Visión general de Linux Malware Detect

Linux Malware Detect (Maldet) es un escáner de malware para servidores Linux. Detecta scripts sospechosos y maliciosos — shells, spam mailers y amenazas similares — tanto a nivel de sistema como en directorios específicos como los archivos de sitios web.

Características principales:

• detección de archivos sospechosos;
• puesta en cuarentena de archivos problemáticos;
• intento de limpieza automática de archivos infectados;
• escaneo limitado a los archivos creados o modificados en un intervalo de tiempo determinado;
• monitorización en tiempo real de un directorio en modo interactivo;
• gestión de excepciones por firma, ruta o archivo individual;
• envío de archivos sospechosos a los servidores de análisis de Maldet;
• actualización automática y manual de firmas y del propio escáner.

Instalación

El proceso de instalación es el mismo para CentOS y Debian:

cd /root
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Descarga de Maldet

tar -zxvf maldetect-current.tar.gz
cd maldetect-*/
bash install.sh

El script de instalación coloca el ejecutable en /usr/local/maldetect/maldet y crea un enlace simbólico en /usr/local/sbin/maldet. También crea /usr/lib/libinotifytools.so.0 y configura una tarea cron diaria en /etc/cron.daily/maldet.

Uso

Escanear archivos modificados en los últimos 5 días:

maldet -r / 5

Al finalizar el escaneo, Maldet muestra un resumen con el número total de archivos analizados, las infecciones encontradas y los archivos limpiados, junto con un ID de informe.

Resultados del escaneo

Ver un informe:

maldet --report 220718-1809.1790255

Informe de Maldet

Actualizar la base de datos de firmas:

maldet -u

Mover los archivos infectados a cuarentena (almacenados en /usr/local/maldetect/quarantine):

maldet -q 220718-1809.1890277

Restaurar archivos desde la cuarentena:

maldet -s 220718-1809.1890277

Intentar limpiar el código malicioso de los archivos infectados:

maldet -n 220718-1809.1890277

Añadir un archivo malicioso a la base de datos de firmas:

maldet -c badfile.php

Configuración

El archivo de configuración de Maldet se encuentra en /usr/local/maldetect/conf.maldet.

Parámetros principales:

# [ General options ]
email_alert="1"                # Habilitar notificaciones por correo
email_addr="mail@example.com"  # Dirección para recibir notificaciones
email_ignore_clean="0"         # Notificar sobre archivos limpiados (0 = no notificar)

# [ Scan options ]
scan_max_depth="15"            # Profundidad máxima de escaneo
scan_min_filesize="24"         # Tamaño mínimo de archivo en bytes
scan_max_filesize="2048k"      # Tamaño máximo de archivo a escanear
scan_clamscan="1"              # Usar ClamAV si está instalado
scan_tmpdir_paths="/tmp /var/tmp /dev/shm /var/fcgi_ipc"  # Directorios temporales a escanear
scan_user_access="0"           # Permitir escaneos a usuarios no root
scan_ignore_user=""            # Usuarios a omitir durante el escaneo
scan_ignore_group=""           # Grupos a omitir durante el escaneo

# [ Quarantine options ]
quarantine_hits="1"            # Poner en cuarentena automáticamente los archivos detectados
quarantine_clean="0"           # Intentar la limpieza automática de archivos infectados

Escaneo diario

Durante la instalación, Maldet crea /etc/cron.daily/maldet, que ejecuta un escaneo diario de los nuevos archivos del servidor. Todo lo que se detecta se gestiona según la configuración del archivo de configuración.

Si el escaneo diario no es necesario, basta con eliminar ese archivo. Las rutas que contiene ya cubren los paneles de control de servidor más habituales — solo es necesario editarlas manualmente para incluir directorios no estándar.