Linux Malware Detect – Übersicht

Linux Malware Detect (Maldet) ist ein Malware-Scanner für Linux-Server. Er erkennt verdächtige und schädliche Skripte — Shells, Spam-Mailer und ähnliche Bedrohungen — sowohl systemweit als auch in bestimmten Verzeichnissen wie Website-Dateien.

Hauptfunktionen:

• Erkennung verdächtiger Dateien;
• Quarantäne problematischer Dateien;
• automatischer Bereinigungsversuch infizierter Dateien;
• Scan ausschließlich der innerhalb eines bestimmten Zeitraums erstellten oder geänderten Dateien;
• Echtzeit-Überwachung eines Verzeichnisses im interaktiven Modus;
• Verwaltung von Ausnahmen nach Signatur, Pfad oder einzelner Datei;
• Übermittlung verdächtiger Dateien an die Analyseserver von Maldet;
• automatische und manuelle Aktualisierung von Signaturen und dem Scanner selbst.

Installation

Der Installationsvorgang ist für CentOS und Debian identisch:

cd /root
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Maldet herunterladen

tar -zxvf maldetect-current.tar.gz
cd maldetect-*/
bash install.sh

Das Installationsskript legt die ausführbare Datei unter /usr/local/maldetect/maldet ab und erstellt einen Symlink unter /usr/local/sbin/maldet. Außerdem wird /usr/lib/libinotifytools.so.0 angelegt und ein täglicher Cron-Job unter /etc/cron.daily/maldet eingerichtet.

Verwendung

Dateien scannen, die in den letzten 5 Tagen geändert wurden:

maldet -r / 5

Nach Abschluss des Scans gibt Maldet eine Zusammenfassung aus: Gesamtanzahl der gescannten Dateien, gefundene Infektionen und bereinigte Dateien sowie eine Berichts-ID.

Scan-Ergebnisse

Bericht anzeigen:

maldet --report 220718-1809.1790255

Maldet-Bericht

Signaturdatenbank aktualisieren:

maldet -u

Infizierte Dateien in Quarantäne verschieben (gespeichert unter /usr/local/maldetect/quarantine):

maldet -q 220718-1809.1890277

Dateien aus der Quarantäne wiederherstellen:

maldet -s 220718-1809.1890277

Versuch, schädlichen Code aus infizierten Dateien zu entfernen:

maldet -n 220718-1809.1890277

Schädliche Datei zur Signaturdatenbank hinzufügen:

maldet -c badfile.php

Konfiguration

Die Konfigurationsdatei von Maldet befindet sich unter /usr/local/maldetect/conf.maldet.

Wichtige Parameter:

# [ General options ]
email_alert="1"                # E-Mail-Benachrichtigungen aktivieren
email_addr="mail@example.com"  # Empfängeradresse für Benachrichtigungen
email_ignore_clean="0"         # Über bereinigte Dateien benachrichtigen (0 = nicht benachrichtigen)

# [ Scan options ]
scan_max_depth="15"            # Maximale Scan-Tiefe
scan_min_filesize="24"         # Minimale Dateigröße in Bytes
scan_max_filesize="2048k"      # Maximale Dateigröße für den Scan
scan_clamscan="1"              # ClamAV verwenden, falls installiert
scan_tmpdir_paths="/tmp /var/tmp /dev/shm /var/fcgi_ipc"  # Zu scannende Temp-Verzeichnisse
scan_user_access="0"           # Scans durch Nicht-Root-Benutzer erlauben
scan_ignore_user=""            # Beim Scannen zu überspringende Benutzer
scan_ignore_group=""           # Beim Scannen zu überspringende Gruppen

# [ Quarantine options ]
quarantine_hits="1"            # Erkannte Dateien automatisch in Quarantäne verschieben
quarantine_clean="0"           # Automatische Bereinigung infizierter Dateien versuchen

Täglicher Scan

Bei der Installation erstellt Maldet die Datei /etc/cron.daily/maldet, die täglich einen Scan neuer Dateien auf dem Server durchführt. Gefundene Bedrohungen werden gemäß den Einstellungen in der Konfigurationsdatei behandelt.

Falls der tägliche Scan nicht benötigt wird, genügt es, diese Datei zu löschen. Die darin enthaltenen Pfade decken bereits gängige Server-Verwaltungspanels ab — manuelle Anpassungen sind nur erforderlich, wenn nicht standardmäßige Verzeichnisse einbezogen werden sollen.