Académique Documents
Professionnel Documents
Culture Documents
- Laboratoire -
AIDE LMD et ClamAV
420-T10-SU
AIDE, LMD
ClamAV
Juillet 2018
2|Page
Introduction
Afin de vous aider dans votre travail d'administrateur réseau, vous avez des outils qui peuvent vous aider.
AIDE
AIDE (Advanced Intrusion Detection Environment) est un vérificateur d'intégrité de fichiers et de répertoires.
# aide --help
# aide --init
La base de données initiale se nomme aide.db.new.gz et doit être renommé afin de permettre à AIDE
de fonctionner correctement
# cd /var/lib/aide
# ls
# mv aide.db.new.gz aide.db.gz
# ls
Effectuez un premier test. Durant le test. Ne faites aucune activité sur la machine
# aide --check
3|Page
Faites des modifications et faites à nouveau le test:
# cd
# touch /etc/test.conf
# touch rootfile.txt
# mv anaconda-ks.cfg anaconda-ks.cfg_original
# aide --check
Summary:
Total number of files: 48768
Added files: 3
Removed files: 1
Changed files: 0
---------------------------------------------------
Added files:
---------------------------------------------------
added: /etc/test.conf
added: /root/anaconda-ks.cfg_original
added: /root/rootfile.txt
---------------------------------------------------
Removed files:
---------------------------------------------------
removed: /root/anaconda-ks.cfg
Pour éviter qu’AIDE ne rapporte ces changements lors des prochains tests:
# aide --update
4|Page
Il faut ensuite renommer l’ancienne BD et la nouvelle qui a été créée. Remplacé <date> avec la date en
cours
# cd /var/lib/aide
# ls
# mv aide.db.gz aide.db.gz.<date>
Remarque : On peut écrire un script qui renomme l’ancienne BD et fait des tests (--check)
automatiquement avec l’outil cron.
Afin prioriser le dépôt de base sur les autres dépôts, il faut ajouter la ligne priority=1 à chaque groupe
# vi /etc/yum.repos.d/CentOS-Base.repo
# CentOS-Base.repo
#
# The mirror system uses the connecting IP address of the client and the
# update status of each mirror to pick mirrors that are updated to and
# geographically close to the client. You should use this for CentOS updates
# unless you are manually picking other mirrors.
#
# If the mirrorlist= does not work for you, as a fall back you can try the
# remarked out baseurl= line instead.
#
#
[base]
priority=1
name=CentOS-$releasever - Base
mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=os
&infra=$infra
#baseurl=http://mirror.centos.org/centos/$releasever/os/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7
#released updates
[updates]
priority=1
5|Page
name=CentOS-$releasever - Updates
mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=up
dates&infra=$infra
#baseurl=http://mirror.centos.org/centos/$releasever/updates/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7
Afin de prioriser le dépôt de base sur les autres dépôts, il faut ajouter la ligne priority=5 à chaque
groupe
# vi /etc/yum.repos.d/epel.repo
[epel]
priority=5
name=Extra Packages for Enterprise Linux 7 - $basearch
#baseurl=http://download.fedoraproject.org/pub/epel/7/$basearch
mirrorlist=https://mirrors.fedoraproject.org/metalink?repo=epel-7&arch=$basearch
failovermethod=priority
enabled=1
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-7
[epel-debuginfo]
priority=5
name=Extra Packages for Enterprise Linux 7 - $basearch - Debug
#baseurl=http://download.fedoraproject.org/pub/epel/7/$basearch/debug
mirrorlist=https://mirrors.fedoraproject.org/metalink?repo=epel-debug-
7&arch=$basearch
failovermethod=priority
enabled=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-7
gpgcheck=1
[epel-source]
6|Page
priority=5
name=Extra Packages for Enterprise Linux 7 - $basearch - Source
#baseurl=http://download.fedoraproject.org/pub/epel/7/SRPMS
mirrorlist=https://mirrors.fedoraproject.org/metalink?repo=epel-source-
7&arch=$basearch
failovermethod=priority
enabled=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-7
gpgcheck=1
~
La recherche de rootkit
Rkhunter est un chasseur de rootkit pour les systèmes Linux.
INSTALLATION
Dans ce laboratoire, vous allez installer rkhunter via yum
UTILISATION
Il faut mettre à jour les fichiers de données. Ces fichiers contiennent des informations que rkhunter
utilise pour déterminer si un fichier ou un comportement est suspect ou non. Il est essentiel de garder ces
fichiers à jour.
# rkhunter --update
Il faut mettre aussi à jour la « baseline » de la propriété des fichiers pour que rkhunter puisse nous
avertir si les fichiers de configuration qui sont surveillés deviennent altérés. Cette commande permet de
prendre les valeurs actuelles et les enregistrer comme bonne valeurs connues.
7|Page
# rkhunter --propupd
# rkhunter --check
Une fois le scan complété, consultez le fichier log pour trouver la cause des avertissements
# vi /var/log/rkhunter/rkhunter.log
LMD
Téléchargement de LMD ensuite décompressez le fichier
# cd /tmp
# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
# cd maldetect*
# ./install.sh
# ln -s /usr/local/maldetect/maldet /bin/maldet
Il faut maintenant configurer LMD. Utilisez votre éditeur afin de modifier le fichier conf.maldet
8|Page
#vim /usr/local/maldetect/conf.maldet
9|Page
Nous avons besoin d’utiliser le moteur de ClamAV pour le balayage car il est plus performant pour
balayer sur de grands ensembles de fichiers. La valeur doit être à 1 sur la ligne 119
scan_clamscan="1"
Nous voulons aussi que les fichiers malveillants (malware) soientdéplacés en quarantaine
automatiquement durant le balayage. Changez la valeur à 1 sur la ligne 185
quarantine_hits="1"
Ensuite, il faut mettre la valeur à 1 à la ligne 190 pour activer les fichiers malveillant de type « string
based malware injections ».
quarantine_clean="1"
10 | P a g e
ClamAV
Installer ClamAV
# ln -s /etc/clamd.d/scan.conf /etc/clamd.conf
Il faut éditer le fichier de configuration pour la commande de mise à jour pour ClamAV avec votre
éditeur
# vi /etc/clamd.d/scan.conf
11 | P a g e
Activez et démarrez le clamAV, puis valider que le service est bien démarré
# vi /etc/freshclam.conf
# freshclam
12 | P a g e
Tester LMD et ClamAV
Les instructions qui suivent demandent l’utilisation du compte utilisateur robert que vous devez créer et du
compte root
Avec le compte root, vous devez créer un répertoire dans /home et y télécharger 3 fichiers malicieux
# mkdir /home/admin
# cd /home/admin
# wget http://centos.isimtl.local/t10/eicar.com.txt
# wget http://centos.isimtl.local/t10/eicar_com.zip
# wget http://centos.isimtl.local/t10/eicarcom2.zip
Faite la même procédure avec le compte de Robert. Assurez-vous de changer de compte pour celui de
robert et déplacez-vous dans son dossier par défaut.
[robert@machine1 admin]$ cd
[robert@machine1~]$
# wget http://centos.isimtl.local/t10/eicar.com.txt
# wget http://centos.isimtl.local/t10/eicar_com.zip
# wget http://centos.isimtl.local/t10/eicarcom2.zip
13 | P a g e
Faite un scan du dossier /home avec LMD et regarder les résultats du scan
# maldet -a /home
maldet(2282): {scan} signatures loaded: 11294 (9343 MD5 / 1951 HEX / 0 USER)
maldet(2282): {scan} building file list for "/home", this might take awhile...
maldet(2282): {scan} setting nice scheduler priorities for all operations: cpunice
19 , ionice 6
maldet(2282): {scan} file list completed in 0s, found 44 files...
maldet(2282): {scan} found clamav binary at /usr/bin/clamscan, using clamav
scanner engine...
maldet(2282): {scan} scan of "/home" (44 files) in progress...
maldet(2282): {scan} processing scan results for hits: 3 hits 0 cleaned
maldet(2282): {scan} scan completed on "/home": files 44, malware hits 3, cleaned
hits 0, time 19s
maldet(2282): {scan} scan report saved, to view run: maldet --report 170203-
1427.2282
Regardez maintenant le rapport produit par LMD (attention d’utiliser le numéro de rapport qui
correspond à votre machine)
HOST: machine1.bluesky.local
SCAN ID: 170203-1427.2282
STARTED: Feb 3 2017 14:27:24 -0500
COMPLETED: Feb 3 2017 14:27:43 -0500
ELAPSED: 19s [find: 0s]
PATH: "/home"
TOTAL FILES: 44
TOTAL HITS: 3
TOTAL CLEANED: 0
Pour quitter le rapport, vous devez faire CTRL+X et ne pas enregistrer les modifications s’il vous le
demande.
14 | P a g e
Lancez maintenant un scan avec deux commande pour ClamAV sur le dossier /home
Pourquoi est-ce que ClamAV voit les 3 fichiers malicieux dans le dossier /home/admin alors que LMD
ne l’a pas vu ?
# vi /usr/local/maldetect/conf.maldet
15 | P a g e
Monitoring mode
Installez inotify-tools à l’aide de yum
1. Connectez-vous sur le router et ouvrez un terminal. Ensuite ouvrez une session SSH vers votre serveur
Ensuite, ouvrez une session avec le compte de robert et assurer vous d'être dans le répertoire par
défaut.
$ cd
# wget http://centos.isimtl.local/t10/eicar.com.txt
# wget http://centos.isimtl.local/t10/eicar_com.zip
# wget http://centos.isimtl.local/t10/eicarcom2.zip
16 | P a g e
2. Attendez quelques secondes, et regarder le contenu du dossier
$ ls
3. Sur la session ssh avec le compte root, regarder le journal event_log pour voir ce qui s’est passé
# tail -n 20 /usr/local/maldetect/logs/event_log
Feb 03 15:49:40 machine1 maldet(8025): {mon} warning clamd service not running;
force-set monitor mode file scanning to every 120s
Feb 03 15:49:52 machine1 maldet(8025): {mon} scanned 0 new/changed files with
clamav engine
Feb 03 15:51:53 machine1 maldet(8025): {mon} warning clamd service not running;
force-set monitor mode file scanning to every 120s
Feb 03 15:52:05 machine1 maldet(8025): {mon} scanned 0 new/changed files with
clamav engine
Feb 03 15:54:05 machine1 maldet(8025): {mon} warning clamd service not running;
force-set monitor mode file scanning to every 120s
Feb 03 15:54:17 machine1 maldet(8025): {mon} scanned 0 new/changed files with
clamav engine
Feb 03 15:56:18 machine1 maldet(8025): {mon} warning clamd service not running;
force-set monitor mode file scanning to every 120s
Feb 03 15:56:36 machine1 maldet(8025): {hit} malware hit {HEX}EICAR.TEST.10 found
for /home/robert/eicarcom2.zip
Feb 03 15:56:36 machine1 maldet(8025): {quar} malware quarantined from
'/home/robert/eicarcom2.zip' to
'/usr/local/maldetect/quarantine/eicarcom2.zip.307219138'
Feb 03 15:56:36 machine1 maldet(8025): {hit} malware hit {HEX}EICAR.TEST.10 found
for /home/robert/eicar.com.txt
Feb 03 15:56:36 machine1 maldet(8025): {quar} malware quarantined from
'/home/robert/eicar.com.txt' to
'/usr/local/maldetect/quarantine/eicar.com.txt.788723705'
Feb 03 15:56:36 machine1 maldet(8025): {hit} malware hit {HEX}EICAR.TEST.10 found
for /home/robert/eicar_com.zip
Feb 03 15:56:36 machine1 maldet(8025): {quar} malware quarantined from
'/home/robert/eicar_com.zip' to
'/usr/local/maldetect/quarantine/eicar_com.zip.2903722635'
Feb 03 15:56:36 machine1 maldet(8025): {mon} scanned 3 new/changed files with
clamav engine
Feb 03 15:58:36 machine1 maldet(8025): {mon} warning clamd service not running;
force-set monitor mode file scanning to every 120s
Feb 03 15:58:48 machine1 maldet(8025): {mon} scanned 3 new/changed files with
clamav engine
Feb 03 16:00:48 machine1 maldet(8025): {mon} warning clamd service not running;
force-set monitor mode file scanning to every 120s
Feb 03 16:00:59 machine1 maldet(8025): {mon} scanned 0 new/changed files with
clamav engine
17 | P a g e