Home / Malware Detect – MALDET

Linux

dez
3
2011

Malware Detect – MALDET

A home page para LMD está localizada em:

Linux Malware Detect | R-fx Networks

A versão atual do LMD está sempre disponível na seguinte URL:

http://www.rfxn.com/downloads/maldetect-current.tar.gz
 http://www.rfxn.com/appdocs/README.maldetect
http://www.rfxn.com/appdocs/CHANGELOG.maldetect

O que é Linux Malware Detect (LMD)?

Linux Malware Detect (LMD) é um scanner de malware para Linux liberado sob a licença GNU GPLv2 (livre, open source), que é projetado em torno das ameaças enfrentadas em ambientes de hospedagem compartilhada. Ele usa dados de ameaças de borda da rede de sistemas de detecção de intrusão para extrair malware que está ativamente sendo usadas em ataques e gera assinaturas para detecção. Além disso, dados sobre ameaças também é derivado do submissões do usuário com o recurso de verificação LMD, ameaças encontradas na rede TCH de mais de 30.000 domínios hospedados e dos recursos da comunidade malware.

O resultado, é um scanner de malware com mais de 2.200 assinaturas e em crescimento, que detecta uma vasta selecção de malware a partir da infame Yellsoft DarkMailer CGI Mailer para o mais comum Shell Command R57 PHP para strings BASE64 injeção Encoded arquivo.

Instalação e configuração:

Não há nada de especial para instalar LMD, baixe o pacote e execute o script install.sh fechado:

 

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

tar xfz maldetect-current.tar.gz

cd maldetect-*

./install.sh  

Agora que LMD está instalado, tomar nota das localizações de arquivos e podemos ir em frente com a abertura do arquivo de configuração localizado em / usr / local / maldetect / conf.maldet para edição (vi ou nano-w). O arquivo de configuração é totalmente comentado para que você deve ser capaz de fazer mais opções, mas vamos dar um momento para rever o mais importante de qualquer maneira queridos.

email_alert Este é um nível superior alternar para o sistema de alerta de e-mail, este deve ser ativado se você deseja receber alertas.

email_addr Esta é uma lista vírgula espaçadas de endereços de email que deve receber alertas.

quar_hits Isto diz LMD que deve mover o conteúdo de malware para o caminho de quarentena e despojá-lo de todas as permissões. Arquivos são totalmente restaurados ao original caminho proprietário, ea permissão usando a opção de restauração FILE.

quar_clean Isto diz LMD que ele deve tentar limpar malware que tem regras mais limpo para, no momento e base64_decode gzinflate strings injeção de arquivo pode ser limpo. Arquivos que são limpos são automaticamente restaurado ao original caminho proprietário, e permissão.

quar_susp Usando esta opção permite LMD para suspender uma conta de usuário que o malware é encontrado residentes em. Em sistemas CPanel isso vai passar o usuário / scripts / suspendacct e adicionar um comentário com o comando relatório maldet o relatório que causou a suspensão de usuários (por exemplo: maldet-relatório SCANID). Sobre a não-cpanel sistemas, o shell de usuários será definida como / bin / false.

quar_susp_minuid Este é o ID de usuário mínimo que será avaliado para a suspensão, o padrão deve ser muito bem na maioria dos sistemas.

O resto das opções na conf.maldet pode ser deixada como padrão a menos que você compreender claramente o que eles fazem e como eles podem influenciar os resultados da verificação e desempenho.

Scans de uso e Manual O uso de LMD é muito simples e não há uma saída de ajuda detalhada que fornece exemplos de uso comum, eu recomendo fortemente que você verifique a ajuda de saída e passar alguns minutos a sua revisão.

A primeira coisa que a maioria dos usuários estão procurando fazer quando chegar LMD instalada é para digitalizar um determinado caminho ou uma série de caminhos. Uma observação importante é que LMD usa o ‘?’ caráter de wildcards em vez do ‘*’ char. Nos exemplos abaixo eu estarei usando as bandeiras forma longa, mas eles são intercambiáveis ​​com as bandeiras forma curta (ou seja:-scan recente vs-r).

Se quiséssemos verificar todos os caminhos do usuário sob public_html / home / * isso pode ser feito com:

maldet –scan-all /home?/?/public_html

Se você quiser digitalizar o mesmo caminho, mas que alcance ao conteúdo que foi criado / modificado nos últimos cinco dias você deve executar:

maldet –scan-recent /home?/?/public_html 5

Se você executou uma verificação, mas se esqueça de ativar a opção de quarentena, você poderia quarentena todos os resultados de uma varredura de malware anterior com:

maldet –quarantine SCANID

De forma semelhante ao acima, se você quisesse tentar uma limpa em todos os resultados de uma varredura de malware anteriores que não tinham o recurso ativado, você poderia fazê-lo com:

maldet –clean SCANID

Se você tivesse um arquivo que foi colocado em quarentena a partir de um falso positivo, ou que você simplesmente deseja restaurar (ou seja: você limpa-lo manualmente), você pode usar o seguinte:

maldet –restore config.php.2384 maldet –restore /usr/local/maldetect/quarantine/config.php.2384

Mais uma vez, encorajo-vos a rever completamente a ajuda de saída para obter detalhes sobre todas as opções eo arquivo README para obter mais detalhes sobre como funciona LMD.

Scans diária O cronjob instalado por LMD está localizado em /etc/cron.daily/maldet e é usado para executar uma atualização diária de assinaturas, manter a sessão, temp e dados de quarentena para não mais de 14dias e executar uma varredura diária do sistema de arquivos recentes alterações.

A verificação diária suporta Ensim virtuais raízes ou padrão Linux / home / * usuário caminhos, como Cpanel. O padrão é apenas digitalizar as raízes web diariamente, que se decompõe como /home*/*/public_html or on Ensim /home/virtual/*/fst/var/www/html and /home/virtual/*/fst/home/*/public_html.

Se você estiver executando o modo monitor, as varreduras diárias serão ignoradas e em vez disso um relatório diário será emitido para todos os eventos de monitoramento. Se você precisa fazer a varredura caminhos adicionais, você deve rever o cronjob e editá-lo em conformidade.

Localização relatório

Detectar o malware relatórios de verificação são armazenados em /usr/local/maldetect/sess com nomes de arquivo semelhante ao session.hits.082311-0402.8042

ou eles podem ser acessados ​​através do seguinte:

maldet -e, or –report SCANID

Ver scan relatório da verificação mais recente ou fornecidas SCANID por exemplo:maldet –report (shows last scan)

Monitoramento em tempo real O recurso de monitoramento inotify é projetado para monitorar os usuários em tempo real para a criação do arquivo / alterar / mover as operações.

Há três modos que o monitor pode ser executado com e eles se relacionam com o que será monitorado, eles são usuários | CAMINHOS | FILES.

e.g: maldet –monitor users e.g: maldet –monitor /root/monitor_paths e.g: maldet –monitor /home/mike,/home/ashton

As opções de negócios é a seguinte: USUÁRIOS – A opção de usuários terá a homedirs de todos os usuários do sistema que estão acima inotify_minuid e monitorá-los. Se inotify_webdir está definido, então webdir os usuários, se existir, só será monitorado. CAMINHOS – Uma lista vírgula espaçadas de caminhos para monitorar ARQUIVO – A lista de arquivos linha espaçadas de caminhos para monitorar

Quando você começar a maldet em modo monitor, ele vai preprocess os caminhos com base na opção especificada seguido por iniciar o processo de inotify. A partida do processo inotify pode ser uma tarefa demorada, pois precisa configurar um gancho monitor para cada arquivo sob as vias monitoradas. Embora o processo de inicialização pode afetar a carga temporariamente, uma vez que o processo já foi iniciado ele mantém todos os seus recursos dentro da memória do kernel e tem uma pegada muito pequena userspace na memória ou o uso da CPU.

O componente de scanner dos relógios de monitor para as notificações do processo de inotify e itens de lotes a serem verificados, por padrão, a cada 30 segundos. Se você precisar de um controle mais rígido do temporizador de digitalização, você pode editar inotify_stime em conf.maldet.

O alerta de hits arquivo em modo monitor é feita através de um relatório diário em vez de enviar um e-mail a cada hit. O trabalho cron.daily instalado por LMD vai chamar um de alerta ao dia da bandeira e enviar um alerta para os hits últimos dias. Há também um Alerta-semanal opção que pode ser usado, basta editar o cron em / etc / cron.daily / maldet e alterar o Alerta-diários para Alerta-semanal.

Que encerra o monitoramento inotify é feito passando para o ‘k |-kill-monitor’ opção de maldet, ele irá tocar em um identificador de arquivo monitorado por maldet e no próximo ciclo de vigília do serviço de monitor, que irá encerrar em si e todos os processos inotify .

Ignorar Arquivos: Há três ignorar os arquivos disponíveis e elas se quebram como se segue:

/usr/local/maldetect/ignore_paths

/usr/local/maldetect/ignore_sigs

/usr/local/maldetect/ignore_inotify

Um arquivo de linha de espaçamento para caminhos que devem ser excluídos do monitoramento inotify

NOTA: Estes exames são completa e pode levar dias, se sua casa dir é grande, você tem 8 milhões de arquivos ou 1200 domínios no servidor …. apenas dizendo. Esta ferramenta é mais adequado para contas específicas ou diretórios que pode ser comprometida. Então, se você executar esse e fazer um scan completo homedir pode levar até 8 dias, não me culpe, você foi avisado : D

Publicado em:

Ajuda/Tutoriais

Fones

0800-892-1046
(21)4063-5626