Установка и настройка Linux Malware Detect

Август 4th, 2014

Evgeniy Kamenev

1. Загрузка,распаковка,установка

# cd /tmp

# cd /tmp

# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

1	# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

# tar xvfz maldetect-current.tar.gz

1	# tar xvfz maldetect-current.tar.gz

# cd maldetect-*

1	# cd maldetect-*

# ./install.sh

1	# ./install.sh

………………………………………………
installation completed to /usr/local/maldetect
config file: /usr/local/maldetect/conf.maldet
exec file: /usr/local/maldetect/maldet
exec link: /usr/local/sbin/maldet
exec link: /usr/local/sbin/lmd
cron.daily: /etc/cron.daily/maldet

………………………………………………

installation completed to /usr/local/maldetect

config file: /usr/local/maldetect/conf.maldet

exec file: /usr/local/maldetect/maldet

exec link: /usr/local/sbin/maldet

exec link: /usr/local/sbin/lmd

cron.daily: /etc/cron.daily/maldet

# rm  -rf /tmp/maldetect*

1	# rm -rf /tmp/maldetect*

2. Настройкаконфигурационногофайла

# cat /usr/local/maldetect/conf.maldet | grep -v \# | grep -v ^$

1	# cat /usr/local/maldetect/conf.maldet \| grep -v \# \| grep -v ^$

# Включить отправку сообщений
email_alert=1
# Формирование темы сообщений
email_subj="maldet alert from $(hostname)"
# E-Mail, на который будет отправлено уведомление о найденных/подорительных файлах
email_addr=your@email
# Не отправлять отчет,если все подозрительные файлы были очищены/исправлены
email_ignore_clean=0
# Помещать подозрительные файлы на карантин
quar_hits=0
# попытаться очистить файл от зловредного кода(требует активации/включения опции quar_hits)
quar_clean=1
#Блокировать вход для пользователя, в файлах которого обнаружилось malware(требует активации/включения опции quar_hits)
quar_susp=0
# Минимальный универсальный идентификатор пользователя(uid) , с которого разрешается блокировать пользователя.
quar_susp_minuid=500
# Максимальная глубина вложений,на которой будут проверяться файлы
maxdepth=15
# Минимальный размер файла в байтах, включенный в сканирование
minfilesize=32
# Максимальный размер файла, включенный в сканирование
maxfilesize="768k"
hexdepth=61440
hex_fifo_scan=1
hex_fifo_depth=524288
# Если установлен Clamav, использовать его бинарник clamscan как поисковый движок
clamav_scan=1
# Разрешить запускать сканирование не от пользователя root
public_scan=0
inotify_base_watches=15360
inotify_stime=30
inotify_minuid=500
inotify_webdir=public_html
inotify_nice=10

# Включить отправку сообщений

email_alert=1

# Формирование темы сообщений

email_subj="maldet alert from $(hostname)"

# E-Mail, на который будет отправлено уведомление о найденных/подорительных файлах

email_addr=your@email

# Не отправлять отчет,если все подозрительные файлы были очищены/исправлены

email_ignore_clean=0

# Помещать подозрительные файлы на карантин

quar_hits=0

# попытаться очистить файл от зловредного кода(требует активации/включения опции quar_hits)

quar_clean=1

#Блокировать вход для пользователя, в файлах которого обнаружилось malware(требует активации/включения опции quar_hits)

quar_susp=0

# Минимальный универсальный идентификатор пользователя(uid) , с которого разрешается блокировать пользователя.

quar_susp_minuid=500

# Максимальная глубина вложений,на которой будут проверяться файлы

maxdepth=15

# Минимальный размер файла в байтах, включенный в сканирование

minfilesize=32

# Максимальный размер файла, включенный в сканирование

maxfilesize="768k"

hexdepth=61440

hex_fifo_scan=1

hex_fifo_depth=524288

# Если установлен Clamav, использовать его бинарник clamscan как поисковый движок

clamav_scan=1

# Разрешить запускать сканирование не от пользователя root

public_scan=0

inotify_base_watches=15360

inotify_stime=30

inotify_minuid=500

inotify_webdir=public_html

inotify_nice=10

3. Базовые команды для работы с утилитой maldet

Принудительное обновление баз с сайта rfxn.com

# maldet --update(-u)

1	# maldet --update(-u)

Принудительно обновление версии скрипта с сайта rfxn.com

# maldet --update-ver(-d)

1	# maldet --update-ver(-d)

Проверка всех папок и фалов в каталоге /home

# maldet --scan-all  /home

1	# maldet --scan-all /home

NOTE: quarantine is disabled! set quar_hits=1 in conf.maldet or to quarantine results run: maldet -q 073014-2238.12001
FILE HIT LIST:
{MD5}gzbase64.inject.unclassed.533 : /tmp/maldetect-1.4.2/files/clean/gzbase64.inject.unclassed

NOTE: quarantine is disabled! set quar_hits=1 in conf.maldet or to quarantine results run: maldet -q 073014-2238.12001

FILE HIT LIST:

{MD5}gzbase64.inject.unclassed.533 : /tmp/maldetect-1.4.2/files/clean/gzbase64.inject.unclassed

Поместить в карантин все подозрительные файлы при обнаружении их при конкретном SCANID

# maldet --quarantine 073014-2238.12001

1	# maldet --quarantine 073014-2238.12001

Проверяем

# ls -al /usr/local/maldetect/quarantine/

1	# ls -al /usr/local/maldetect/quarantine/

total 12
drwxr-x--- 2 root root 4096 Jul 30 22:52 .
drwxr-xr-x 9 root root 4096 Jul 30 22:32 ..
-rw-r--r-- 1 root root   73 Jul 30 22:52 gzbase64.inject.unclassed.1201.info

total 12

drwxr-x--- 2 root root 4096 Jul 30 22:52 .

drwxr-xr-x 9 root root 4096 Jul 30 22:32 ..

-rw-r--r-- 1 root root 73 Jul 30 22:52 gzbase64.inject.unclassed.1201.info

Восстановить файл с карантина в первоначальное местоположение файла

# maldet --restore(-s) /usr/local/maldetect/quarantine/gzbase64.inject.unclassed.1201

1	# maldet --restore(-s) /usr/local/maldetect/quarantine/gzbase64.inject.unclassed.1201

Восстановить все файлы с карантина в их в первоначальное местоположение для конкретного SCANID

# maldet --restore(-s) 073014-2238.12001

1	# maldet --restore(-s) 073014-2238.12001

Сканирование всех файлов измененных/добавленных за последние 2 дня в каталоге /home

# maldet --scan-recent(-r) /home/ 2

1	# maldet --scan-recent(-r) /home/ 2

Просмотр отчета с конкретным SCANID

# maldet --report(-e) 073014-2238.12001

1	# maldet --report(-e) 073014-2238.12001

Просмотр самого свежего/последнего отчета

# maldet --report(-e)

1	# maldet --report(-e)

Отправка неизвестной уязвимости на сайт rfxn.com

# maldet --checkout(--n) /home/user1/file1.php

1	# maldet --checkout(--n) /home/user1/file1.php

Попытка очистить и восстановить файл/файлы, в которых было найдено malware при конкретном SCANID

# maldet --clean(--n)073014-2238.12001

1	# maldet --clean(--n)073014-2238.12001

При установке Linux Malware Detect в cron-задание автоматически добавляется файл /etc/cron.daily/maldet.Его можно изменить под cвои нужды.Я предпочитаю удалить его и добавить свое задание

Для ежедневного обнвления баз,версии программы и сканирования конкретных директорий,создаем cron-задание

# crontab -e

1	# crontab -e

05 2 * * * /usr/local/maldetect/maldet -d -u ; nice -n 19 ionice -c2 -n7 /usr/local/maldetect/maldet --scan-all /home/

1	05 2 * * * /usr/local/maldetect/maldet -d -u ; nice -n 19 ionice -c2 -n7 /usr/local/maldetect/maldet --scan-all /home/

Источники:

1. Файл README в архиве maldetect

2. http://www.servernoobs.com/how-to-install-and-configure-maldet-linux-malware-detect-lmd/

3. http://habrahabr.ru/post/194346/

4. http://www.tecmint.com/install-linux-malware-detect-lmd-in-rhel-centos-and-fedora/

Опубликовано в рубрике Centos, Security, Security

Метки: Linux Malware Detect, security

Комментирование и размещение ссылок запрещено.

Комментарии закрыты.

Установка и настройка Linux Malware Detect

Страницы

Свежие записи

Архивы

Рубрики

Админ-панель