Главная » Безопасность

LMD (maldet) — эффективный антивирус для веб-серверов. Как установить и использовать?

LMD (Linux Malware Detect) - простой и эффективный инструмент для поиска веб-шеллов, троянов, спам-ботов, вредоносных скриптов и прочих типичных веб-угроз в Linux системах.

Сканирование антивирусом осуществляется с использованием собственного скрипта на базе grep, а если в системе установлен ClamAV — то при помощи clamscan.

Распространяется по лицензии GNU GPLv2.


Как установить LMD (maldet) на CentOS / Debian / ...

Заходим на сервер по SSH, качаем архив, распаковываем, запускаем установку.
В процессе инсталляции автоматически создаются ежедневные крон-задания для обновления сигнатур и запуска сканирования:

# wget -c http://www.rfxn.com/downloads/maldetect-current.tar.gz 
# tar -xzf maldetect-current.tar.gz 
# cd maldetect-* 
# sh ./install.sh 
# maldet --update-ver 
# maldet --update

Как настроить и использовать LMD (maldet)?

Конфигурационный файл: /usr/local/maldetect/conf.maldet

Включаем отправку информации о выявленных проблемах на наш email:

# nano /usr/local/maldetect/conf.maldet 

email_alert=1 
email_addr="мой.ящик@gmail.com"

Запускаем сканирование указанной директории:

# maldet -a /home/user/     

По окончанию получаем результат вида:

maldet(24128): {scan} scan completed on example.com: files 4, malware hits 0, cleaned hits 0
maldet(24128): {scan} scan report saved, to view run: maldet --report 091713-1715.24128

Смотрим отчет:

# maldet --report 091713-1715.24128

Помещаем в карантин результаты сканирования:

# maldet -q 091713-1715.24128

Другие полезные команды:

Принудительно обновляем базы:

# maldet -u

Принудительно обновляем версию:

# maldet -d

Сканируем все измененные за последние X дней файлы (в данном случае 3) в указанной директории:

# maldet -r /home/user/ 3

Логи смотрим в файле:

# tail -f /usr/local/maldetect/event_log 

CRON задания прописаны в файле:

# /etc/cron.daily/maldet 

В этом же файле можно изменить и пути для сканирования своих директорий. К примеру для различных панелей:

...
 
# if were running inotify monitoring, send daily hit summary           
if [ "$(ps -A --user root -o "comm" | grep inotifywait)" ]; then
        /usr/local/maldetect/maldet --alert-daily >> /dev/null 2>&1
else
        # scan the last 2 days of file changes
        if [ -d "/home/virtual" ] && [ -d "/usr/lib/opcenter" ]; then
                # ensim
                /usr/local/maldetect/maldet -b -r /home/virtual/?/fst/var/www/html 2 >> /dev/null 2>&1
                /usr/local/maldetect/maldet -b -r /home/virtual/?/fst/home/?/public_html 2 >> /dev/null 2>&1
        elif [ -d "/etc/psa" ] && [ -d "/var/lib/psa" ]; then            
                # psa
                /usr/local/maldetect/maldet -b -r /var/www/vhosts/?/httpdocs 2 >> /dev/null 2>&1
                /usr/local/maldetect/maldet -b -r /var/www/vhosts/?/subdomains/?/httpdocs 2 >> /dev/null 2>&1
        elif [ -d "/usr/local/directadmin" ]; then  
                # DirectAdmin
                /usr/local/maldetect/maldet -b -r /var/www/html/?/ 2 >> /dev/null 2>&1
                /usr/local/maldetect/maldet -b -r /home?/?/domains/?/public_html 2 >> /dev/null 2>&1
        elif [ -d "/usr/local/ispmgr" ]; then
                # ISPmanager
                /usr/local/maldetect/maldet -b -r /var/www/?/data/,/home/?/data/ 1 >> /dev/null 2>&1
        else
                # cpanel, interworx and other standard home/user/public_html setups
                /usr/local/maldetect/maldet -b -r /home?/?/public_html 2 >> /dev/null 2>&1
        fi
 
        # scan default apache docroot paths
        if [ -d "/var/www/html" ]; then
                /usr/local/maldetect/maldet -b -r /var/www/html 2 >> /dev/null 2>&1
        fi
        if [ -d "/usr/local/apache/htdocs" ]; then
                /usr/local/maldetect/maldet -b -r /usr/local/apache/htdocs 2 >> /dev/null 2>&1
        fi
fi
 
...

Добавить исключающие пути для обхода сканирования можно в файле:

/usr/local/maldetect/ignore_paths

Linux Malware Detect / Официальная страница

Если Вы являетесь владельцем виртуального VPS/VDS или выделенного сервера, maldet может быть установлен абсолютно бесплатно по первому запросу в службу технической поддержки.


Вместе с этим смотрят: