่จะตรวจสอบหา Malware ที่กำลังถูกใช้ในการโจมตี และทำการ Generate Signatures มาเพื่อทำการตรวจสอบ
นอกเหนือจากนี้, ข้อมูลของการคุกคามยังได้รับมาจากการส่งจาก User
กับ LMD Checkout feature และจาก malware community resources.
Signatures ที่ LMD ใช้คือ MD5 file hashes และ HEX pattern matches
พวกเขายังง่ายต่อการที่จะ exported ไปยัง Detection tools ใดใดเช่น ClamAV
โดยปัจุบันมีการจำกัดให้ใช้งานได้ในแบบ Open Source สำหรับ Linux
4 ที่มาหลักๆของข้อมูล Malware ที่ใช้ในการ Generate LMD Signatures
- Network Edge IPS
- Community Data
- ClamAV
- User Submission
Futures
- MD5 file hash detection สำหรับการระบุภัยคุกคามอย่างรวดเร็ว
- HEX based pattern matching เพื่อระบุสายพันธุ์ภัยคุกคาม
- statistical analysis component สำหรับการตรวจจับภัยคุกคาม obfuscated (เช่น base64)
- integrated detection ของ ClamAV ที่จะใช้เป็น scanner engine เพื่อประสิทธิภาพที่ดีขึ้น
- integrated signature update feature ด้วย -u|–update
- integrated version update feature ด้วย -d | –update-ver
- scan-recent option สำหรับ scan files ที่มีการ added/changed ใน X days
- scan-all option สำหรับ full path based scanning
- checkout option to upload malware ที่สงสัยไปยัง rfxn.com เพื่อ review / hashing
- ระบบการรายงานอย่างเต็มรูปแบบเพื่อดูผลการสแกนในปัจจุบันและก่อนหน้านี้
- คิวที่เก็บกักภัยคุกคามในรูปแบบที่มีความปลอดภัยไม่มีสิทธิ์
- quarantine batching option ผลการสแกนในปัจจุบันหรือในอดีตที่ผ่านมา
- quarantine restore option เพื่อ restore files เป็น original path , owner และ perms
- ระงับการกักกันตัวเลือกบัญชี Cpanel ระงับหรือเพิกถอนผู้ใช้เปลือก
- cleaner rules เพื่อ removal of malware injected strings
- cleaner batching option เพื่อพยายามทำความสะอาด ผลการสแกนรายงานก่อนหน้านี้
- cleaner rules เพื่อ remove base64 and gzinflate (base64 injected malware)
- daily cron based สแกนตามการเปลี่ยนแปลงทั้งหมดใน 24 ชั่วโมงที่ผ่านมาใน user homedirs
- daily cron script ที่เข้ากันได้กับ stock RH style systems, Cpanel & Ensim
- kernel based inotify เวลาการสแกนไฟล์ที่แท้จริงของการสร้าง / การแก้ไข / ย้ายไฟล์
- kernel inotify monitor ที่สามารถนำข้อมูลเส้นทางจาก STDIN หรือไฟล์
- kernel inotify monitor คุณลักษณะที่อำนวยความสะดวกในการตรวจสอบการตรวจสอบผู้ใช้ระบบ
- kernel inotify monitor สามารถ จำกัด root html ที่ผู้ใช้สามารถปรับแต่งได้
- kernel inotify monitor กับ dynamic sysctl limits สำหรับประสิทธิภาพที่ดีที่สุด
- kernel inotify alerting การแจ้งเตือนผ่านทุกวันและ / หรือตัวเลือกรายงานรายสัปดาห์
- รายงานการแจ้งเตือนอีเมลทุกครั้งหลังจากการดำเนินการสแกน (manual & daily)
- path, extension and signature based ไม่สนใจตัวเลือก
- ตัวเลือกการแสกนแบบ Background scanner สำหรับการดำเนินการสแกนแบบอัตโนมัติ
- บันทึกข้อมูลอย่างละเอียด และ การส่งออกของการดำเนินการทั้งหมด
Download
http://www.rfxn.com/downloads/maldetect-current.tar.gz
เริ่มต้น
โหลดมาแล้วแตกไฟล์และทำการ Install
./install.sh
เข้าไปที่โฟลเดอร์ files และเรียกใช้งานไฟล์ maldet
./maldet --scan-all
หรือลอง --help เพื่อศึกษาการใช้งานเพิ่มเติม
http://www.rfxn.com/appdocs/README.maldetect
http://www.rfxn.com/appdocs/CHANGELOG.maldetect
Source : https://www.rfxn.com/projects/linux-malware-detect/
