Présentation de Linux Malware Detect

Linux Malware Detect (Maldet) est un scanner de malwares pour serveurs Linux. Il détecte les scripts suspects et malveillants — shells, spam mailers et menaces similaires — aussi bien à l'échelle du système que dans des répertoires spécifiques comme les fichiers de sites web.

Fonctionnalités principales :

• détection des fichiers suspects ;
• mise en quarantaine des fichiers problématiques ;
• tentative de nettoyage automatique des fichiers infectés ;
• analyse limitée aux fichiers créés ou modifiés dans une fenêtre temporelle donnée ;
• surveillance en temps réel d'un répertoire en mode interactif ;
• gestion des exceptions par signature, chemin ou fichier individuel ;
• envoi des fichiers suspects vers les serveurs d'analyse de Maldet ;
• mises à jour automatiques et manuelles des signatures et du scanner lui-même.

Installation

La procédure d'installation est identique pour CentOS et Debian :

cd /root
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Téléchargement de Maldet

tar -zxvf maldetect-current.tar.gz
cd maldetect-*/
bash install.sh

Le script d'installation place l'exécutable dans /usr/local/maldetect/maldet et crée un lien symbolique dans /usr/local/sbin/maldet. Il crée également /usr/lib/libinotifytools.so.0 et configure une tâche cron quotidienne dans /etc/cron.daily/maldet.

Utilisation

Scanner les fichiers modifiés au cours des 5 derniers jours :

maldet -r / 5

À la fin de l'analyse, Maldet affiche un récapitulatif indiquant le nombre total de fichiers analysés, les infections détectées et les fichiers nettoyés, ainsi qu'un identifiant de rapport.

Résultats de l'analyse

Afficher un rapport :

maldet --report 220718-1809.1790255

Rapport Maldet

Mettre à jour la base de signatures :

maldet -u

Déplacer les fichiers infectés en quarantaine (stockés dans /usr/local/maldetect/quarantine) :

maldet -q 220718-1809.1890277

Restaurer des fichiers depuis la quarantaine :

maldet -s 220718-1809.1890277

Tenter de nettoyer le code malveillant des fichiers infectés :

maldet -n 220718-1809.1890277

Ajouter un fichier malveillant à la base de signatures :

maldet -c badfile.php

Configuration

Le fichier de configuration de Maldet se trouve dans /usr/local/maldetect/conf.maldet.

Paramètres principaux :

# [ General options ]
email_alert="1"                # Activer les notifications par e-mail
email_addr="mail@example.com"  # Adresse de réception des notifications
email_ignore_clean="0"         # Notifier pour les fichiers nettoyés (0 = ne pas notifier)

# [ Scan options ]
scan_max_depth="15"            # Profondeur maximale d'analyse
scan_min_filesize="24"         # Taille minimale de fichier en octets
scan_max_filesize="2048k"      # Taille maximale de fichier à analyser
scan_clamscan="1"              # Utiliser ClamAV s'il est installé
scan_tmpdir_paths="/tmp /var/tmp /dev/shm /var/fcgi_ipc"  # Répertoires temporaires à analyser
scan_user_access="0"           # Autoriser les utilisateurs non-root à lancer des analyses
scan_ignore_user=""            # Utilisateurs à ignorer lors de l'analyse
scan_ignore_group=""           # Groupes à ignorer lors de l'analyse

# [ Quarantine options ]
quarantine_hits="1"            # Mettre automatiquement en quarantaine les fichiers détectés
quarantine_clean="0"           # Tenter le nettoyage automatique des fichiers infectés

Analyse quotidienne

Lors de l'installation, Maldet crée /etc/cron.daily/maldet, qui exécute une analyse quotidienne des nouveaux fichiers sur le serveur. Tout ce qui est détecté est traité selon les paramètres du fichier de configuration.

Si l'analyse quotidienne n'est pas nécessaire, il suffit de supprimer ce fichier. Les chemins qu'il contient couvrent déjà les panneaux de contrôle de serveur courants — une modification manuelle n'est requise que pour inclure des répertoires non standard.