LMD洋文全称Linux Malware Detect,是Linux下的病毒扫描检测软件,源代码:https://github.com/rfxn/linux-malware-detect。
Linux恶意软件检测(LMD)是根据GNU GPLv2许可证发布的用于Linux的恶意软件扫描器,该许可证是围绕共享托管环境中面临的威胁设计的。它使用来自网络边缘入侵检测系统的威胁数据来提取恶意软件,这些恶意软件正积极地用于攻击并生成用于检测的签名。此外,威胁数据还来源于具有LMD结账功能的用户提交和恶意软件社区资源。LMD使用的签名是MD5文件散列和HEX模式匹配,它们也很容易导出到任意数量的检测工具,如ClamAV。
ClamAV是跨平台的开源杀毒软件,支持Linux、Windows和macOS。使用它做为LMD的扫描引擎。
# 安装Linux Malware Detect (LMD)
首先安装mailx(发送邮件用),使用它发送LMD扫描结果。
| 1 2 |
yum install epel-release yum install mailx |
下载LMD:
| 1 2 3 |
cd /tmp wget http://www.rfxn.com/downloads/maldetect-current.tar.gz tar -xzvf maldetect-current.tar.gz |
运行安装脚本:
| 1 2 |
cd maldetect-1.5 ./install.sh |
创建链接:
| 1 |
ln -s /usr/local/maldetect/maldet /bin/maldet |
配置LMD:
| 1 |
vim /usr/local/maldetect/conf.maldet |
开启邮件通知:
| 1 2 3 |
email_alert="1" #开启发邮件功能 #设置邮件 email_addr="[email protected]" #设置成自己的邮箱地址 |
使用ClamAV clamscan做为默认扫描引擎:
| 1 |
scan_clamscan="1" |
自动把病毒移动到隔离区:
| 1 |
quarantine_hits="1" |
| 1 |
quarantine_clean="1" |
# 安装ClamAV
ClamAV做为LMD的扫描引擎。
| 1 2 |
yum install epel-release yum install clamav clamav-devel clamav-update |
编辑freshclam配置文件:
| 1 2 |
cp /etc/freshclam.conf /etc/freshclam.conf.bak #备份该文件 sed -i '/^Example/d' /etc/freshclam.conf |
更新病毒库:
| 1 |
freshclam |
# 测试LMD
扫描www目录:
| 1 |
maldet --scan-all /www |
查看扫描报告:
| 1 |
maldet --report 161101-0651.14136 |
| 2 |
maldet -e list #列出所有报告 |
清除病毒:
| 1 |
maldet -q 161101-0651.14136 |
删除所有隔离的文件:
| 1 |
rm -rf /usr/local/maldetect/quarantine/* |
查询是否清除干净:
| 1 |
maldet --clean scanid |
从隔离目录回复文件:
| 1 |
maldet -s <扫描ID> |
监控一个目录:
| 1 |
maldet -m /var/www/html/ |
查看监控日志:
| 1 |
tail -f /usr/local/maldetect/logs/inotify_log |