O Post abaixo faz parte das soluções que normalmente utilizamos na HelpSysAdmin com nosso serviço de gerenciamento de servidor ou suporte ao usuário.
O Linux Malware Detect (LMD) é um scanner de malware para Linux, desenvolvido a volta das ameaças enfrentadas em ambientes linux utilizados para hospedagem de sites compartilhada.
O Scanner do LMD percorre, os arquivos e diretórios em busca de aplicações, scripts e praticamente todo tipo de arquivo a procura de shells maliciosas, worms, virus e outros malwares. O LMD permite que estes arquivos sejam inseridos em quarentena, excluídos ou gere apenas uma notificação ao administrador do servidor linux. Podemos executar o scanner do LMD como monitoramento ativo, programado através da cron ou manualmente.
As assinaturas que o LMD utiliza, hashes de arquivo MD5 e correspondências de padrão HEX, são facilmente exportados ou mesmo incorporadas ao ClamAV e suas assinaturas.
Vamos abordar a instalação do Linux Malware Detect integrado ao ClamAV, comandos para o monitoramento , scan manual e outras opções…
Nota: Para instalação e configuração do ClamAV com assinaturas adicionais, sugiro o post : Como instalar assinaturas AntiVirus e Malware adicionais para o Clamav no CentOS e CloudLinux
Instale o inotify-tools. Este pacote é necessário para habilitarmos o monitoramento do LMD em tempo real
yum install -y inotify-tools
Instalando o Linux Malware Detect
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz tar xvf maldetect-current.tar.gz cd maldetect-1* ./install.sh
Edite o arquivo de configuração do LMD:
nano /usr/local/maldetect/conf.maldet
Localize e altere se necessário as seguintes opções:
email_alert="1" email_addr="[email protected]" autoupdate_signatures="1" autoupdate_version="1" scan_clamscan="1"
salve o arquivo e saia do nano ( ctrl +x , y)
As definições de vírus para Maldet(Linux Malware Detect) são atualizadas diariamente e integrada as assinaturas anti vírus, malware, conforme abordamos em outro post . Como instalar assinaturas AntiVirus e Malware adicionais para o Clamav no CentOS e CloudLinux . Se desejar atualizar manualmente utilize o comando abaixo:
maldet -d
Durante a instalação do Linux Malware Detect foi criado um job na cron /etc/cron.daily/maldet que será executado diariamente . Este job é responsável por executar atualizações , executar verificação diária nos arquivos do sistema com alterações recentes, apagar os dados de sessão , temporários e arquivos em quarentena com mais de 14 dias
Exemplos de utilização dos comandos:
Para verificar uma pasta, por exemplo / home, você deve inserir:
maldet -a /home
Para verificar uma pasta com um caractere curinga, por exemplo, todas as pastas em / home que começam com um “a” :
maldet -a /home/a?
Para executar uma verificação curinga apenas para uma extensão do arquivo específica:
maldet -a /var/www/html/*.php
Scan apenas em arquivos criados/modificados nos últimos 7 dias:
maldet -r /var/www/html/ 7
Verificar todos os arquivos em um caminho (padrão: / home, curinga:?)
maldet -a /home/?/public_html
Para executar varreduras em segundo plano, digite o seguinte (ideal para varreduras maiores com muitos arquivos):
maldet -b -r /home/user/
Examine o relatório de verificação do maldet executando o seguinte comando e anexando o ID do relatório de verificação:
maldet --report numero-xxxx.xxxxx
Enviar por email o relatório de verificação:
maldet –report SCANID [email protected]
Para colocar os arquivos infectados em quarentena, execute o seguinte comando, incluindo o “scan report ID”. Os arquivos infectados serão colocados em quarentena para limpeza:
maldet -q SCAN ID
Limpar todos os resultados de malware de uma verificação anterior:
maldet -n SCAN ID
Restaurar um arquivo que você já colocou em quarentena:
maldet -s NOMEDOARQUIVO maldet -s SCANID maldet --restore NOMEDOARQUIVO
Obtenha uma lista de todos os relatórios:
maldet -e list
Limpar registros, fila de quarentena, sessão e dados temporários:
maldet -p
Efetuar upload de suspeita de malware para rfxn.com para revisão e hashing em assinaturas:
maldet -c caminho/do/arquivo
Visualizar os logs de eventos:
maldet -l
Monitoramento em tempo real.
Este recurso foi criado para monitorar os arquivos de usuário em tempo real para criação de arquivos / modificação / arquivos movidos.
Existem três modos com os quais o monitor pode ser executado e se relacionam com o que será monitorado, são USERS | PATHS | FILES.
- Exemplo: maldet –monitor users
- Exemplo: maldet –monitor /root/arquivo_com_os_locais_scan
- Exemplo: maldet –monitor /home/joao,/home/pedro
Monitorando usuários:
maldet --monitor users
Monitorando definindo o caminho :
maldet --monitor /home,/var,/tmp
Monitorando Arquivos:
Se você acredita que há problemas com arquivos específicos, é possível monitorar continuamente estes arquivos, fornecendo uma lista de arquivos separados por vírgulas:
maldet --monitor /home/usuario/arquivo1,/home/usuario/arquivo2
Rastreando eventos no arquivo de registro do monitor:
tail -f /usr/local/maldetect/logs/inotify_log
Parando o monitoramento(kill):
maldet -k
Integração do Linux Malware Detect com o ClamAV
Nota: No post Como instalar assinaturas AntiVirus e Malware adicionais para o Clamav no CentOS e CloudLinux , abordamos a instalação do ClamAV incluindo excelentes assinaturas adicionais.
O ClamAV e Maldet( Linux Malware Detect) são totalmente integrados. Podemos utilizar o ClamAV como mecanismo de varredura para o Maldet. Isso acelera o processo de varredura e inclui as definições de vírus do ClamAV .
O benefício dessa integração é uma verificação de malware mais rápida e eficaz; é mais provável que você identifique ameaças potenciais.
O Setup desta integração já abordamos no princípio ao editar o arquivo /usr/local/maldetect/conf.maldet e alterar scan_clamscan de “0” para “1”
Servidores com cPanel/WHM
Crie dois links simbólicos:
ln -s /usr/local/cpanel/3rdparty/bin/clamscan /usr/local/bin/clamscan ln -s /usr/local/cpanel/3rdparty/bin/freshclam /usr/local/bin/freshclam
Servidores com DirectAdmin
Não é necessário nenhuma modificação.
Servidores Linux sem painel ou utilizando paineis Open Source
Não é necessário nenhuma modificação.
Nota importante: O Linux Malware Detect integrado ao ClamAV com várias melhorias, está disponível nos servidores dos clientes de Gerenciamento de Servidor da HelpSysAdmin