Linux Malware Detect

[Ciko]

Linux Malware Detect (Maldet) - це сканер, за допомогою якого можна перевірити сервер на наявність підозрілих та шкідливих скриптів (шелли, скрипти для спаму тощо) у системі в принципі або, наприклад, у файлах сайту зокрема.

У програму закладено великий функціонал:

Знаходити підозрілі файли;
Знаходити та відправляти на карантин проблемні скрипти;
Знаходити та по можливості лікувати виявлене;
Сканувати лише ті файли, які з'явилися та були змінені за певний проміжок часу;
В інтерактивному режимі здійснювати моніторинг у певній директорії;
Працювати з винятками, додаючи до них як конкретні сигнатури, і шляхи/конкретні файли на сервері;
Надсилати підозрілі файли на аналіз, на сервери Maldet'а;
Автоматично та вручну оновлювати власні сигнатури та версію самого сканера;
Встановлення

Налаштування для CentOS та Debian однакові:

cd /root  

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz 

Спойлер

tar -zxvf maldetect-current.tar.gz

 

cd maldetect-*/

 

bash install.sh  

Установчий скрипт кладе виконуваний файл /usr/local/maldetect/maldet і робить на нього символічне посилання /usr/local/sbin/maldet. Скрипт також створює файл /usr/lib/libinotifytools.so.0. Створюється щоденне cron-завдання у /etc/cron.daily/maldet

Використання

Сканувати лише файли, змінені за останні 5 днів:

maldet -r / 5  

Після завершення сканування буде виведено загальну кількість просканованих файлів, кількість інфікованих та кількість вилікуваних файлів.

Спойлер

Також буде виведено номер звіту, який можна переглянути командою, наприклад:

maldet --report 220718-1809.1790255

Спойлер

Оновити бази сигнатур:

maldet -u  

Перемістити знайдені заражені файли в карантин (до каталогу /usr/local/maldetect/quarantine):

maldet -q 220718-1809.1890277

Витягнути файли з карантину:

maldet -s 220718-1809.1890277

Пробувати очистити заражені файли від шкідливих вставок коду:

maldet -n 220718-1809.1890277

Додати шкідливий код до бази сигнатур maldet:

maldet -c badfile.php

Конфігураційний файл maldet знаходиться у /usr/local/maldetect/conf.maldet:

# [ General Options ]
email_alert="1" Включаем уведомления от maldet’а на почту. Ведь мы сознательные администраторы и следим за происходящим на сервере.  
email_addr="mail@sysadmin.pm" Указываем ящик, на который хотим получать уведомления.  
email_ignore_clean="0" Получение уведомлений об очищенных файлах. Ставим здесь 0, если далее мы включим автоматическое «лечение» найденных проблемных скриптов. На этом вопросе остановимся отдельно.

 

# [ SCAN OPTIONS ]
scan_max_depth="15"  Определяем максимальную глубину сканирования.  
scan_min_filesize="24"  Задаём минимальный размер файла.  
scan_max_filesize="2048k" Задаём максимальный размер файла, на который будет образать внимание сканер.  
scan_clamscan="1" Будет ли сканер использовать установленный на сервере ClamAV.  
scan_tmpdir_paths="/tmp /var/tmp /dev/shm /var/fcgi_ipc" Директории для временных файлов, которые maldet будет проверять.  
scan_user_access="0" Разрешить ли не root пользователям запускать сканирование.  
scan_ignore_user="" Пользователи через запятую или пробел, которые будут игнорироваться при сканировании.  
scan_ignore_group="" Группы через запятую или пробел, которые будут игнорироваться при сканировании. 

 

# [ QUARANTINE OPTIONS ]
quarantine_hits="1" Сразу же отправляем в карантин найденные подозрительные файлы.  
quarantine_clean="0" Попытаться «вылечить» обнаруженное. Стоит ли включать эту опцию, каждый администратор решает сам. Автор предпочитает держать её отключенной, при включенном автоматическом карантине и уведомлениях об этом. 

Щоденна перевірка нових файлів на сервері

При установці maldet створює для планувальника файл /etc/cron.daily/maldet, якщо щоденні перевірки нових файлів на сервері не потрібні, то файл досить просто видалити, або перемістити його кудись звідти. У самому файлі вже враховані всі шляхи, які створюються при роботі з сучасними панелями управління сервером, зазвичай модифікація цього файлу не потрібна, тільки якщо адміністратору знадобиться додати якийсь не стандартний шлях для щоденної перевірки.

Запускаючись щодня, maldet перевірятиме нові файли на сервері, знайдене буде оброблятися відповідно до налаштувань у конфігураційному файлі.