Linux 惡意軟件檢測工具（LMD）是一個 GNU GPLv2 許可下發布的Linux惡意軟件掃描器，其設計理念是是針對在共享主機環境中所面臨的威脅。它使用來自網絡邊界的入侵檢測系統的威脅數據，提取當前被經常用于攻擊的惡意軟件，并針對檢測到的惡意軟件生成標識。此外，數據的威脅也來自于用戶通過LMD上傳功能提交的惡意軟件，以及從惡意軟件聯盟中獲取到的資源。LMD使用的簽名，是MD5散列和 HEX模式匹配，他們也能較為容易地輸出到其他的檢測工具如ClamAV。

LMD ＝ Linux Malware Detection

這款工具的出現背景是因為當前支持對Linux系統惡意程序檢測的開源或者免費工具，有著較高的誤報和漏報率。許多防病毒產品對于linux平臺上的惡意程序檢測卻有著一個較差的威脅檢測跟蹤記錄，特別是針對在共享的主機環境。

共享主機環境的威脅環境相比于其他環境是較為獨特的，標準的AV產品檢測組件，他們的檢測目標主要是OS級別的木馬，rootkit和傳統的感染文件病毒，但是卻忽略了越來越多的用戶帳戶級上的惡意軟件，而這些一般被攻擊者作為攻擊的平臺或者跳板。

從目前來看，支持多用戶共享環境的惡意軟件檢測、修復的商業產品依然表現糟糕。通過LMD 1.5檢測，可針對8883種惡意軟件的哈希值進行分析識別，而相比之下，近30款商業防病毒和惡意軟件的產品的表現，卻令人不太滿意。檢測結果如下，

DETECTED?KNOWN?MALWARE:?1951
%?AV?DETECT?(AVG):?58
%?AV?DETECT?(LOW):?10
%?AV?DETECT?(HIGH):?100
UNKNOWN?MALWARE:?6931

從上面的數據我們可以看到，有6931種（約占總數78%）的威脅，未被商業防病毒和惡意軟件產品發現。而檢測到的1951個威脅中，商業防病毒和惡意軟件產品的平均檢出率為58%，較低和較高的檢出率分別為10%和100%。從以上的數據看，目前的多用戶共享環境惡意程序威脅檢測應該是開發的重點。

功能特點

－文件MD5哈希值檢測，快速識別威脅
－用于識別威脅變量的HEX模式匹配
－擁有對模糊威脅進行檢測的統計分析組件（例如：Base64編碼）
－作為性能改進的掃描引擎，與ClamAV等工具進行聯合檢測
－通過-u|-update進行簽名更新
－通過-d|-update更新集成的版本功能?
－通過掃描最近的選項來掃描在一定時間內已添加/改變的文件
－全路徑掃描
－上傳可疑的惡意軟件到rfxn.com對其哈希值進行重查
－查看掃描結果的報表系統
－在安全的方式中存儲威脅的隔離隊列
－隔離批處理的選項，以隔離當前或過去的掃描結果
－隔離恢復選項，將文件還原到原路徑
－針對惡意代碼注入的字符串的清除規則
－清除批處理選項，可清除之前的掃描報告
－清除規則針對Base64和gzinflate
－每日定時對過去24小時用戶homedirs上進行掃描
－基于內核inotify實時對文件的創建/修改進行掃描
－基于內核inotify監控標準輸入或文件
－基于內核inotify監控系統用戶的操作特征
－基于內核inotify監控可配置的用戶的HTML?root

數據來源

LMD不僅僅是基于簽名和哈希值地對惡意軟件進行檢測，它也收集外部其他環境的威脅以及其他被檢測到的威脅，來提高它本身的檢測能力。

針對惡意軟件的數據，用于生成LMD簽名主要有四個來源：

1、來自網絡邊界的IPS:網絡管理作為日常工作的一部分，因為其主要是網站相關的，比如網站服務器經常會收到大量的濫用事件，而所有這一切都是通過網絡邊界的IPS進行記錄。IPS事件被進行處理，從其中提取到惡意URL，將編碼成playload和Base64 / GZIP的濫用數據進行解碼，最終對惡意軟件進行檢索，分類，然后生成適簽名。LMD的簽名，絕大多數是來自IPS提取的數據。

2、來自社區聯盟數據：數據的收集是從多個惡意社區網站如clean－mx和malwaredomainlist，然后對新的惡意軟件進行處理檢索，分類審查，然后生成簽名。

3、來自ClamAV：從ClamAV上的Hex和MD5簽名監測到相關更新，并適用于低的目標用戶群加入到 LMD中。而到目前為止，已經有大約400個簽名從ClamAV移植到LMD項目，而LMD項目也貢獻回ClamAV超過1100個簽名，目前也繼續在現有基礎上這么做。

4、來自用戶提交：LMD具有校驗功能，允許用戶提交可疑的惡意軟件進行審查，這已經成為一個非常受歡迎的功能，它平均每周可提交30-50個可疑惡意軟件。

威脅檢測

截止到目前為止，LMD 1.5共有10822個（8908 MD5 / 1914）簽名。其中檢測到的60大威脅如下，

base64.inject.unclassed?????perl.ircbot.xscan
bin.dccserv.irsexxy?????????perl.mailer.yellsoft
bin.fakeproc.Xnuxer?????????perl.shell.cbLorD
bin.ircbot.nbot?????????????perl.shell.cgitelnet
bin.ircbot.php3?????????????php.cmdshell.c100
bin.ircbot.unclassed????????php.cmdshell.c99
bin.pktflood.ABC123?????????php.cmdshell.cih
bin.pktflood.osf????????????php.cmdshell.egyspider
bin.trojan.linuxsmalli??????php.cmdshell.fx29
c.ircbot.tsunami????????????php.cmdshell.ItsmYarD
exp.linux.rstb??????????????php.cmdshell.Ketemu
exp.linux.unclassed?????????php.cmdshell.N3tshell
exp.setuid0.unclassed???????php.cmdshell.r57
gzbase64.inject?????????????php.cmdshell.unclassed
html.phishing.auc61?????????php.defash.buno
html.phishing.hsbc??????????php.exe.globals
perl.connback.DataCha0s?????php.include.remote
perl.connback.N2????????????php.ircbot.InsideTeam
perl.cpanel.cpwrap??????????php.ircbot.lolwut
perl.ircbot.atrixteam???????php.ircbot.sniper
perl.ircbot.bRuNo???????????php.ircbot.vj_denie
perl.ircbot.Clx?????????????php.mailer.10hack
perl.ircbot.devil???????????php.mailer.bombam
perl.ircbot.fx29????????????php.mailer.PostMan
perl.ircbot.magnum??????????php.phishing.AliKay
perl.ircbot.oldwolf?????????php.phishing.mrbrain
perl.ircbot.putr4XtReme?????php.phishing.ReZulT
perl.ircbot.rafflesia???????php.pktflood.oey
perl.ircbot.UberCracker?????php.shell.rc99
perl.ircbot.xdh?????????????php.shell.shellcomm

實時監控

Inotify監控功能的目的是監測路徑/用戶實時文件創建/修改/移動操作。此選項需要內核支持inotify_watch（config_inotify）。如果您運行的是CentOS 4，你應該考慮進行升級：

升級路徑：http://www.rfxn.com/upgrade-centos-4-8-to-5-3/

針對監控對象（用戶／路徑／文件）的不同，分為三種不同的監控模式，

e.g:?maldet?--monitor?users
e.g:?maldet?--monitor?/root/monitor_paths
e.g:?maldet?--monitor?/home/mike,/home/ashto

內容轉載自 FreeBuf.com