1. Загрузка,распаковка,установка
1 |
# cd /tmp |
1 |
# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz |
1 |
# tar xvfz maldetect-current.tar.gz |
1 |
# cd maldetect-* |
1 |
# ./install.sh |
1 2 3 4 5 6 7 |
……………………………………………… installation completed to /usr/local/maldetect config file: /usr/local/maldetect/conf.maldet exec file: /usr/local/maldetect/maldet exec link: /usr/local/sbin/maldet exec link: /usr/local/sbin/lmd cron.daily: /etc/cron.daily/maldet |
1 |
# rm -rf /tmp/maldetect* |
2. Настройкаконфигурационногофайла
1 |
# cat /usr/local/maldetect/conf.maldet | grep -v \# | grep -v ^$ |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 |
# Включить отправку сообщений email_alert=1 # Формирование темы сообщений email_subj="maldet alert from $(hostname)" # E-Mail, на который будет отправлено уведомление о найденных/подорительных файлах email_addr=your@email # Не отправлять отчет,если все подозрительные файлы были очищены/исправлены email_ignore_clean=0 # Помещать подозрительные файлы на карантин quar_hits=0 # попытаться очистить файл от зловредного кода(требует активации/включения опции quar_hits) quar_clean=1 #Блокировать вход для пользователя, в файлах которого обнаружилось malware(требует активации/включения опции quar_hits) quar_susp=0 # Минимальный универсальный идентификатор пользователя(uid) , с которого разрешается блокировать пользователя. quar_susp_minuid=500 # Максимальная глубина вложений,на которой будут проверяться файлы maxdepth=15 # Минимальный размер файла в байтах, включенный в сканирование minfilesize=32 # Максимальный размер файла, включенный в сканирование maxfilesize="768k" hexdepth=61440 hex_fifo_scan=1 hex_fifo_depth=524288 # Если установлен Clamav, использовать его бинарник clamscan как поисковый движок clamav_scan=1 # Разрешить запускать сканирование не от пользователя root public_scan=0 inotify_base_watches=15360 inotify_stime=30 inotify_minuid=500 inotify_webdir=public_html inotify_nice=10 |
3. Базовые команды для работы с утилитой maldet
Принудительное обновление баз с сайта rfxn.com
1 |
# maldet --update(-u) |
Принудительно обновление версии скрипта с сайта rfxn.com
1 |
# maldet --update-ver(-d) |
Проверка всех папок и фалов в каталоге /home
1 |
# maldet --scan-all /home |
1 2 3 |
NOTE: quarantine is disabled! set quar_hits=1 in conf.maldet or to quarantine results run: maldet -q 073014-2238.12001 FILE HIT LIST: {MD5}gzbase64.inject.unclassed.533 : /tmp/maldetect-1.4.2/files/clean/gzbase64.inject.unclassed |
Поместить в карантин все подозрительные файлы при обнаружении их при конкретном SCANID
1 |
# maldet --quarantine 073014-2238.12001 |
Проверяем
1 |
# ls -al /usr/local/maldetect/quarantine/ |
1 2 3 4 |
total 12 drwxr-x--- 2 root root 4096 Jul 30 22:52 . drwxr-xr-x 9 root root 4096 Jul 30 22:32 .. -rw-r--r-- 1 root root 73 Jul 30 22:52 gzbase64.inject.unclassed.1201.info |
Восстановить файл с карантина в первоначальное местоположение файла
1 |
# maldet --restore(-s) /usr/local/maldetect/quarantine/gzbase64.inject.unclassed.1201 |
Восстановить все файлы с карантина в их в первоначальное местоположение для конкретного SCANID
1 |
# maldet --restore(-s) 073014-2238.12001 |
Сканирование всех файлов измененных/добавленных за последние 2 дня в каталоге /home
1 |
# maldet --scan-recent(-r) /home/ 2 |
Просмотр отчета с конкретным SCANID
1 |
# maldet --report(-e) 073014-2238.12001 |
Просмотр самого свежего/последнего отчета
1 |
# maldet --report(-e) |
Отправка неизвестной уязвимости на сайт rfxn.com
1 |
# maldet --checkout(--n) /home/user1/file1.php |
Попытка очистить и восстановить файл/файлы, в которых было найдено malware при конкретном SCANID
1 |
# maldet --clean(--n)073014-2238.12001 |
При установке Linux Malware Detect в cron-задание автоматически добавляется файл /etc/cron.daily/maldet.Его можно изменить под cвои нужды.Я предпочитаю удалить его и добавить свое задание
Для ежедневного обнвления баз,версии программы и сканирования конкретных директорий,создаем cron-задание
1 |
# crontab -e |
1 |
05 2 * * * /usr/local/maldetect/maldet -d -u ; nice -n 19 ionice -c2 -n7 /usr/local/maldetect/maldet --scan-all /home/ |
Источники:
1. Файл README в архиве maldetect
2. http://www.servernoobs.com/how-to-install-and-configure-maldet-linux-malware-detect-lmd/
3. http://habrahabr.ru/post/194346/
4. http://www.tecmint.com/install-linux-malware-detect-lmd-in-rhel-centos-and-fedora/