Selamat datang di panduan kami tentang cara menginstal dan mengkonfigurasi Maltrail di Ubuntu 18.04. Maltrail adalah sistem pendeteksi lalu lintas yang berbahaya. Ini menggunakan daftar hitam yang berisi jejak berbahaya atau mencurigakan yang tersedia di domain publik. Itu juga dapat memanfaatkan daftar kustom yang dibuat oleh user sendiri serta laporan dari berbagai solusi AntiVirus. Jejak yang dimaksud mencakup nama domain, alamat IP, URL, nilai header Agen Pengguna HTTP yang terkait dengan lalu lintas berbahaya. Selain menggunakan daftar di domain publik, Maltrail juga dapat menganalisis lalu lintas secara heuristik untuk mendeteksi ancaman yang tidak diketahui atau baru.
Maltrail terdiri dari tiga komponen; Yang Sensormemantau lalu lintas dari ancaman, Serveryang menyediakan pencatatan untuk detail peristiwa dari lalu lintas berbahaya yang terdeteksi, dan Clientyang menyediakan visualisasi dan pelaporan detail peristiwa. Dalam panduan ini, kita akan menyiapkan arsitektur penerapan mandiri di mana semua komponen berjalan di server yang sama.
Instal dan Konfigurasi Maltrail di Ubuntu 18.04
Instal Maltrail di Ubuntu 18.04, Anda perlu mengkloning repositori git ke sistem Anda. Namun, sebelum Anda dapat melanjutkan, tingkatkan paket sistem Anda dan instal dependensi Maltrail berikut.
Perbarui dan tingkatkan sistem Anda
apt update apt upgrade
Instal dependensi yang diperlukan
Maltrail membutuhkan paket python pcap. Oleh karena itu, untuk menginstal pcap dan dependensi lain yang diperlukan, jalankan perintah di bawah ini;
apt install python-setuptools python-pcapy
Kloning repositori Maltrail Github
Jalankan perintah di bawah ini untuk mengkloning repositori Maltrail Github ke server Anda
git clone https://github.com/stamparm/maltrail.git
Mulai Sensor Maltrail
Untuk menjalankan Sensor Maltrail, navigasikan ke direktori klon Maltrail dan jalankan perintah di bawah ini untuk menjalankan sensor Maltrail di latar belakang.
cd maltrail/ python sensor.py &
Saat dijalankan, skrip mengdownload dan memperbarui daftar Maltrail yang terkait dengan lalu lintas Berbahaya dan meluncurkan service Sensor Maltrail.
Maltrail (sensor) #v0.12.16 [i] using configuration file '/home/amos/maltrail/maltrail.conf' [i] using '/var/log/maltrail' for log storage [?] at least 384MB of free memory required [i] using '/root/.maltrail/trails.csv' for trail storage... [i] update finished [i] trails stored to '/root/.maltrail/trails.csv' [i] updating ipcat database... [?] in case of any problems with packet capture on virtual interface 'any', please put all monitoring interfaces to promiscuous mode manually (e.g. 'sudo ifconfig eth0 promisc') [i] opening interface 'any' [i] setting capture filter 'udp or icmp or (tcp and (tcp[tcpflags] == tcp-syn or port 80 or port 1080 or port 3128 or port 8000 or port 8080 or port 8118))' [?] please install 'schedtool' for better CPU scheduling (e.g. 'sudo apt-get install schedtool') [o] running...
Perhatikan bahwa Sensor menggunakan interface apa pun untuk pemantauan. Untuk mengatur ini ke interface tertentu, edit file konfigurasi maltrail.conf di /home/username/maltrail/maltrail.confbawah Sensorbagian.
# Interface used for monitoring (e.g. eth0, eth1) #MONITOR_INTERFACE any MONITOR_INTERFACE enp0s8
Mulai Server Maltrail
Untuk memulai server Maltrail, jalankan perintah di bawah ini di bawah direktori maltrail.
python server.py &
Maltrail (server) #v0.12.16 [i] using configuration file '/home/amos/maltrail/maltrail.conf' [i] starting HTTP server at 'http://0.0.0.0:8338/' [o] running...
Seperti yang Anda lihat, server sekarang mendengarkan semua interface di server pada port TCP 8338. Jika Anda perlu mengubahnya, hentikan server dan edit file konfigurasi $HOME/maltrail/maltrail.conf.
pkill -f server.py
Edit maltrail.confuntuk mengatur interface ke IP tertentu.
vim maltrail.conf
# [Server] # Listen address of (reporting) HTTP server #HTTP_ADDRESS 0.0.0.0 HTTP_ADDRESS 192.168.43.203
Jalankan server lagi.
python server.py &
... [i] using configuration file '/home/amos/maltrail/maltrail.conf' [i] starting HTTP server at 'http://192.168.43.203:8338/' [o] running...
Untuk masuk ke interface Pengguna Web, navigasikan ke alamat di atas, http://192.168.43.203:8338/. Anda akan diarahkan ke interface login Maltrail. Kredensial login default adalah: admin:changeme!.
Untuk mengubah password admin, Anda perlu membuat password sha256 dengan menjalankan perintah di bawah ini;
echo -n 'password' | sha256sum | cut -d " " -f 1
5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8
Di mana passwordstring password Anda. Selanjutnya, copy kode tersebut dan tempel di maltrail.conf, bagian server, sub-bagian PENGGUNA. Misalnya, jika Anda mengubah untuk user admin,
USERS admin:5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8:0: # password # admin:9ab3cd9d67bf49d01f6a2e33d0bd9bc804ddbe6ce1ff5d219c42624851db5dbc:0: # changeme! # local:9ab3cd9d67bf49d01f6a2e33d0bd9bc804ddbe6ce1ff5d219c42624851db5dbc:1000:192.168.0.0/16 # changeme!
Mulai ulang server Maltrail agar perubahan diterapkan.
Menguji Maltrail
Nah, untuk menguji cara kerja deteksi Maltrail, saya akan mencoba membuat koneksi ke domain yang terkait dengan malware seperti gambar di bawah ini;
ping hhgg3.com -c 10
PING pkcdn2.pk051.com (173.248.252.3) 56(84) bytes of data. 64 bytes from 173-248-252-003.static.imsbiz.com (173.248.252.3): icmp_seq=1 ttl=63 time=714 ms 64 bytes from 173-248-252-003.static.imsbiz.com (173.248.252.3): icmp_seq=2 ttl=63 time=531 ms 64 bytes from 173-248-252-003.static.imsbiz.com (173.248.252.3): icmp_seq=4 ttl=63 time=567 ms 64 bytes from 173-248-252-003.static.imsbiz.com (173.248.252.3): icmp_seq=5 ttl=63 time=589 ms 64 bytes from 173-248-252-003.static.imsbiz.com (173.248.252.3): icmp_seq=6 ttl=63 time=817 ms 64 bytes from 173-248-252-003.static.imsbiz.com (173.248.252.3): icmp_seq=7 ttl=63 time=636 ms 64 bytes from 173-248-252-003.static.imsbiz.com (173.248.252.3): icmp_seq=8 ttl=63 time=491 ms 64 bytes from 173-248-252-003.static.imsbiz.com (173.248.252.3): icmp_seq=9 ttl=63 time=503 ms 64 bytes from 173-248-252-003.static.imsbiz.com (173.248.252.3): icmp_seq=10 ttl=63 time=704 ms...
Selanjutnya, kembali ke browser dan periksa statistiknya.
Itu saja tentang cara menginstal dan mengkonfigurasi Maltrail di Ubuntu 18.04. Maltrail adalah alat yang luar biasa. Jangan ragu untuk menjelajahinya lebih jauh. Anda dapat memeriksa dokumentasi mereka dengan mengikuti tautan referensi di bawah ini
Referensi:
Maltrail: Sistem deteksi lalu lintas berbahaya
Anda juga dapat
memeriksa artikel kami sebelumnya dengan mengikuti tautan di bawah ini;
- Cara Menginstal dan Mengonfigurasi Pemindai Nessus di Ubuntu 18.04/CentOS 7
- Cara Memasang dan Menggunakan Pemindai Kerentanan WordPress WPScan Ubuntu 18.04
- Cara Menginstal dan Menggunakan Nikto Web Scanner di Ubuntu 18.04
- Cara Menginstal dan Menggunakan Antivirus ClamAV di Ubuntu 18.04
- Cara Melakukan Audit Keamanan Sistem dengan Lynis di Ubuntu 18.04
- Cara Menginstal RKHunter (RootKit Hunter) Di Ubuntu 18.04
- Cara Menginstal Sophos AntiVirus di Ubuntu 18.04