Maldet के साथ एक लिनक्स सर्वर से मैलवेयर का पता लगाने और साफ करने के लिए कैसे
मैलवेयर एक दुर्भावनापूर्ण सॉफ़्टवेयर है जिसका लक्ष्य कंप्यूटर सिस्टम या सर्वर के चिकनी और सामान्य संचालन को बाधित करना है, निजी जानकारी एकत्रित करना या सिस्टम / सर्वर पर अनधिकृत पहुंच प्राप्त करना है। लिनक्स सिस्टम विंडोज की तुलना में कुछ दुर्भावनापूर्ण सॉफ़्टवेयर के लिए जाने जाते हैं, लेकिन इसका मतलब यह नहीं है कि लिनक्स उपयोगकर्ताओं को आसानी से होना चाहिए।
लिनक्स पर अधिकांश हमलों का उद्देश्य जावा कंटेनर और ब्राउज़रों जैसी सेवाओं में बग का शोषण करना है, और इसका मुख्य उद्देश्य यह है कि लक्षित सेवा कैसे काम करती है और कभी-कभी इसे पूरी तरह बंद कर देती है।
लिनक्स सिस्टम पर सबसे खतरनाक हमलों में से एक यह है कि जब हमलावर उपयोगकर्ता के लॉगिन प्रमाण-पत्र प्राप्त करने का प्रयास करता है। जब यह सफल होता है, तो हैकर कुछ भी चला सकता है जिसे वे चाहते हैं और गोपनीय डेटा तक पहुंच सकते हैं। वे लिनक्स सर्वर से जुड़े अन्य मशीनों पर भी हमला कर सकते हैं। इसका मुकाबला करने के लिए, उपयोगकर्ता मैलडेट का उपयोग लिनक्स से मैलवेयर का पता लगाने और साफ करने और अपने सिस्टम को साफ रखने के लिए कर सकते हैं।
लिनक्स मैलवेयर का पता लगाएं
मालडेट को लिनक्स मैलवेयर डिटेक्ट (एलएमडी) के रूप में भी जाना जाता है। यह एक लिनक्स मैलवेयर स्कैनर है जिसे साझा होस्ट किए गए वातावरण के साथ आम खतरों को संभालने के लिए विकसित किया गया था। यह सक्रिय रूप से हमलों में उपयोग किए जा रहे मैलवेयर निकालने और पहचान के लिए हस्ताक्षर उत्पन्न करने के लिए नेटवर्क एज घुसपैठ का पता लगाने सिस्टम से खतरे के डेटा का उपयोग करता है। हालांकि यह जटिल लगता है, यह उपयोग करना आसान है।
मालडेट स्थापित करना
टर्मिनल खोलें और एप्लिकेशन डाउनलोड करने के लिए नीचे दिए गए कमांड को चलाएं:
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
नीचे दिए गए आदेश का उपयोग कर डाउनलोड की गई संग्रह फ़ाइल को अनपैक करें:
tar -xvf maldetect-current.tar.gz
निकाले गए maldetect फ़ाइल वाले फ़ोल्डर में सक्रिय फ़ोल्डर बदलें:
सीडी maldetect-xy
"Xy" एप्लिकेशन का संस्करण संख्या है। इस फ़ोल्डर में "install.sh" स्क्रिप्ट है। अगला चरण निम्न आदेश का उपयोग कर स्क्रिप्ट को चलाने के लिए है:
sudo ./install.sh
अगर स्थापना सफल होती है, तो आपको अधिसूचित किया जाएगा। आपको यह भी बताया जाएगा कि मालडेट स्थापित किया गया था। मेरे मामले में इसे "/ usr / local / maldetect" के रूप में स्थापित किया गया था।
विन्यास
मालडेट स्थापित होने के बाद, "conf.maldet" नामक मालडेट निर्देशिका में एक कॉन्फ़िगरेशन फ़ाइल बनाई गई है। इसे संपादित करने के लिए, इसे टेक्स्ट एडिटर का उपयोग करके खोलें।
gksu gedit /usr/local/maldetect/conf.maldet
या आप टर्मिनल में इसे संपादित करने के लिए "नैनो" या "vi" का उपयोग कर सकते हैं:
सुडो नैनो /usr/local/maldetect/conf.maldet
नीचे विकल्पों का एक उदाहरण दिया गया है जो सेट किया जा सकता है:
ई - मेल अधिसूचना
मैलवेयर का पता चला है जब एक ईमेल अधिसूचना प्राप्त करें।
- "Email_alert" को 1 पर सेट करें।
- अपना ईमेल पता "email_addr" विकल्प में जोड़ें।
- "Email_ignore_clean" को 1 में बदलें। यह मैलवेयर स्वचालित रूप से साफ़ होने पर आपको भेजे जाने वाले अलर्ट को अनदेखा करने के लिए उपयोग किया जाता है।
क्वारंटाइन विकल्प
मैलवेयर का पता चला होने पर होने वाली कार्रवाइयां:
- प्रभावित फ़ाइलों के लिए स्वचालित रूप से संगठित होने के लिए "quarantine_hits" को 1 पर सेट करें।
- प्रभावित फ़ाइलों को स्वचालित रूप से साफ करने के लिए "quarantine_clean" को 1 पर सेट करें। इसे 0 पर सेट करने से पहले आप उन्हें साफ करने से पहले फ़ाइलों का निरीक्षण कर सकते हैं।
- "Quarantine_suspend_user" से 1 को सेट करने से उन उपयोगकर्ताओं को निलंबित कर दिया जाएगा जिनके खाते प्रभावित होते हैं, जबकि "quarantine_suspend_user_minuid" न्यूनतम उपयोगकर्ता आईडी को निलंबित करने के लिए सेट करता है। यह डिफ़ॉल्ट रूप से 500 पर सेट है लेकिन बदला जा सकता है।
कई अन्य कॉन्फ़िगरेशन विकल्प हैं जिन्हें आप जा सकते हैं और आवश्यक परिवर्तन कर सकते हैं। एक बार कॉन्फ़िगरेशन के साथ किए जाने के बाद, फ़ाइल को सहेजें और बंद करें।
स्कैनिंग मैलवेयर
आप समय-समय पर मूल स्कैन चला सकते हैं या स्कैन स्वचालित रूप से करने के लिए स्वचालित कर सकते हैं।
स्कैन चलाने के लिए, निम्न आदेश चलाएं:
सुडो मालडेट - स्कैन-ऑल / फ़ोल्डर्स / टू / स्कैन
जब यह आदेश चलाया जाता है, तो फ़ाइलों की एक सूची पथ में निर्देशिकाओं से बनाई जाती है और फ़ाइलों की स्कैनिंग शुरू होती है। उस निर्देशिका में फ़ाइल पथ "/ फ़ोल्डर्स / टू / स्कैन" बदलें जहां आप मालडेट को स्कैन करना चाहते हैं। स्कैनिंग के बाद, एक रिपोर्ट उत्पन्न होती है और फिर आप देख सकते हैं कि कौन सी फाइलें प्रभावित हैं।
प्रभावित फ़ाइलों को क्वारंटाइन कैसे करें
यदि आप "quarantine_hits" को 1 पर सेट करते हैं, तो मालडेट स्वचालित रूप से प्रभावित फ़ाइलों को संगरोध में ले जायेगा। जब यह 0 पर सेट होता है, तो जेनरेट की गई रिपोर्ट आपको प्रभावित फ़ाइलों का स्थान दिखाती है। फिर आप फ़ाइलों का निरीक्षण कर सकते हैं और तय कर सकते हैं कि उन्हें साफ करना है या नहीं।
एक फाइल बहाल करना
कभी-कभी आपके पास गलत कारण हो सकता है कि गलत कारण के लिए फ़ाइल को क्वारंटाइन किया जा रहा है। ऐसी फ़ाइल को पुनर्स्थापित करने के लिए, निम्न आदेश चलाएं:
सूडो मालडेट -स्टोर FILENAME
स्वचालित स्कैन
मालडेट की स्थापना के दौरान, "/etc/cron.daily/maldet" पर एक cronjob सुविधा भी स्थापित की जाती है। यह घरेलू निर्देशिकाओं के साथ-साथ किसी भी फाइल / फ़ोल्डर्स को स्कैन करेगा जो हाल ही में दैनिक आधार पर बदल दिए गए थे। कॉन्फ़िगरेशन फ़ाइल में ईमेल पते के माध्यम से यह हमेशा आपको किसी भी मैलवेयर के बारे में सूचित करेगा।
निष्कर्ष
बहुत से लोग कह रहे हैं कि लिनक्स सिस्टम मैलवेयर से प्रतिरक्षा हैं, लेकिन यह सच नहीं है। आपको दुर्भावनापूर्ण सॉफ़्टवेयर इंस्टॉल करने में धोखा दिया जा सकता है, या मैलवेयर ईमेल के माध्यम से भी फैल सकता है, और इससे आपके सिस्टम को नुकसान हो सकता है। ऐसी कई अन्य भेद्यताएं भी हैं जहां हैकर्स अनधिकृत पहुंच प्राप्त करने का प्रयास करते हैं, जिससे सिस्टम असुरक्षित हो जाता है। सुरक्षित रहने के लिए, आप अपने सिस्टम को साफ रखने के लिए मालडेट का उपयोग कर सकते हैं। आपके द्वारा उठाए जा सकने वाले अन्य उपायों में नेटवर्क निगरानी और फ़ायरवॉल नियमों को दूसरों के बीच स्थापित करना शामिल है।