Centos Web Panel ve Diğer Linux sunucularında Maldet ve Kötü Amaçlı Yazılımların Tespiti, Analizi ve Silinmesi
Maldet (Linux Malware Detect) Nedir?
Linux Malware Detect genellikle LMD veya maldet şeklinde yazılarak kısaltılır. Linux sistemlerinde kötü amaçlı yazılımları arayan ve rapor eden bir yazılım paketidir. Geleneksel olarak, Linux sistemleri genellikle bilgisayar virüslerine ve diğer kötü amaçlı yazılımlara karşı çok iyi korunmuş olarak kabul edilir, ancak günümüzde artık böyle değildir. Her Linux ve türevi işletim sistemi kurulmuş olan sunucunun devamlı güncellenen ve kontrol edilen bir güvenlik yazılımına ihtiyacı vardır.
Linux sistemlerini güvenlik açıklarına karşı korumak için, Rootkit Hunter ve chkrootkit gibi rootkit dedektörleri, lynis gibi denetim sistemleri gibi çeşitli diğer kötücül amaçlı yazılımların tespiti için paketleri mevcuttur. LMD ve ClamAV gibi kötü amaçlı yazılım algılama yazılımları, bilinen binlerce kötü amaçlı yazılım örneğinin imzalarına dayanarak ve bunları tarayarak sistemlerin güvenliğini artırır.
Maldet’i Sunucumuza Yükleme
Centos Web Panel için cwppro yani lisanslı bir kullanıcı iseniz sol ana menü kısmında bulunan Security sekmesi altında Maldet ve diğer araçlara ulaşabilirsiniz. Kurulum, güncelleme, çeşitli ayarlar ve yazılımın kaldırılmasını kolay bir şekilde yapabilirsiniz.
Lisanslı bir kullanıcı olmadığımızı varsayarak manuel bir şekilde maldet nasıl kurulur? şimdi bu soruya cevap vereyim.
1- Maldet Kurulumu
cd / usr / local / src rm -Rf maldetect- * wget http://www.rfxn.com/downloads/maldetect-current.tar.gz tar xfz maldetect-current.tar.gz cd maldetect- * ./install.sh
Bu kod RHEL, centos, ubuntu, debian türevlerinde sorunsuz bir şekilde kullanılabilir. Öncelikle herhangi bir maldetect kurulumu varsa siliyoruz ve maldet kurulumunu yapıyoruz.
2 – Kurulumu gerçekleştirdikten sonra maldet imzalarını güncelleyelim.
maldet -u
3 – Şimdide Maldet yazılımını son sürümüne yükseltelim.
maldet -d
4 – Maldet ile kötü amaçlı yazılımların taranması
Centos Web Panel kullanıcıları için tüm hesapların bağlı olduğu web siteleri ve proje dosyaları home dizini altında bulunur. Bütün hesaplara ait public_html dosyalarını taramak için;
maldet -a /home/*/public_html
5 – Sizin sunucunuzda tek hesabınız var veya sadece bir tane hesabı taramak istiyorsanız;
maldet -a /home/USERNAME/public_html
*USERNAME yazan yere oluşturduğunuz hesap ismini yazmak zorundasınız.
6 – Hesaplara ait tüm dosyaları yani home dizinini taramak için;
maldet -a /home
7 – Maldet taramasını arka planda çalıştırmak için -b –scan-all parametresini kullanılıyoruz.
maldet -b --scan-all /home/USERNAME/public_html
8 – Maldet taramaları gerçekleştikten sonra oluşan rapor ve günlük dosyalarına ulaşmak için;
maldet -l
9 – Tüm tarama raporlarının zamanını ve Taramaları listelemek için;
maldet --report list
10 – Belirli bir raporu ayrıntılı olarak görmek yada açmak için;
maldet --report SCANID
*SCANID’nin örnek görünümü : 200327-0316.24224 şeklindedir.
*Name yani isim örnek görünümü : session.200327-0316.24224 şeklindedir.
Örnek Dosya Taraması Sonucu
HOST: hostname SCAN ID: 200327-0316.24224 STARTED: Mar 27 2020 03:16:29 +0300 COMPLETED: Mar 27 2020 03:19:52 +0300 ELAPSED: 203s [find: 1s] PATH: RANGE: 1 days TOTAL FILES: 4464 TOTAL HITS: 0 TOTAL CLEANED: 0 =============================================== Linux Malware Detect v1.6.4 < proj@rfxn.com >
Etkilenen dosyaları gözden geçirmek ve karantinaya almak için (karantinaya almadan önce her zaman dosyalarınızı gözden geçirmeniz önerilir)
11 – Bu komut virüslü tüm dosya türlerini karantinaya almak için kullanılır:
maldet -q SCANID
Örnek Kullanımı : maldet -q 200327-0316.24224
Tüm karantina dosyalarına /usr/local/maldetect/quarantine
dizininden ulaşabilirsiniz.
Bir sonraki yazımda ClamAV, symlink ve bazı spam takip yöntemleri ile ilgili bilgiler vereceğim, başka bir yazıda buluşmak dileğiyle.
Allah bizi başta Covid-19 Corona (Korona) virüsü olmak üzere tüm virüslerden korusun.