So erkennen und entfernen Sie Malware von einem Linux-Server mit Maldet
Malware ist eine bösartige Software, deren Ziel darin besteht, den reibungslosen und normalen Betrieb eines Computersystems oder Servers zu stören, private Informationen zu sammeln oder sich einfach unbefugten Zugriff auf das System/den Server zu verschaffen. Es ist bekannt, dass Linux-Systeme im Vergleich zu Windows nur wenige bösartige Software enthalten. Das bedeutet jedoch nicht, dass Linux-Benutzer beruhigt sein sollten.
Die meisten Angriffe auf Linux zielen darauf ab, Fehler in Diensten wie Java-Containern und Browsern auszunutzen. Ihr Hauptziel besteht darin, die Funktionsweise des Zieldienstes zu ändern und ihn manchmal vollständig zu schließen.
Einer der gefährlichsten Angriffe auf ein Linux-System besteht darin, dass ein Angreifer versucht, an die Anmeldeinformationen eines Benutzers zu gelangen. Wenn dies gelingt, kann der Hacker alles ausführen, was er will, und hat Zugriff auf vertrauliche Daten. Sie können auch andere Maschinen angreifen, die mit dem Linux-Server verbunden sind. Um dem entgegenzuwirken, können Benutzer Maldet verwenden, um Malware von Linux zu erkennen und zu entfernen und ihre Systeme sauber zu halten.
Linux-Malware-Erkennung
Maldet ist auch als Linux Malware Detect (LMD) bekannt. Es handelt sich um einen Linux-Malware-Scanner, der für den Umgang mit Bedrohungen entwickelt wurde, die in gemeinsam genutzten gehosteten Umgebungen häufig auftreten. Es nutzt Bedrohungsdaten von Netzwerk-Edge-Intrusion-Detection-Systemen, um Malware zu extrahieren, die aktiv in Angriffen eingesetzt wird, und generiert Signaturen zur Erkennung. Obwohl es kompliziert klingt, ist es einfach zu bedienen.
Maldet installieren
Öffnen Sie ein Terminal und führen Sie den folgenden Befehl aus, um die Anwendung herunterzuladen:
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
Entpacken Sie die heruntergeladene Archivdatei mit dem folgenden Befehl:
tar -xvf maldetect-current.tar.gz
Ändern Sie den aktiven Ordner in den Ordner, der die extrahierte Maldetect-Datei enthält:
cd maldetect-x.y
„x.y“ ist die Versionsnummer der Anwendung. In diesem Ordner befindet sich das Skript „install.sh“. Der nächste Schritt besteht darin, das Skript mit dem folgenden Befehl auszuführen:
sudo ./install.sh
Wenn die Installation erfolgreich war, werden Sie benachrichtigt. Außerdem erfahren Sie, wo Maldet installiert wurde. In meinem Fall wurde es als „/usr/local/maldetect“ installiert.
Aufbau
Nach der Installation von Maldet wird im Maldet-Verzeichnis eine Konfigurationsdatei mit dem Namen „conf.maldet“ erstellt. Um es zu bearbeiten, öffnen Sie es mit einem Texteditor.
gksu gedit /usr/local/maldetect/conf.maldet
Oder Sie können es mit „nano“ oder „vi“ im Terminal bearbeiten:
sudo nano /usr/local/maldetect/conf.maldet
Nachfolgend finden Sie ein Beispiel für Optionen, die festgelegt werden können:
Email Benachrichtigung
Erhalten Sie eine E-Mail-Benachrichtigung, wenn Malware erkannt wird.
- Setzen Sie „email_alert“ auf 1.
- Fügen Sie Ihre E-Mail-Adresse zur Option „email_addr“ hinzu.
- Ändern Sie „email_ignore_clean“ auf 1. Dies wird verwendet, um Warnungen zu ignorieren, die an Sie gesendet werden, wenn Malware automatisch bereinigt wird.
Quarantäneoptionen
Zu ergreifende Maßnahmen, wenn Malware erkannt wird:
- Setzen Sie „quarantine_hits“ auf 1, damit die betroffenen Dateien automatisch unter Quarantäne gestellt werden.
- Setzen Sie „quarantine_clean“ auf 1, um die betroffenen Dateien automatisch zu bereinigen. Wenn Sie diesen Wert auf 0 setzen, können Sie die Dateien zunächst überprüfen, bevor Sie sie bereinigen.
- Wenn Sie „quarantine_suspend_user“ auf 1 setzen, werden Benutzer gesperrt, deren Konten betroffen sind, während „quarantine_suspend_user_minuid“ die Mindestbenutzer-ID festlegt, die gesperrt werden soll. Dieser ist standardmäßig auf 500 eingestellt, kann aber geändert werden.
Es gibt viele weitere Konfigurationsmöglichkeiten, die Sie durchgehen und die notwendigen Änderungen vornehmen können. Wenn Sie mit der Konfiguration fertig sind, speichern und schließen Sie die Datei.
Scannen von Malware
Sie können einen einfachen Scan manuell ausführen oder einen regelmäßig stattfindenden Scan automatisieren.
Um einen Scan auszuführen, führen Sie den folgenden Befehl aus:
sudo maldet --scan-all /folders/to/scan
Wenn dieser Befehl ausgeführt wird, wird eine Liste von Dateien aus den Verzeichnissen im Pfad erstellt und der Scan der Dateien beginnt. Ändern Sie den Dateipfad „/folders/to/scan“ in das Verzeichnis, in dem Maldet scannen soll. Nach dem Scanvorgang wird ein Bericht erstellt und Sie können dann sehen, welche Dateien betroffen sind.
So stellen Sie betroffene Dateien unter Quarantäne
Wenn Sie „quarantine_hits“ auf 1 setzen, verschiebt Maldet die betroffenen Dateien automatisch in die Quarantäne. Wenn der Wert auf 0 gesetzt ist, zeigt Ihnen der generierte Bericht den Speicherort der betroffenen Dateien an. Anschließend können Sie die Dateien überprüfen und entscheiden, ob Sie sie bereinigen möchten oder nicht.
Wiederherstellen einer Datei
Manchmal gibt es ein falsches Positivergebnis, das dazu führt, dass eine Datei aus dem falschen Grund unter Quarantäne gestellt wird. Um eine solche Datei wiederherzustellen, führen Sie den folgenden Befehl aus:
sudo maldet -restore FILENAME
Automatischer Scan
Während der Installation von Maldet wird auch eine Cronjob-Funktion unter „/etc/cron.daily/maldet“ installiert. Dadurch werden die Home-Verzeichnisse sowie alle Dateien/Ordner, die kürzlich geändert wurden, täglich gescannt. Über die E-Mail-Adresse in der Konfigurationsdatei werden Sie immer über Malware informiert.
Abschluss
Viele Leute sagen, dass Linux-Systeme immun gegen Malware sind, aber das stimmt nicht. Sie können dazu verleitet werden, Schadsoftware zu installieren, oder Malware kann sogar über E-Mails verbreitet werden, was zu Schäden an Ihrem System führen kann. Darüber hinaus gibt es viele weitere Schwachstellen, durch die Hacker versuchen, sich unbefugten Zugriff zu verschaffen und so das System unsicher zu machen. Um sicher zu gehen, können Sie Maldet verwenden, um Ihr System sauber zu halten. Zu den weiteren Maßnahmen, die Sie ergreifen können, gehören unter anderem die Einrichtung von Netzwerküberwachungs- und Firewall-Regeln.