O Linux Malware Detect (LMD) é um scanner de malware para Linux lançado sob a licença GNU GPLv2, que é projetado em torno das ameaças enfrentadas em ambientes hospedados compartilhados. Ele usa dados de ameaças de sistemas de detecção de intrusão de borda de rede para extrair malware que está sendo usado ativamente em ataques e gera assinaturas para detecção. Além disso, os dados de ameaças também são derivados de envios de usuários com o recurso de check-out da LMD e de recursos da comunidade de malware.
As assinaturas que o LMD usa são hashes de arquivos MD5 e correspondências padrão HEX, também são facilmente exportadas para qualquer ferramenta de detecção, como ClamAV.
Veja logo abaixo como realizar a instalação do Maldet em seu servidor dedicado ou VPS CentOS:
1 - Acesse seu servidor via SSH (e se mantenha logado como root).
2 - Execute os comandos abaixo:
# Mudança de diretório, Download, Descompactação, Instalação cd /usr/local/src wget http://www.rfxn.com/downloads/maldetect-current.tar.gz tar -zxvf maldetect-current.tar.gz cd maldetect-* ./install.sh
3 - Configurações básicas:
vi /usr/local/maldetect/conf.maldet
Você verá algo parecido com:
# [ EMAIL ALERTS ] ## # The default email alert toggle # [0 = disabled, 1 = enabled] email_alert=1 # The subject line for email alerts email_subj="maldet alert from $(hostname)" # The destination addresses for email alerts # [ values are comma (,) spaced ] email_addr="[email protected]" # Ignore e-mail alerts for reports in which all hits have been cleaned. # This is ideal on very busy servers where cleaned hits can drown out # other more actionable reports. email_ignore_clean=0 ## # [ QUARANTINE OPTIONS ] ## # The default quarantine action for malware hits # [0 = alert only, 1 = move to quarantine & alert] quar_hits=1 # Try to clean string based malware injections # [NOTE: quar_hits=1 required] # [0 = disabled, 1 = clean] quar_clean=1 # The default suspend action for users wih hits # Cpanel suspend or set shell /bin/false on non-Cpanel # [NOTE: quar_hits=1 required] # [0 = disabled, 1 = suspend account] quar_susp=0 # minimum userid that can be suspended quar_susp_minuid=500 ...
Você poderá configurar os valores abaixo a fim de ajustar seu Maldet:
4 - Maldet configurado, agora dê uma olhada na CRON que sejá executada todos os dias:
/etc/cron.daily/maldet
1 - Verificar um diretório, exemplo: /home/meuusuario/public_html
maldet -a /home/meuusuario/public_html
2 - Examinar um report utilizando o ID:
maldet --report number-xxxx.xxxxx
3 - Mover para a quarentena os arquivos que foram identificados no report ID.
maldet -q SCAN ID maldet –quarantine SCANID
4 - Limpar os resultados dos scans realizados anteriormente:
maldet -n SCAN ID maldet --clean SCAN ID
5 - Restaurar algum arquivo diretamente da quarentena:
maldet -s FILENAME maldet --restore FILENAME
IGNORE_PATHS: Edite o arquivo abaixo se quiser remover algum diretório do scan realizado pelo Maldet
/usr/local/maldetect/ignore_paths
IGNORE_SIGS: Deseja ignorar alguma assinatura? Insira ela no arquivo abaixo
/usr/local/maldetect/ignore_sigs
Importante: Não se esqueça de ativar o plugin CLAMAV em seu servidor cPanel para que todas as verificações sejam completamente funcionais.
Precisa de alguma ajuda?
Não se preocupe, abra um ticket e nossa equipe irá te auxiliar em qualquer procedimento.
