Установка Maldet для поиска вирусов на linux\Unix

Всем известно о спаме — что это огромная проблема на сегодняшний день. Для большинства людей, это просто раздражение и мучение. Maldet специально разработан для обнаружения вредоносных программ на вашем хостинге или на вашем компьютере. Он очень прост в использовании и в этой статье «Установка Maldet для поиска вирусов на linux\Unix», я покажу как его использовать.

Установка Maldet

Заходим в папку куда будем скачивать утилиту и качаем ее:

# cd /usr/local/src && wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Распакуем программу с исходным годом для компиляции:

# tar -xzvf maldetect-current.tar.gz

Переходим в нужную директорию для запуска скрипта ( установщика) и запускаем скрипт:

# cd maldetect-* && sh install.sh

После установки, нужно обновить базу сигнатур, по этому выполняем:

# maldet -u

Файл конфигурации находится в  /usr/local/maldetect/conf.maldet для Maldet. Другие важные файлы можно посмотреть:

# vim /usr/local/maldetect/maldet
# vim /usr/local/sbin/maldet
# vim /usr/local/sbin/lmd
# vim /etc/cron.daily/maldet

Maldet пропишет свои задания в cron и будет запускаться по расписанию, по этому, можно удалить файлы:

# rm -rf /etc/cron.d/maldet_pub
# rm -rf /etc/cron.daily/maldet

Я сделал это для того чтобы не нагружал он сервера.

Чтобы запустить сканирование, нужно выполнить:

# maldet -a /путь_сканирующей_папки_или_файла/

или

# maldet --scan-all /путь_сканирующей_папки_или_файла/

Допустим мне нужно просканировать домашнюю директорию на вредоносное ПО, то я выполню:

# maldet -a /home/captain/

Сканирование, начнется и будет проверять все файлы которые имеются в данной папке по своей БД, которая имеет ( база вирусов) по завершению сканирования можно будет посмотреть отчет. Для этого нужно знать scan ID.

# maldet -e SCAN_ID
# maldet --report SCAN_ID

По этому, можно увидеть, что у меня SCAN_ID= 092714-0457.8784 и чтобы посмотреть отчет, нужно выполнить:

# maldet --report 092714-0457.8784

Можно поместить в карантин следующим образом:

# maldet -q SCAN_ID
# maldet –quarantine SCAN_ID

Очистите все вредоносные программы с последнего сканирования:

# maldet -n SCAN_ID
# maldet --clean SCAN_ID

Восстановить файлы с помещенного карантина:

# maldet -s FILE_NAME
# maldet --restore FILE_NAME

Иногда это не удается восстановить с помощью только зная имя файла. Все файлы из карантина хранятся в /usr/local/maldetect/quarantine, то тогда нужно использовать:

# maldet --restore /usr/local/maldetect/quarantine/FILE_NAME

Опции для использования Maldet

1, -b, –background

Для выполнения операций в фоновом режиме, идеально подходит для больших сканов:

# maldet -b -r /home/cap/

2, -u, –update
Обновление вредоносных сигнатур для обнаружения от rfxn.com:

# maldet -u

3, -d, –update-ver
Обновить установленную версию от rfxn.com:

# maldet -d

4, -m, –monitor USERS|PATHS|FILE
Запустите maldet с файла уровня Inotify ядра создать / изменить мониторинг
Если USERS указывается, мониторинг, пользователь, домашняя директория  должна быть UID’s > 500
Если FILE указывается, пути будут извлечен из файла
Если PATHS указывается ,должны быть разделены, не шаблон!

# maldet –monitor users
# maldet –monitor /root/monitor_paths
# maldet –monitor /home/cap,/home/captain

5, -k, –kill
Завершить роботу Inotify сервиса, мониторинга:

# maldet -k

 6, -r, –scan-recent PATH DAYS
Проверяет файлы, созданные/измененные в нагрузке Х дней (по умолчанию: 7 дней, метасимвол- «?»):

# maldet -r /home/?/public_html 2

7, -a, –scan-all PATH
Проверять все файлы в пути (по умолчанию: /home, wildcard: ?)

# maldet -a /home/?/public_html

8, -c, –checkout FILE
Загрузить подозреваемое и вредоносное ПО  на rfxn.com для рассмотрения и хэширования в подписях

9, -l, –log
Посмотреть логи для maldet

10, -e, –report SCAN_ID email
Посмотреть отчет о сканировании, последней проверки или конкретного Scan_ID:

# maldet –report
# maldet –report list
# maldet –report 092714-0457.8784 
# maldet –report SCANID users@email.com

11, -s, –restore FILE|SCAN_ID
Восстановить файл из карантина в первоначальном пути или восстановить все детали от конкретного Scan_ID:

# maldet –restore /usr/local/maldetect/quarantine/config.php.26577
# maldet –restore 092714-0457.8784

12, -q, –quarantine SCAN_ID
Карантин всех вредоносных программы из отчета по Scan_ID:

# maldet –quarantine 092714-0457.8784

13, -n, –clean SCAN_ID
Попробуйте очистить и восстановить вредоносное ПО (хиты) из отчета из Scan_ID:

# maldet –clean 050910-1534.21135

14, -U, –user USER
Установите исполнение под конкретным пользователем, идеально подходит для восстановления из карантина для пользователя (просмотра отчетов пользователей):

# maldet –user nobody –report
# maldet –user nobody –restore 050910-1534.21135

15, -p, –purge
Очистить logs, очередь из карантина, сессионные и временные данные.

Как настроить уведомление о появлении вредоносного ПО по email?

Нужно внести некоторые изменения в файле:

# vim /usr/local/maldetect/conf.maldet

[...]
email_addr="your@email"
[...]

 

В нем параметры не сильно замудренные и можно его настроить под себя, но я ничего не правил, довольствуюсь стандартными настройками.

На этом и завершилась моя статья «Установка Maldet для поиска вирусов на linux\Unix» на сайте http://linux-notes.org