centos8.4系统防木马和杀毒软件方案

Submitted by admin on Sat, 11/08/2025 - 04:27

1.maldet+clamAV
cd /usr/local/src
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar -xzf maldetect-current.tar.gz
cd maldetect-*
./install.sh

#更新规则库
maldet -u

 

🧩 一、Maldet + YARA —— 轻量可替代 ClamAV 的规则引擎

推荐程度:⭐⭐⭐⭐⭐(最佳替代)

  • 原理
    YARA 是一种模式匹配规则引擎,被称为“恶意软件的瑞士军刀”。
    Maldet 内部其实可以加载 YARA 规则来扩展检测能力(即使没有 ClamAV 也能增强识别)。
  • 安装

     

    dnf install yara -y

    如果 dnf 没有包,可以从 EPEL 源获取:

     

    dnf install epel-release -y dnf install yara -y

  • 配合使用方式
    1. 把自定义 YARA 规则放到:

      /usr/local/maldetect/sigs/custom.yara

    2. 编辑配置文件 conf.maldet:

      yara_scan=1 yara_rule_path="/usr/local/maldetect/sigs/custom.yara"

  • 优点
    • 不依赖 ClamAV 库
    • 运行速度快
    • 可扩展性强(可以用社区规则或自己写)
  • 应用场景:检测 PHP webshell、反弹 shell、混淆脚本等。

🧰 二、Maldet + LMD 自带签名(纯内置模式)

推荐程度:⭐⭐⭐⭐

  • 说明
    Maldet 本身的签名库(每日更新)已包含大量 WebShell、木马、恶意 PHP 和 JS 脚本特征。
    即使不配合 ClamAV ,也能完成基础防木马。
  • 启用每日自动更新

    vi /usr/local/maldetect/conf.maldet

    设置:

    autoupdate_signatures=1 autoupdate_version=1

  • 定时扫描结合

    echo "0 4 * * * /usr/local/sbin/maldet -a /var/www/html > /dev/null 2>&1" >> /etc/crontab

  • 优点
    • 纯净安装,不需额外依赖
    • 非常稳定
    • 对 Web 主机足够用

🧱 三、Maldet + rkhunter(Rootkit Hunter)

推荐程度:⭐⭐⭐

  • 原理
    rkhunter 专门检测 Rootkit 和 系统后门,能补齐 Maldet 对内核层攻击的盲区。
  • 安装

    dnf install rkhunter -y

  • 使用

    rkhunter --update rkhunter --check

  • 组合意义
    • Maldet 负责 Web 层 (PHP/CGI/网站文件)
    • rkhunter 负责 系统层 (内核、二进制篡改)

🧱 四、Maldet + chkrootkit

推荐程度:⭐⭐⭐

  • 类似 rkhunter,但更轻量。

     

    dnf install chkrootkit -y chkrootkit

  • 优点:运行快、脚本型实现简单;适合轻量 VPS。

🧩 五、Maldet + Lynis(系统安全审计)

推荐程度:⭐⭐⭐

  • 原理
    Lynis 做的是系统安全审计与基线检查,可以提示配置漏洞(SSH、权限、日志等)。
  • 安装

    dnf install lynis -y

  • 运行

    lynis audit system

  • 作用:不是检测木马,而是防止被植入木马(预防型)。

 

 

2.LMA+rkhunter方案