Linux: scan malware กับ Monarx Agen

phunsanit

4 ปี ago

Monarx Agen เป็น malware scanner ที่นิยมแถมมากับ Linux VPS หลายเจ้าอย่าง hostinger ก็ถึงกับทำหน้าติดตั้งไว้ให้เลย พร้อมกับเขียน config ไว้ให้ด้วยซำ้ แต่เราจะเริ่มด้วยการติดตั้งปกติ เหมือนลงใน Linux ทั่วไปเลย

เตรียมความพร้อม ( Preparation )
ก่อนเริ่ม คุณต้องมี Credentials ( โดยปกติคือ client_id และ client_secret ) ซึ่งหาได้จาก VPS หรือหน้า Dashboard ของ app.monarx.com
สร้างไฟล์ Configuration
นำ Credentials ที่ได้มาสร้างไฟล์ตั้งค่าไว้ที่ /etc/monarx-agent.conf โดยใช้คำสั่ง
sudo nano /etc/monarx-agent.conf
- โดยเนื้อหาพื้นฐานคือ
  client_id = “{ YOUR_CLIENT_ID }“
  client_secret = “{ YOUR_CLIENT_SECRET }“
- ถ้าใช้ VPS อย่าง hostinger จะมีหน้า “เครื่องสแกนมัลแวร์” ประมาณ
  https://hpanel.hostinger.com/vps/{ VPS ID }/malware-scanner
  โดยข้างล่างจะมีข้อความประมาณ
```
client_id = { xxx }
client_secret = { xxx }
exclude_dirs = /virtfs
exclude_dirs = /(clam_I\.)?quarantine>
user_base = /
exclude_users = ^virtfs$
tags = upsell
host_id = { xxx }
```
คัดลอก config หรือเขียน config
กด Ctrl+O เพื่อ Save และ Ctrl+X เพื่อออก
เพิ่ม Repository และติดตั้ง
เป็นอีกส่วนที่ VPS หลายเจ้าจะทำปุ่มติดตั้งไว้ให้ แต่จะทำเองก็ไม่ยาก
1. เพิ่ม Monarx GPG key
  wget -qO - https://repo.monarx.com/repo.gpg | sudo gpg --dearmor -o /usr/share/keyrings/monarx.gpg
2. เพิ่ม Repository
  echo "deb [signed-by=/usr/share/keyrings/monarx.gpg] https://repo.monarx.com/apt/ /" | sudo tee /etc/apt/sources.list.d/monarx.list
3. อัปเดตและติดตั้ง
  sudo apt update sudo apt install monarx-protect-autodetect

ตรวจสอบสถานะการทำงาน

หลังจากติดตั้งเสร็จสิ้น ตัว Agent ควรจะเริ่มทำงานทันที คุณสามารถเช็คสถานะได้ด้วยคำสั่ง
systemctl status monarx-agent

ถ้าใช้ VPS อย่าง hostinger จะมีหน้า “เครื่องสแกนมัลแวร์” ประมาณ
https://hpanel.hostinger.com/vps/{ VPS ID }/malware-scanner
หน้านี้จะโดนเปลี่ยนเป็น dashboard แสดง ไฟล์ที่สแกน, ไฟล์ที่ถูกบุกรุก, ไฟล์ที่เป็นอันตราย, ไฟล์กักกัน ( Quarantine ), ไฟล์ที่ทำความสะอาดแล้ว, วันที่พบ

ข้อควรระวัง

เนื่องจากการติดตั้งเอเจนท์ใหม่บางครั้งอาจมีการเข้าไปยุ่งเกี่ยวกับส่วนขยายของ Web Server ( เช่น PHP Modules ) หากคุณมีการปรับแต่ง Nginx ไว้ก่อนหน้านี้ อย่าลืมสำรองข้อมูล ( Backup ) หรือทำ Snapshot เพื่อป้องกันความผิดพลาดที่อาจเกิดขึ้นกับ Config เดิมครับ
ไฟล์ถูกกักกัน ( Quarantine )
บางครั้งถ้าสคริปต์สแกนเจอคอนฟิกที่มีการตั้งค่าแปลกๆ ( เช่น การทำ Reverse Proxy หรือเปิดสิทธิ์บางอย่าง ) มันอาจจะมองว่าเป็นความเสี่ยงและกักไฟล์นั้นไว้ ถ้าวันไหนเว็บล่มกะทันหันหลังการสแกน ให้ลองเช็คดูว่าไฟล์ใน /etc/nginx/sites-enabled/ ยังอยู่ครบไหมครับ
การกินทรัพยากร ( Resource Usage )
ตัว Malware Scanner มักจะใช้ CPU และ Disk I/O ค่อนข้างสูงตอนกำลังสแกน ถ้าช่วงนั้นเข้าเว็บอืดหรือ Webmin ช้า ไม่ต้องตกใจครับ เป็นเรื่องปกติ

อ่านเพิ่มเติม