Amacım kendi köşemde kendi düşüncelerimi yazmak, Yazarken edebi kaygılar taşımam, sadece derdimi yazarım.

Sunucuda Virüs Taraması Yapmak

Linux bir sunucuya sahipseniz sizin de başınıza gelebilecek bir durumu paylaşmak istiyorum. Sunucuda bulunan klasör ve dosyalara verdiğiniz chmod izinleri yanlış yapılan htaccess dosyasının ayarları nedeniyle sunucunuza sızabilecek kötü amaçlı yazılımlar ( kimisi Malware der 🙂 ) sistem kaynaklarınız harcayarak sizi zor durumda bırakabilir.
Örnek olarak sunucunuza sızan bir dosya yardımı ile mail servisinizi kullanarak spam mailler gönderebilir. Bu durumda da gmail ve hotmail gibi servislerde sunucunuzun kara listeye düşmesine sebep olur.

Hizmet sağlayıcınız da gerekli desteği vermiyor veya belirli bir ücret karşılığında veriyor da siz bu hizmet için ücret ödemek istemiyorsanız bazı önlemler alabilirsiniz. Bunlardan birisi de sunucuda shell taraması yapmaktır.

bunun için uygun bir çok araç vardır. Avast, Trendmicro vb şekilde ücretli hizmetler de mevcut iken bunun yanı sıra ücretsiz Maldet uygulamasını kullanabilirsiniz.

Maldet uygulaması ile sunucuda shell taraması nasıl yapılıra geçecek olursak.

Kurulum;

Kurulum için kullanmanız gereken komutlar alt kısımda bilginize sunulmuştur.

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar zxvf maldetect-current.tar.gz
cd maldetect-*
sh install.sh

Kurulum bu komutlarla sorunsuz tamamlandıktan sonra yazılımın kullanımı ile ilgili örneklere geçmeden evvel bir uyarıda bulunmamız gerekir. Linux Malware Detect kısa adı ile maldet tarama işlemi yaparken sabit diskinizde oldukça fazla i/o tüketmektedir. Yavaş veya yoğun işlem olan sabit disklerde işlem yaparken sisteminizde ciddi performans sorunları oluşturabilir.

Komutlar,

maldet –help tüm maldet parametrelerini ekrana basacaktır.

Örnek tarama; Örneğin, hack edilmiş veya backdoor bulaşmış bir web sitesini taramak için örnek komut uygulaması yapalım. cPanel bir sunucuda netinternet.com.tr örnek alan adının cPanel kullanıcısı netinter ise

maldet -a /home/netinter/public_html

komutu ile ilgili web sayfasının dosyalarında malware taraması başlatabilirsiniz.

Tarama işlemine başladığınızda maldet size dosya sayısını göstermektedir.

maldet(9174): {scan} 653/14045 files scanned: 0 hits 0 cleaned

işlem devam ederken alınmış bu örnekte 14045 adet dosya içerisinde henüz 653 dosyanın tarandıpını görebilirsiniz. Herhangi bulunan zararlı bir içerikvarsa hits, temizlenen içerik varsa cleaned kısmında ayrıca görüntülenecektir.

Bu işlemin sonucunda yine tarama bitince maldet raporlama ve temizleme için size kodları ekrana basacaktır. Bununla ilgili örnekler alt kısımda yer almaktadır.

maldet(9174): {scan} scan completed on /root/: files 14045, malware hits 1, cleaned hits

Yukarıdaki satırdan çıkartacağımız anlam 1 adet zararlı içeriğin tespit edildiğidir.

maldet(9709): {scan} scan report saved, to view run: maldet –report 081513-2051.9709

Yukarıdaki satırdan çıkartacağımız anlam, zararlı içerik ile ilgili rapor, isim ve diğer bilereri görmek için konsolumuza maldet –report 081513-2051.9709 komutunu yazmamız gerektiğidir. Bu komut da yer alan rakamsal değer her taramada sistem tarafından otomatik olarak üretilmektedir.

maldet(9709): {scan} quarantine is disabled! set quar_hits=1 in conf.maldet or to quarantine results run: maldet -q 081513-2051.9709

Yukarıdaki satırdan çıkartmamız gereken anlam ise raporda yer alan tüm dosyaları temizlemek veya silmek yada karantina altına almak için maldet -q 081513-2051.9709 komutunu konsoldan çalıştırmamız gerektiğidir.

Bu örnek anlatımdan sonra bazı ayarlar ile ilgili de sizlere maldet hakkında bilgi vereceğiz.

maldet –report list komutu daha önce yapmış olduğunuz tarama işlemlerini ekrana basar

maldet –monitor komutu sürekli olarak tarama işlemi yapar (Ör: maldet –monitor /home sürekli olarak /home dizinine yüklenen dosyaları tarar kapatmak için maldet -k komutunu kullanmanız yeterlidir bu işlem background da çalışmaya devam edeceğinden yavaş veya yoğun sabit disklerde çok ciddi performans sorunları oluşturabilir.)

maldet -a /home/?/public_html komutunda kullanılan soru işareti yıldız yerine geçmekte ve /home klasörü içerisindeki tüm klasörlerin içerisinde bulunan public_html klasörlerini taramanıza olanak sağlamaktadır. Bu sayede daha az dosyayı daha hızlı tarayarak tüm sunucunuzda malware taraması yapmış olacaksınız.

maldet -b parametresi uzun sürecek tarama işlemlerini background da gerçekleştirir. Böylece tarama başlatıp SSH bağlantısını kapatabilirsiniz. (Ör: maldet -a -b /home/)

maldet -u maldet virüs veri tabanını güncelleştirecektir.

maldet -r parametresi sadece belirli bir gündeki eklenen değişen dosyaları taramaktadır (Ör: maldet -r /home/?/public_html 2 komutu 2 günlük dosyaları taramaktadır.)

maldet –restore komutu, temizlenen veya karantinaya alınan dosyaları geri yükler. Virüs temizlerken yazılımlarınıza zarar vermesi durumunda tarama numarası ile restore yapılır (Ör: maldet –restore 081513-2051.9709)

maldet -p tüm karantinaya alınan dosyaları, logları ve açık oturumları siler.

Maldet yazılımını kendinize göre özelleştirmek için conf dosyasını açarak içerisindeki bilgileri de düzenlemeniz mümkündür.

nano -w /usr/local/maldetect/conf.maldet

nano editörü ile yukarıda yazan dizini ve komutu olduğu gibi konsola yazarsanız maldet conf dosyasını editleyebilirsiniz.

Maldet konfigürasyon dosyasını editlerken monitor olarak çalıştırdığınızda bulduğu virüsleri size e-posta göndermesini, otomatik karantinaya almasını, tarama ile ilgili olarak işlem detaylarını değiştirmenize olanak sağlamaktadır.

cPanel sunucular üzerinde çalıştırılan maldet yazılımında dilerseniz konfigürasyon dosyasındaki quar_susp değerini 1 yaparak virüs bulunan hesapların otomatik olarak suspend edilmesinide sağlayabilirsiniz.

Kaynak: netinternet

konu ile ilgili diğer bir makale ise http://www.linuxakademi.com.tr/linux-malware-detect-lmd-kurulumu-ve-kullanimi/ adresinde yer alıyor.

Maldet’i kaldırmak isterseniz eğer /usr/local/maldetect ile birlikte the cron file /etc/cron.daily/maldet dosyalarını silmeniz gerekiyor.

şöyle bir komutta mevcut silmek için;

wget -q -O - bestinlinux.com/automation/sh/auto_maldet_remover | sh

Yorum Ekleme Alanı


Henüz yorum yapılmamış