Como instalar o Linux Malware Detect com ClamAV

Como instalar o Linux Malware Detect com ClamAV

Linux Malware Detect com ClamAV

O Linux Malware Detect (LMD) é um scanner de malware para Linux, desenvolvido a volta das ameaças enfrentadas em ambientes linux utilizados para hospedagem de sites compartilhada.
O Scanner do LMD percorre, os arquivos e diretórios em busca de aplicações, scripts e praticamente todo tipo de arquivo a procura de shells maliciosas, worms, virus e outros malwares. O LMD permite que estes arquivos sejam inseridos em quarentena, excluídos ou gere apenas uma notificação ao administrador do servidor linux. Podemos executar o scanner do LMD como monitoramento ativo, programado através da cron ou manualmente.

As assinaturas que o LMD utiliza, hashes de arquivo MD5 e correspondências de padrão HEX, são facilmente exportados ou mesmo incorporadas ao ClamAV e suas assinaturas.

Vamos abordar a instalação do Linux Malware Detect integrado ao ClamAV, comandos para o monitoramento , scan manual e outras opções…

Nota: Para instalação e configuração do ClamAV com assinaturas adicionais, sugiro o post : Como instalar assinaturas AntiVirus e Malware adicionais para o Clamav no CentOS e CloudLinux

Instale o inotify-tools. Este pacote é necessário para habilitarmos o monitoramento do LMD em tempo real

yum install -y inotify-tools

Instalando o Linux Malware Detect

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz  
tar xvf maldetect-current.tar.gz
cd maldetect-1*
./install.sh  

Edite o arquivo de configuração do LMD:

nano /usr/local/maldetect/conf.maldet

Localize e altere se necessário as seguintes opções:

email_alert="1"
email_addr="[email protected]"
autoupdate_signatures="1"
autoupdate_version="1"
scan_clamscan="1"

salve o arquivo e saia do nano ( ctrl +x , y)

As definições de vírus para Maldet(Linux Malware Detect) são atualizadas diariamente e integrada as assinaturas anti vírus, malware, conforme abordamos em outro post . Como instalar assinaturas AntiVirus e Malware adicionais para o Clamav no CentOS e CloudLinux . Se desejar atualizar manualmente utilize o comando abaixo:

maldet -d

Durante a instalação do Linux Malware Detect foi criado um job na cron /etc/cron.daily/maldet que será executado diariamente . Este job é responsável por executar atualizações , executar verificação diária nos arquivos do sistema com alterações recentes, apagar os dados de sessão , temporários e arquivos em quarentena com mais de 14 dias

Exemplos de utilização dos comandos:

Para verificar uma pasta, por exemplo / home, você deve inserir:

maldet -a /home

Para verificar uma pasta com um caractere curinga, por exemplo, todas as pastas em / home que começam com um “a” :

maldet -a /home/a?

Para executar uma verificação curinga apenas para uma extensão do arquivo específica:

maldet -a /var/www/html/*.php

Scan apenas em arquivos criados/modificados nos últimos 7 dias:

maldet -r /var/www/html/ 7

Verificar todos os arquivos em um caminho (padrão: / home, curinga:?)

maldet -a /home/?/public_html

Para executar varreduras em segundo plano, digite o seguinte (ideal para varreduras maiores com muitos arquivos):

maldet -b -r /home/user/

Examine o relatório de verificação do maldet executando o seguinte comando e anexando o ID do relatório de verificação:

maldet --report numero-xxxx.xxxxx

Enviar por email o relatório de verificação:

maldet –report SCANID [email protected]

Para colocar os arquivos infectados em quarentena, execute o seguinte comando, incluindo o “scan report ID”. Os arquivos infectados serão colocados em quarentena para limpeza:

maldet -q SCAN ID

Limpar todos os resultados de malware de uma verificação anterior:

maldet -n SCAN ID

Restaurar um arquivo que você já colocou em quarentena:

maldet -s NOMEDOARQUIVO
maldet -s SCANID
maldet --restore NOMEDOARQUIVO

Obtenha uma lista de todos os relatórios:

maldet -e list

Limpar registros, fila de quarentena, sessão e dados temporários:

maldet -p

Efetuar upload de suspeita de malware para rfxn.com para revisão e hashing em assinaturas:

 maldet -c caminho/do/arquivo

Visualizar os logs de eventos:

maldet -l

Monitoramento em tempo real.

Este recurso foi criado para monitorar os arquivos de usuário em tempo real para criação de arquivos / modificação / arquivos movidos.

Existem três modos com os quais o monitor pode ser executado e se relacionam com o que será monitorado, são USERS | PATHS | FILES.

  • Exemplo: maldet –monitor users
  • Exemplo: maldet –monitor /root/arquivo_com_os_locais_scan
  • Exemplo: maldet –monitor /home/joao,/home/pedro

Monitorando usuários:

maldet --monitor users

Monitorando definindo o caminho :

maldet --monitor /home,/var,/tmp

Monitorando Arquivos:

Se você acredita que há problemas com arquivos específicos, é possível monitorar continuamente estes arquivos, fornecendo uma lista de arquivos separados por vírgulas:

maldet --monitor /home/usuario/arquivo1,/home/usuario/arquivo2

Rastreando eventos no arquivo de registro do monitor:

tail -f /usr/local/maldetect/logs/inotify_log

Parando o monitoramento(kill):

maldet -k

Integração do Linux Malware Detect com o ClamAV

Nota: No post Como instalar assinaturas AntiVirus e Malware adicionais para o Clamav no CentOS e CloudLinux , abordamos a instalação do ClamAV incluindo excelentes assinaturas adicionais.

O ClamAV e Maldet( Linux Malware Detect) são totalmente integrados. Podemos utilizar o ClamAV como mecanismo de varredura para o Maldet. Isso acelera o processo de varredura e inclui as definições de vírus do ClamAV .

O benefício dessa integração é uma verificação de malware mais rápida e eficaz; é mais provável que você identifique ameaças potenciais.

O Setup desta integração já abordamos no princípio ao editar o arquivo /usr/local/maldetect/conf.maldet e alterar scan_clamscan de “0” para “1”

Servidores com cPanel/WHM

Crie dois links simbólicos:

ln -s /usr/local/cpanel/3rdparty/bin/clamscan /usr/local/bin/clamscan
ln -s /usr/local/cpanel/3rdparty/bin/freshclam /usr/local/bin/freshclam

Servidores com DirectAdmin

Não é necessário nenhuma modificação.

Servidores Linux sem painel ou utilizando paineis Open Source

Não é necessário nenhuma modificação.

Os comentários estão fechados.
Enable Notifications    Ok No thanks