Linux hallinta- ja koventaminen

Antivirus-ohjelmiston asentaminen linux-ympäristöön

Helppo
25 min

Tässä moduulissa käydään läpi kuinka voit asentaa antivirus -ohjelmiston linux-ympäristöön. Monesti ajatellaan, ettei linux-ympäristö tarvitse antivirusta, koska suurin osa haittaohjelmista tehdään Windows-ympäristöissä toimiviksi. Tämä pitääkin suurimmalta osin paikkansa, mutta on monia tilanteita, joissa on hyödyllistä käyttää antivirusta myös linux-palvelimessa. Esimerkiksi, jos sinulla on kriittinen järjestelmä, jonka toiminta ei saa takkuuntua, antivirus-ohjelmisto voi olla hyvä idea varmistamaan, ettei mikään pöpö siihen eksy ja jos eksyy, niin tämä saadaan nopeasti kiinni.

Käynnistä alla oleva labra ja suorita vaiheet perässä. Tässä tehtävässä asennukset ja muut suoritetaan itse Kali-koneella, ei kohdepalvelimella.

Asennus

Käydään ensin läpi, miten asennetaan antivirus-ohjelmisto ja harjoitellaan sitten tämän käyttöä. Kirjoitetaan sitten yksinkertainen skripti, jonka avulla voidaan vahtia haluttuja kansioita.

ClamAV:n asennus ja virustietokannan päivittäminen

Asentaaksesi ClamAV-ohjelmiston, voit suorittaa alla olevat komennot.

apt update
apt-get install clamav clamav-daemon
freshclam

Komento freshclam lataa uusimmat virustietokannat, jonka avulla ClamAV erottaa haittaohjelmat tavallisista ohjelmista. Tyypillisesti tämä komento asetettaisiin ajamaan vaikka kerran päivässä automaattisesti, jotta olisi aina uusimmat virusmerkinnät.

Käyttö

Skannaa tietty tiedosto tai hakemisto

clamscan /polku/tiedosto-tai-hakemisto

Tämä komento skannaa joko yksittäisen tiedoston tai hakemiston, mutta ei kansion sisällä olevia kansioita. Tämä ei siis ole rekursiivinen komento.

Skannaa koko järjestelmä (vaatii pääkäyttäjän oikeudet)

sudo clamscan -r /

Tämä skannaa koko käyttöjärjestelmän, eli on rekursiivinen.

Skannaa ja näytä kaikki tiedostot, joissa havaitaan tartuntoja

clamscan -r --bell -i /

Tämä skannaa koko järjestelmän ja näyttää äänimerkin (--bell) ja tulostaa havaitut tartunnat (-i).

Siirrä tartunnan saaneet tiedostot karanteeniin

sudo clamscan -r --move=/path/to/quarantine /path/to/scan

Tämä skannaa annetun polun (/path/to/scan) ja siirtää havaitut tartunnan saaneet tiedostot karanteeniin (/path/to/quarantine).

Clamscannin automatisointi skriptillä

Kirjoitetaan seuraavaksi yksinkertainen skripti, joka skannaa 2 minuutin välein kotihakemistomme. Tämä myös siirtää haitalliseksi todetut tiedostot omaan kansioon.

Skripti näyttää seuraavanlaiselta. Muista luoda kansiot /viruses, johon siirtyy kaikki haitalliseksi todetut tiedostot, ja /logs, johon siirtyy skannauslokit.

#!/bin/bash


while true
do
        clamscan -r --log=/logs/$(date +"%y-%m-%d-%H-%M-%S").log --move=/viruses /root/
        sleep 120
done

Pistetään skripti pyörimään taustalle ja tallennetaan kotihakemistoon testivirus. Tässä mukavuuden puolesta on järkevää ajaa vaikka screen-ohjelma ja pistää skripti screen-sessioon pyörimään.

Suorita komento screen ja aja skripti tämän sisällä.

Nyt skriptimme suorittaa skannauksia kahden minuutin välein. Voit hypätä ulos screen-ohjelmasta ja jättää tämän pyörimään painamalla Ctrl-a + d.

Testiviruksen (eicar.txt) kokeilu

Tallennetaan kotihakemistoon eicar.txt-niminen tiedosto ja laitetaan siihen alla oleva merkkijono. Kyseessä on testitiedosto, joka saa antivirus-ohjelmistot hälyttämään, mutta joka ei ole missään muodossa vaarallinen.

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Ja huomaamme kuinka antivirus äkkää tiedostomme ja käsittelee tämän halutulla tavalla, siirtäen sen haluttuun paikkaan.

Testiviruksen aiheuttama lokitiedosto:

Kysymyksiä

Mikä seuraavista komennoista on viallinen?

hakatemia pro

Valmis ryhtymään eettiseksi hakkeriksi?
Aloita jo tänään.

Hakatemian jäsenenä saat rajoittamattoman pääsyn Hakatemian moduuleihin, harjoituksiin ja työkaluihin, sekä pääset discord-kanavalle jossa voit pyytää apua sekä ohjaajilta että muilta Hakatemian jäseniltä.