العثور على الملفات الخبيثة في لينيكس

قائمة العناوين

على الرغم من أن لينيكس نظام آمن جدا إلا أنه من الضروري المحافظة على أمن النظام من خلال الممارسات الصحيحة على الإنترنت ومن خلال الفحص الدوري للنظام للتأكد من عدم وجود أي شيء خبيث قد تكون جلبته عن طريق الخطأ.

في لينيكس هناك العديد من البرامج التي تساعدك في الحفاظ على أمن النظام وسنقوم بشرح برنامجين من البرامج التي تكمل بعضها البعض.

مضاد الفيروسات ClamAV

برنامج ClamAV هو مضاد فيروسات مفتوح المصدر قادر على إكتشاف العديد من التهديدات الأمنية مثل الفيروسات، حصان طروادة، وأنواع اخرى من البرامج الخبيثة.

تثبيت ClamAV

يمكنك تثبيت البرنامج من خلال الطرفية حسب النظام الذي تستخدمه:

Debian
$ sudo apt install clamav clamav-daemon -y

Arch
$ sudo pacman -S clamav

RHEL/CentOS
$ sudo yum install -y epel-release
$ sudo yum install -y clamav

Fedora
$ sudo yum install -y clamav clamav-update

openSUSE
$ sudo zypper install -y clamav

تحديث قاعدة بيانات البرنامج

تحديث قاعدة البيانات أمر مهم جدا في مضاد الفيروسات حيث انه من خلاله سيكون لديك أحدث التعريفات اللازمة لأحدث البرامج الخبيثة. للعلم، البرنامج لا يقوم بالتحديث بشكل تلقائي الا اذا قمت أنت بضبط هذه الخاصية. التحديث يتم من خلال الأمر التالي على جميع التوزيعات:

sudo freshclam

فحص الملفات

يمكنك فحص ملفات النظام كامل من خلال التالي:

للتفحص وعرض الملفات المصابة فقط:

sudo clamscan -r -i /

للتفحص وحذف الملفات المصابة:

clamscan -r --remove /

لفحص مكان معين من النظام مثل مجلد المستخدم الخاص بك:

للتفحص وعرض الملفات المصابه فقط:

sudo clamscan -r -i /home/$USER/

للتفحص وحذف الملفات المصابة:

clamscan -r --remove /home/$USER/

خلال تفحص النظام قد تعتقد أن البرنامج لا يعمل حيث أن لديك عدد هائل من الملفات والبرنامج يظهر فقط الملفات المصابة وبالتالي يستمر فترة وانت تعتقد أنه لا يعمل. لتقوم بعرض قائمة بجميع الملفات التي فحصها البرنامج، قم بإضافة التالي في نهاية الأمر:

| tee /tmp/scan.log

مثلا:

sudo clamscan -r -i /home/$USER/ | tee /tmp/scan.log

أداة LMD

أداة LMD وهي اختصار لـ Linux Malware Detect تقوم بالبحث عن الملفات الخبيثة المتخفية في النظام. هذه الاداة غير متوفرة من خلال مستودعات البرامج ويمكن تثبيتها بشكل يدوي. لن تقوم فقط بتثبيت وتفعيل الإدارة، بل سنقوم بجعلها تستخدم محرك ClamAV لتقوم بفحص الفيروسات والبرامج الخبيثة في نفس الوقت.

تثبيت LMD

wget https://www.rfxn.com/downloads/maldetect-current.tar.gz
tar -xvf maldetect-current.tar.gz
ls -l | grep maldetect
cd maldetect-1.6.4
sudo sh install.sh

إعدادات LMD

هذه الاداة جاهزة للعمل بشكل مباشر ولكن من المفضل عمل بعض الإعدادات في البداية. لتحرير ملف الاعدادات، نقوم بتنفيذ الأمر التالي:

sudo nano /usr/local/maldetect/conf.maldet

قم بتغيير الخيارات التالية الى القيم الموجودة في السطور التالية:

quarantine_hits="1"
scan_clamscan="1"

القيمة الأولى تعني نقل الملفات المصابة الى مكان آمن للحجر عليها.

القسمة الثانية تسمح بإستخدام محرك ClamAV في حال كان موجود. هذه القيمة في حال تم تفعيلها تتسبب بتسريع البحث عن الملفات الخبيثة 4 مرات و تسمح بفحص متطور.

فحص الملفات

يمكن من خلال الأداة فحص جميع الكمبيوتر أو فحص ملف معين أو مسار معين.

فحص مجلد home الخاص بك:

sudo maldet --scan-all /home/ahmad/

قم بتغيير ahmad الى اسم المستخدم الخاص بك. لا تستخدم الإختصار $USER لانه سيسبب مشكلة مع sudo ولن يعمل إلا بعد إعادة تشغيل الكمبيوتر.

عند انتهاء الفحص، ستحصل على ملخص بما تم عمله وسيتم إعلامك بكيفية عرض السجل حتى ترى المواد التي تم ضبطها. من ناحيتي تم التعرف على 10 ملفات خبيثة ولكنها ليست خبيثة بالفعل، هي مجرد ملفات LMD نفسها التي تحتوي على بصمات الملفات الخبيثة.