Август 4th, 2014 
Evgeniy Kamenev 1. Загрузка,распаковка,установка
|
1 |
# cd /tmp |
|
1 |
# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz |
|
1 |
# tar xvfz maldetect-current.tar.gz |
|
1 |
# cd maldetect-* |
|
1 |
# ./install.sh |
|
1 2 3 4 5 6 7 |
……………………………………………… installation completed to /usr/local/maldetect config file: /usr/local/maldetect/conf.maldet exec file: /usr/local/maldetect/maldet exec link: /usr/local/sbin/maldet exec link: /usr/local/sbin/lmd cron.daily: /etc/cron.daily/maldet |
|
1 |
# rm -rf /tmp/maldetect* |
2. Настройкаконфигурационногофайла
|
1 |
# cat /usr/local/maldetect/conf.maldet | grep -v \# | grep -v ^$ |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 |
# Включить отправку сообщений email_alert=1 # Формирование темы сообщений email_subj="maldet alert from $(hostname)" # E-Mail, на который будет отправлено уведомление о найденных/подорительных файлах email_addr=your@email # Не отправлять отчет,если все подозрительные файлы были очищены/исправлены email_ignore_clean=0 # Помещать подозрительные файлы на карантин quar_hits=0 # попытаться очистить файл от зловредного кода(требует активации/включения опции quar_hits) quar_clean=1 #Блокировать вход для пользователя, в файлах которого обнаружилось malware(требует активации/включения опции quar_hits) quar_susp=0 # Минимальный универсальный идентификатор пользователя(uid) , с которого разрешается блокировать пользователя. quar_susp_minuid=500 # Максимальная глубина вложений,на которой будут проверяться файлы maxdepth=15 # Минимальный размер файла в байтах, включенный в сканирование minfilesize=32 # Максимальный размер файла, включенный в сканирование maxfilesize="768k" hexdepth=61440 hex_fifo_scan=1 hex_fifo_depth=524288 # Если установлен Clamav, использовать его бинарник clamscan как поисковый движок clamav_scan=1 # Разрешить запускать сканирование не от пользователя root public_scan=0 inotify_base_watches=15360 inotify_stime=30 inotify_minuid=500 inotify_webdir=public_html inotify_nice=10 |
3. Базовые команды для работы с утилитой maldet Принудительное обновление баз с сайта rfxn.com
|
1 |
# maldet --update(-u) |
Принудительно обновление версии скрипта с сайта rfxn.com
|
1 |
# maldet --update-ver(-d) |
Проверка всех папок и фалов в каталоге /home
|
1 |
# maldet --scan-all /home |
|
1 2 3 |
NOTE: quarantine is disabled! set quar_hits=1 in conf.maldet or to quarantine results run: maldet -q 073014-2238.12001 FILE HIT LIST: {MD5}gzbase64.inject.unclassed.533 : /tmp/maldetect-1.4.2/files/clean/gzbase64.inject.unclassed |
Поместить в карантин все подозрительные файлы при обнаружении их […]
Опубликовано в рубрике 
Метки: 