Maldet を使用して Linux サーバーからマルウェアを検出して駆除する方法
マルウェアは、コンピュータ システムやサーバーの円滑かつ正常な動作を妨害したり、個人情報を収集したり、単にシステムやサーバーに不正にアクセスしたりすることを目的とする悪意のあるソフトウェアです。 Linux システムには Windows に比べて悪意のあるソフトウェアがほとんどないことが知られていますが、だからと言って Linux ユーザーが安心できるわけではありません。
Linux に対するほとんどの攻撃は、Java コンテナやブラウザなどのサービスのバグを悪用することを目的としており、その主な目的は、標的となったサービスの動作方法を変更し、場合によってはサービスを完全に停止することです。
Linux システムに対する最も危険な攻撃の 1 つは、攻撃者がユーザーのログイン資格情報を取得しようとする場合です。これが成功すると、ハッカーはやりたいことを何でも実行でき、機密データにアクセスできるようになります。 Linux サーバーに接続されている他のマシンを攻撃することもできます。これに対処するために、ユーザーは Maldet を使用して Linux からマルウェアを検出して駆除し、システムをクリーンな状態に保つことができます。
Linuxマルウェア検出
Maldet は Linux Malware Detect (LMD) としても知られています。これは、共有ホスト環境によくある脅威に対処するために開発された Linux マルウェア スキャナーです。ネットワーク エッジの侵入検知システムからの脅威データを使用して、攻撃に積極的に使用されているマルウェアを抽出し、検知用のシグネチャを生成します。複雑そうに見えますが、使い方は簡単です。
マルデットのインストール
ターミナルを開き、以下のコマンドを実行してアプリケーションをダウンロードします。
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
以下のコマンドを使用して、ダウンロードしたアーカイブ ファイルを解凍します。
tar -xvf maldetect-current.tar.gz
アクティブなフォルダーを、抽出された Maldetect ファイルを含むフォルダーに変更します。
cd maldetect-x.y
「x.y」はアプリケーションのバージョン番号です。このフォルダーには「install.sh」スクリプトがあります。次のステップでは、次のコマンドを使用してスクリプトを実行します。
sudo ./install.sh
インストールが成功すると、通知が届きます。 Maldet がインストールされた場所も表示されます。私の場合は「/usr/local/maldetect」としてインストールされました。
構成
Maldet がインストールされると、「conf.maldet」という構成ファイルが Maldet ディレクトリに作成されます。編集するには、テキスト エディターを使用して開きます。
gksu gedit /usr/local/maldetect/conf.maldet
または、「nano」または「vi」を使用してターミナルで編集することもできます。
sudo nano /usr/local/maldetect/conf.maldet
以下は、設定できるオプションの例です。
電子メール通知
マルウェアが検出されたときに電子メール通知を受け取ります。
- 「email_alert」を 1 に設定します。
- メールアドレスを「email_addr」オプションに追加します。
- 「email_ignore_clean」を 1 に変更します。これは、マルウェアが自動的に駆除されるときに送信されるアラートを無視するために使用されます。
隔離オプション
マルウェアが検出された場合に実行するアクション:
- 影響を受けるファイルが自動的に隔離されるようにするには、「quarantine_hits」を 1 に設定します。
- 影響を受けるファイルを自動的にクリーンアップするには、「quarantine_clean」を 1 に設定します。これを 0 に設定すると、ファイルをクリーニングする前に最初にファイルを検査できます。
- 「quarantine_suspend_user」を 1 に設定すると、影響を受けるアカウントのユーザーが一時停止されますが、「quarantine_suspend_user_minuid」は一時停止される最小のユーザー ID を設定します。これはデフォルトで 500 に設定されていますが、変更できます。
他にも多くの構成オプションがあり、それらを参照して必要な変更を加えることができます。構成が完了したら、ファイルを保存して閉じます。
マルウェアのスキャン
基本スキャンを手動で実行することも、スキャンを自動化して定期的に実行することもできます。
スキャンを実行するには、次のコマンドを実行します。
sudo maldet --scan-all /folders/to/scan
このコマンドを実行すると、パス内のディレクトリからファイルのリストが作成され、ファイルのスキャンが開始されます。ファイル パス「/folders/to/scan」を、Maldet がスキャンするディレクトリに変更します。スキャン後、レポートが生成され、どのファイルが影響を受けるかを確認できます。
影響を受けるファイルを隔離する方法
「quarantine_hits」を 1 に設定すると、Maldet は影響を受けるファイルを自動的に隔離に移動します。 0 に設定すると、生成されたレポートに影響を受けるファイルの場所が表示されます。その後、ファイルを検査して、ファイルをクリーンアップするかどうかを決定できます。
ファイルの復元
場合によっては、誤検知によりファイルが誤った理由で隔離される可能性があります。このようなファイルを復元するには、次のコマンドを実行します。
sudo maldet -restore FILENAME
自動スキャン
Maldet のインストール中に、cronjob 機能も「/etc/cron.daily/maldet」にインストールされます。これにより、ホーム ディレクトリと最近変更されたファイル/フォルダーが毎日スキャンされます。マルウェアがある場合は、構成ファイル内の電子メール アドレスを通じて常に通知されます。
結論
Linux システムはマルウェアの影響を受けないと多くの人が言っていますが、それは真実ではありません。だまされて悪意のあるソフトウェアがインストールされたり、マルウェアが電子メールを通じて拡散したりして、システムに損害を与える可能性があります。ハッカーが不正アクセスを試みてシステムの安全性を低下させる脆弱性は他にも多数あります。安全を確保するために、Maldet を使用してシステムをクリーンな状態に保つことができます。その他に実行できる対策としては、ネットワーク監視やファイアウォール ルールの設定などが挙げられます。