Maldet – aplikacja wspomagająca wyszukiwanie niebezpiecznych oraz podejrzanych plików/zagrożeń mogących pojawić się na naszym serwerze. Poniższy artykuł opisuje instalację programu oraz jego wstępną konfigurację umożliwiającą wykrywanie niebezpieczeństw.

1.Instalacja

Pierwszym krokiem będzie pobranie aktualnej wersji z oficjalnej strony aplikacji, ja polecam wykonanie tej komendy w ścieżce /usr/local/src, która zgodnie ze swoim przeznaczeniem powinna zawierać kody programów instalowanych lokalnie:

 wget http://www.rfxn.com/downloads/maldetect-current.tar.gz 

następnie przechodzimy do rozpakowania oraz instalacji programu

tar -xvf maldetect-current.tar.gz
cd maldetect-1.6.2
./install.sh

Instalacja powinna zakończyć się następującym komunikatem

Created symlink from /etc/systemd/system/multi-user.target.wants/maldet.service to /usr/lib/systemd/system/maldet.service.
update-rc.d: error: initscript does not exist: /etc/init.d/maldet
Linux Malware Detect v1.6
 (C) 2002-2017, R-fx Networks <proj@r-fx.org>
 (C) 2017, Ryan MacDonald <ryan@r-fx.org>
This program may be freely redistributed under the terms of the GNU GPL

installation completed to /usr/local/maldetect
config file: /usr/local/maldetect/conf.maldet
exec file: /usr/local/maldetect/maldet
exec link: /usr/local/sbin/maldet
exec link: /usr/local/sbin/lmd
cron.daily: /etc/cron.daily/maldet
maldet(24461): {sigup} performing signature update check...
maldet(24461): {sigup} local signature set is version 2017070716978
maldet(24461): {sigup} new signature set (201708255569) available
maldet(24461): {sigup} downloading https://cdn.rfxn.com/downloads/maldet-sigpack.tgz
maldet(24461): {sigup} downloading https://cdn.rfxn.com/downloads/maldet-cleanv2.tgz
maldet(24461): {sigup} verified md5sum of maldet-sigpack.tgz
maldet(24461): {sigup} unpacked and installed maldet-sigpack.tgz
maldet(24461): {sigup} verified md5sum of maldet-clean.tgz
maldet(24461): {sigup} unpacked and installed maldet-clean.tgz
maldet(24461): {sigup} signature set update completed
maldet(24461): {sigup} 15218 signatures (12485 MD5 | 1954 HEX | 779 YARA | 0 USER)

2. Aktualizacja sygnatur

Instalacja została zakończona, aby program był skuteczny należy zaktualizować bazę sygnatur, wykonujemy to poleceniem:

 maldet -u 

3. Konfiguracja

Przed pierwszym skanowaniem można zmienić domyślne ustawienia i dostosować aplikację do swoich potrzeb, dla mnie najważniejszą rzeczą jest wyłączenie przenoszenia zainfekowanych plików do kwarantanny oraz ustawienie powiadomień mailowych. Powyższe opcje można ustawić w pliku konfiguracyjnym /usr/local/maldetect/conf.maldet .

email_alert="1"
email_addr="you@domain.com"
email_ignore_clean=0
quarantine_hits="0" 

4.Skanowanie plików

 maldet -a /home 

Po zakończeniu procesu otrzymamy podobny wynik do tego:

Linux Malware Detect v1.6.2
(C) 2002-2017, R-fx Networks <proj@rfxn.com>
(C) 2017, Ryan MacDonald <ryan@rfxn.com>
This program may be freely redistributed under the terms of the GNU GPL v2

maldet(25296): {scan} signatures loaded: 15218 (12485 MD5 | 1954 HEX | 779 YARA | 0 USER)
maldet(25296): {scan} building file list for /home/www, this might take awhile...
maldet(25296): {scan} setting nice scheduler priorities for all operations: cpunice 19 , ionice 6
maldet(25296): {scan} file list completed in 0s, found 2123 files...
maldet(25296): {scan} scan of /home/www (2123 files) in progress...
maldet(25296): {scan} 2123/2123 files scanned: 0 hits 0 cleaned

maldet(25296): {scan} scan completed on /home/www: files 2123, malware hits 0, cleaned hits 0, time 156s
maldet(25296): {scan} scan report saved, to view run: maldet --report 171024-0058.25296

W momencie kiedy będziemy chcieli ponownie powrócić do danego raportu wystarczy wykonać polecenie z ostatniej linijki outputu otrzymanego po skanowaniu.

 maldet --report 171024-0058.25296