Panoramica di Linux Malware Detect

Linux Malware Detect (Maldet) è uno scanner di malware per server Linux. Rileva script sospetti e dannosi — shell, spam mailer e minacce simili — sia a livello di sistema che in directory specifiche come i file dei siti web.

Funzionalità principali:

• rilevamento di file sospetti;
• messa in quarantena dei file problematici;
• tentativo di pulizia automatica dei file infetti;
• scansione limitata ai file creati o modificati in un determinato intervallo di tempo;
• monitoraggio in tempo reale di una directory in modalità interattiva;
• gestione delle eccezioni per firma, percorso o singolo file;
• invio dei file sospetti ai server di analisi di Maldet;
• aggiornamento automatico e manuale delle firme e dello scanner stesso.

Installazione

La procedura di installazione è identica per CentOS e Debian:

cd /root
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Download di Maldet

tar -zxvf maldetect-current.tar.gz
cd maldetect-*/
bash install.sh

Lo script di installazione posiziona l'eseguibile in /usr/local/maldetect/maldet e crea un symlink in /usr/local/sbin/maldet. Crea inoltre /usr/lib/libinotifytools.so.0 e configura un cron job giornaliero in /etc/cron.daily/maldet.

Utilizzo

Scansione dei file modificati negli ultimi 5 giorni:

maldet -r / 5

Al termine della scansione, Maldet mostra un riepilogo con il numero totale di file analizzati, le infezioni rilevate e i file ripuliti, insieme a un ID del report.

Risultati della scansione

Visualizzare un report:

maldet --report 220718-1809.1790255

Report Maldet

Aggiornare il database delle firme:

maldet -u

Spostare i file infetti in quarantena (archiviati in /usr/local/maldetect/quarantine):

maldet -q 220718-1809.1890277

Ripristinare file dalla quarantena:

maldet -s 220718-1809.1890277

Tentare la pulizia del codice malevolo dai file infetti:

maldet -n 220718-1809.1890277

Aggiungere un file malevolo al database delle firme:

maldet -c badfile.php

Configurazione

Il file di configurazione di Maldet si trova in /usr/local/maldetect/conf.maldet.

Parametri principali:

# [ General options ]
email_alert="1"                # Abilita le notifiche via email
email_addr="mail@example.com"  # Indirizzo per la ricezione delle notifiche
email_ignore_clean="0"         # Notifica per i file ripuliti (0 = non notificare)

# [ Scan options ]
scan_max_depth="15"            # Profondità massima di scansione
scan_min_filesize="24"         # Dimensione minima del file in byte
scan_max_filesize="2048k"      # Dimensione massima del file da scansionare
scan_clamscan="1"              # Usa ClamAV se installato
scan_tmpdir_paths="/tmp /var/tmp /dev/shm /var/fcgi_ipc"  # Directory temporanee da scansionare
scan_user_access="0"           # Consenti agli utenti non-root di eseguire scansioni
scan_ignore_user=""            # Utenti da ignorare durante la scansione
scan_ignore_group=""           # Gruppi da ignorare durante la scansione

# [ Quarantine options ]
quarantine_hits="1"            # Metti automaticamente in quarantena i file rilevati
quarantine_clean="0"           # Tenta la pulizia automatica dei file infetti

Scansione giornaliera

Durante l'installazione, Maldet crea /etc/cron.daily/maldet, che esegue una scansione giornaliera dei nuovi file sul server. Tutto ciò che viene rilevato è gestito in base alle impostazioni del file di configurazione.

Se la scansione giornaliera non è necessaria, è sufficiente eliminare quel file. I percorsi in esso contenuti coprono già i pannelli di controllo del server più comuni — modifiche manuali sono necessarie solo per includere directory non standard.