Maldet – aplikacja wspomagająca wyszukiwanie niebezpiecznych oraz podejrzanych plików/zagrożeń mogących pojawić się na naszym serwerze. Poniższy artykuł opisuje instalację programu oraz jego wstępną konfigurację umożliwiającą wykrywanie niebezpieczeństw.
1.Instalacja
Pierwszym krokiem będzie pobranie aktualnej wersji z oficjalnej strony aplikacji, ja polecam wykonanie tej komendy w ścieżce /usr/local/src, która zgodnie ze swoim przeznaczeniem powinna zawierać kody programów instalowanych lokalnie:
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
następnie przechodzimy do rozpakowania oraz instalacji programu
tar -xvf maldetect-current.tar.gz cd maldetect-1.6.2 ./install.sh
Instalacja powinna zakończyć się następującym komunikatem
Created symlink from /etc/systemd/system/multi-user.target.wants/maldet.service to /usr/lib/systemd/system/maldet.service. update-rc.d: error: initscript does not exist: /etc/init.d/maldet Linux Malware Detect v1.6 (C) 2002-2017, R-fx Networks <[email protected]> (C) 2017, Ryan MacDonald <[email protected]> This program may be freely redistributed under the terms of the GNU GPL installation completed to /usr/local/maldetect config file: /usr/local/maldetect/conf.maldet exec file: /usr/local/maldetect/maldet exec link: /usr/local/sbin/maldet exec link: /usr/local/sbin/lmd cron.daily: /etc/cron.daily/maldet maldet(24461): {sigup} performing signature update check... maldet(24461): {sigup} local signature set is version 2017070716978 maldet(24461): {sigup} new signature set (201708255569) available maldet(24461): {sigup} downloading https://cdn.rfxn.com/downloads/maldet-sigpack.tgz maldet(24461): {sigup} downloading https://cdn.rfxn.com/downloads/maldet-cleanv2.tgz maldet(24461): {sigup} verified md5sum of maldet-sigpack.tgz maldet(24461): {sigup} unpacked and installed maldet-sigpack.tgz maldet(24461): {sigup} verified md5sum of maldet-clean.tgz maldet(24461): {sigup} unpacked and installed maldet-clean.tgz maldet(24461): {sigup} signature set update completed maldet(24461): {sigup} 15218 signatures (12485 MD5 | 1954 HEX | 779 YARA | 0 USER)
2. Aktualizacja sygnatur
Instalacja została zakończona, aby program był skuteczny należy zaktualizować bazę sygnatur, wykonujemy to poleceniem:
maldet -u
3. Konfiguracja
Przed pierwszym skanowaniem można zmienić domyślne ustawienia i dostosować aplikację do swoich potrzeb, dla mnie najważniejszą rzeczą jest wyłączenie przenoszenia zainfekowanych plików do kwarantanny oraz ustawienie powiadomień mailowych. Powyższe opcje można ustawić w pliku konfiguracyjnym /usr/local/maldetect/conf.maldet .
email_alert="1" email_addr="[email protected]" email_ignore_clean=0 quarantine_hits="0"
4.Skanowanie plików
maldet -a /home
Po zakończeniu procesu otrzymamy podobny wynik do tego:
Linux Malware Detect v1.6.2 (C) 2002-2017, R-fx Networks <[email protected]> (C) 2017, Ryan MacDonald <[email protected]> This program may be freely redistributed under the terms of the GNU GPL v2 maldet(25296): {scan} signatures loaded: 15218 (12485 MD5 | 1954 HEX | 779 YARA | 0 USER) maldet(25296): {scan} building file list for /home/www, this might take awhile... maldet(25296): {scan} setting nice scheduler priorities for all operations: cpunice 19 , ionice 6 maldet(25296): {scan} file list completed in 0s, found 2123 files... maldet(25296): {scan} scan of /home/www (2123 files) in progress... maldet(25296): {scan} 2123/2123 files scanned: 0 hits 0 cleaned maldet(25296): {scan} scan completed on /home/www: files 2123, malware hits 0, cleaned hits 0, time 156s maldet(25296): {scan} scan report saved, to view run: maldet --report 171024-0058.25296
W momencie kiedy będziemy chcieli ponownie powrócić do danego raportu wystarczy wykonać polecenie z ostatniej linijki outputu otrzymanego po skanowaniu.
maldet --report 171024-0058.25296