Tässä moduulissa käydään läpi kuinka voit asentaa antivirus -ohjelmiston linux-ympäristöön. Monesti ajatellaan, ettei linux-ympäristö tarvitse antivirusta, koska suurin osa haittaohjelmista tehdään Windows-ympäristöissä toimiviksi. Tämä pitääkin suurimmalta osin paikkansa, mutta on monia tilanteita, joissa on hyödyllistä käyttää antivirusta myös linux-palvelimessa. Esimerkiksi, jos sinulla on kriittinen järjestelmä, jonka toiminta ei saa takkuuntua, antivirus-ohjelmisto voi olla hyvä idea varmistamaan, ettei mikään pöpö siihen eksy ja jos eksyy, niin tämä saadaan nopeasti kiinni.
Käynnistä alla oleva labra ja suorita vaiheet perässä. Tässä tehtävässä asennukset ja muut suoritetaan itse Kali-koneella, ei kohdepalvelimella.
Asennus
Käydään ensin läpi, miten asennetaan antivirus-ohjelmisto ja harjoitellaan sitten tämän käyttöä. Kirjoitetaan sitten yksinkertainen skripti, jonka avulla voidaan vahtia haluttuja kansioita.
ClamAV:n asennus ja virustietokannan päivittäminen
Asentaaksesi ClamAV-ohjelmiston, voit suorittaa alla olevat komennot.
apt update
apt-get install clamav clamav-daemon
freshclamKomento freshclam lataa uusimmat virustietokannat, jonka avulla ClamAV erottaa haittaohjelmat tavallisista ohjelmista. Tyypillisesti tämä komento asetettaisiin ajamaan vaikka kerran päivässä automaattisesti, jotta olisi aina uusimmat virusmerkinnät.
Käyttö
Skannaa tietty tiedosto tai hakemisto
clamscan /polku/tiedosto-tai-hakemistoTämä komento skannaa joko yksittäisen tiedoston tai hakemiston, mutta ei kansion sisällä olevia kansioita. Tämä ei siis ole rekursiivinen komento.
Skannaa koko järjestelmä (vaatii pääkäyttäjän oikeudet)
sudo clamscan -r /Tämä skannaa koko käyttöjärjestelmän, eli on rekursiivinen.
Skannaa ja näytä kaikki tiedostot, joissa havaitaan tartuntoja
clamscan -r --bell -i /Tämä skannaa koko järjestelmän ja näyttää äänimerkin (--bell) ja tulostaa havaitut tartunnat (-i).
Siirrä tartunnan saaneet tiedostot karanteeniin
sudo clamscan -r --move=/path/to/quarantine /path/to/scanTämä skannaa annetun polun (/path/to/scan) ja siirtää havaitut tartunnan saaneet tiedostot karanteeniin (/path/to/quarantine).
Clamscannin automatisointi skriptillä
Kirjoitetaan seuraavaksi yksinkertainen skripti, joka skannaa 2 minuutin välein kotihakemistomme. Tämä myös siirtää haitalliseksi todetut tiedostot omaan kansioon.
Skripti näyttää seuraavanlaiselta. Muista luoda kansiot /viruses, johon siirtyy kaikki haitalliseksi todetut tiedostot, ja /logs, johon siirtyy skannauslokit.
#!/bin/bash
while true
do
clamscan -r --log=/logs/$(date +"%y-%m-%d-%H-%M-%S").log --move=/viruses /root/
sleep 120
donePistetään skripti pyörimään taustalle ja tallennetaan kotihakemistoon testivirus. Tässä mukavuuden puolesta on järkevää ajaa vaikka screen-ohjelma ja pistää skripti screen-sessioon pyörimään.
Suorita komento screen ja aja skripti tämän sisällä.
Nyt skriptimme suorittaa skannauksia kahden minuutin välein. Voit hypätä ulos screen-ohjelmasta ja jättää tämän pyörimään painamalla Ctrl-a + d.
Testiviruksen (eicar.txt) kokeilu
Tallennetaan kotihakemistoon eicar.txt-niminen tiedosto ja laitetaan siihen alla oleva merkkijono. Kyseessä on testitiedosto, joka saa antivirus-ohjelmistot hälyttämään, mutta joka ei ole missään muodossa vaarallinen.
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*Ja huomaamme kuinka antivirus äkkää tiedostomme ja käsittelee tämän halutulla tavalla, siirtäen sen haluttuun paikkaan.
Testiviruksen aiheuttama lokitiedosto:
Kysymyksiä
Mikä seuraavista komennoista on viallinen?
Valmis ryhtymään eettiseksi hakkeriksi?
Aloita jo tänään.
Hakatemian jäsenenä saat rajoittamattoman pääsyn Hakatemian moduuleihin, harjoituksiin ja työkaluihin, sekä pääset discord-kanavalle jossa voit pyytää apua sekä ohjaajilta että muilta Hakatemian jäseniltä.