Maldet - Linux Malware Detect em servidores CentOS

O Linux Malware Detect (LMD) é um scanner de malware para Linux lançado sob a licença GNU GPLv2, que é projetado em torno das ameaças enfrentadas em ambientes hospedados compartilhados. Ele usa dados de ameaças de sistemas de detecção de intrusão de borda de rede para extrair malware que está sendo usado ativamente em ataques e gera assinaturas para detecção. Além disso, os dados de ameaças também são derivados de envios de usuários com o recurso de check-out da LMD e de recursos da comunidade de malware.

As assinaturas que o LMD usa são hashes de arquivos MD5 e correspondências padrão HEX, também são facilmente exportadas para qualquer ferramenta de detecção, como ClamAV.

Veja logo abaixo como realizar a instalação do Maldet em seu servidor dedicado ou VPS CentOS:

1 - Acesse seu servidor via SSH (e se mantenha logado como root).

2 - Execute os comandos abaixo:

# Mudança de diretório, Download, Descompactação, Instalação
cd /usr/local/src
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar -zxvf maldetect-current.tar.gz
cd maldetect-*
./install.sh

3 - Configurações básicas:

vi /usr/local/maldetect/conf.maldet

Você verá algo parecido com:

# [ EMAIL ALERTS ]
##
# The default email alert toggle
# [0 = disabled, 1 = enabled]
email_alert=1

# The subject line for email alerts
email_subj="maldet alert from $(hostname)"

# The destination addresses for email alerts
# [ values are comma (,) spaced ]
email_addr="youremail@yourdomain.com"

# Ignore e-mail alerts for reports in which all hits have been cleaned.
# This is ideal on very busy servers where cleaned hits can drown out
# other more actionable reports.
email_ignore_clean=0

##
# [ QUARANTINE OPTIONS ]
##
# The default quarantine action for malware hits
# [0 = alert only, 1 = move to quarantine & alert]
quar_hits=1

# Try to clean string based malware injections
# [NOTE: quar_hits=1 required]
# [0 = disabled, 1 = clean]
quar_clean=1

# The default suspend action for users wih hits
# Cpanel suspend or set shell /bin/false on non-Cpanel
# [NOTE: quar_hits=1 required]
# [0 = disabled, 1 = suspend account]
quar_susp=0
# minimum userid that can be suspended
quar_susp_minuid=500
...

Você poderá configurar os valores abaixo a fim de ajustar seu Maldet:

• email_alert : Marque 1 para receber alertas de detecções por email.
• email_subj :  Esse é o assunto do email a ser enviado.
• email_addr : Aqui vai o seu endereço de email (que receberá os alertas)
• quar_hits :     Insira o valor 1 para que os arquivos maliciosos sejam direcionados para a zona de quarentena.
• quar_clean : Quer que o Maldet tente fazer a limpeza do código por você? Insira o valor 1 neste campo.
• quar_susp :   Quer suspender a conta de hospedagem que hospedar códigos maliciosos? Insira o valor 1 neste campo.

4 - Maldet configurado, agora dê uma olhada na CRON que sejá executada todos os dias:

/etc/cron.daily/maldet

Comandos básicos

1 - Verificar um diretório, exemplo: /home/meuusuario/public_html

maldet -a /home/meuusuario/public_html

2 - Examinar um report utilizando o ID:

maldet --report number-xxxx.xxxxx

3 - Mover para a quarentena os arquivos que foram identificados no report ID.

maldet -q SCAN ID
maldet –quarantine SCANID

4 - Limpar os resultados dos scans realizados anteriormente:

maldet -n SCAN ID
maldet --clean SCAN ID

5 - Restaurar algum arquivo diretamente da quarentena:

maldet -s FILENAME
maldet --restore FILENAME

Configurações avançadas

IGNORE_PATHS: Edite o arquivo abaixo se quiser remover algum diretório do scan realizado pelo Maldet

/usr/local/maldetect/ignore_paths

IGNORE_SIGS: Deseja ignorar alguma assinatura? Insira ela no arquivo abaixo

/usr/local/maldetect/ignore_sigs

Importante: Não se esqueça de ativar o plugin CLAMAV em seu servidor cPanel para que todas as verificações sejam completamente funcionais.

Precisa de alguma ajuda?

Não se preocupe, abra um ticket e nossa equipe irá te auxiliar em qualquer procedimento.