grs blog

linux malware detect ή lmd ή maldet

Ubuntu Grey Logo

Written by

dm

in

Άλλη μια ακροστιχίδα της αγγλικής: maldet, δηλαδή malware detect, αναγνώριση κακόβουλου λογισμικού ελληνιστί. Η ακροστιχίδα μας είναι τίτλος δημοφιλούς λογισμικού για linux, που προσπαθεί να εντοπίσει κακόβουλα προγράμματα, ενδείκνυται δε για shared hosted περιβάλλοντα και παρέχει βασική προστασία από απειλές στα user account.

Αν και το προϊόν λειτουργεί στα περισσότερα flavor του linux, τα παρακάτω ισχύουν για debian, ubuntu και παρεμφερή.

Εγκατάσταση

Ας δούμε πως εγκαθίσταται:

cd /opt/
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar -zxvf maldetect-current.tar.gz
cd maldetect-1.x.x
./install.sh

Παραμετροποίηση

Πολλά-πολλά δεν χρειάζεται το maldet. Έρχεται αρκετά έτοιμο. Ακόμα και cron job στήνει μόνο του. Σε κάθε περίπτωση όμως κάντε τον κόπο να ‘χαζέψετε’ τις παραμέτρους του στη διαδρομή:

/usr/local/maldetect/conf.maldet

Όλο και κάτι χρήσιμο θα βρείτε στο config που είναι εφοδιασμένο με τα απαραίτητα σχόλια και δεν θα σας δυσκολέψει καθόλου. 2-3 επισημάνσεις μόνο θα παραθέσουμε:

  • Προτιμήστε το email-alert=1 για να παραμένετε ενημερωμένοι σχετικά με την κατάσταση του συστήματός σας.
  • Αν αποφασίσατε email-alert=1, μην ξεχάσετε να αλλάξετε και το email σας email_addr="[email protected]".
  • Προσοχή στην παράμετρο quar_hits=1 γιατί είναι δυνατόν να σας κρεμάσουν sites και εφαρμογές. Προτιμήστε quar_hits=0 ώστε να προβείτε σε manual απομάκρυνση του κακόβουλου script αν χρειαστεί.
  • Τέλος, ειδικά για εσάς που χοστάρετε sites ή έχετε αρχεία με μακριές διαδρομές, φακέλους και υποφακέλους, εξετάστε αν το default maxdepth=15 σας είναι αρκετό.

Σάρωση τώρα!

Αν είστε βιαστικοί γιατί υποπτεύεστε κάποια παράνομη εισβολή στο σύστημά σας, τρέξτε maldet --scan-all /var/www/, για υποτιθέμενη απειλή στο /var/www.

Αν πάλι θέλετε να σαρώσετε τα πάντα γράψτε maldet -a /.

Χρονοπρογραμματισμός

Για να κοιμάστε ήσυχοι, μην ξεχάσετε να στήσετε τα κατάλληλα cronjob. Πάτε στην κονσόλα λοιπόν και χτυπήστε: 

crontab -e

Προσθέστε 3 γραμμές, μία για σκανάρισμα, μία για ενημερώσεις ορισμών και μία για ενημερώσεις engine, αποθηκεύστε και τέλος. 

0 3 * * 1 ./maldetect-1.x.x/files/maldet --scan-all /
0 2 * * 1 ./maldetect-1.x.x/files/maldet -u
0 1 * * 1 ./maldetect-1.x.x/files/maldet -d

Σημειώσεις

(*) όπου maldetect-1.x.x, αντικαθιστάτε με την αντίστοιχη version, π.χ. maldetect-1.6.2

Comments

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

More posts