1. Para instalar Maldet
2. Para configurar LMD
3. Para escanear con Maldet
Linux Malware Detect (LMD) o Maldet es un escáner de malware para Linux publicado bajo la licencia GNU GPLv2 (libre, código abierto), que está diseñado en torno a las amenazas que enfrentan en entornos de alojamiento. Utiliza datos de amenazas de los sistemas de detección de intrusiones de red para extraer malware que activamente se está utilizando en los ataques y genera firmas para la detección. Además, los datos de la amenaza también se derivan de envíos de los usuarios con la función checkout LMD, amenazas encontradas en la red TCH de más de 30.000 dominios alojados y de la comunidad de software de recursos maliciosos.
Para instalar Maldet
1. Cambiar el actual directorio de trabajo a /usr/local/src mediante el comando siguiente. Usted puede elegir cualquier otro directorio de su elección, donde desea que el script de instalación se descargue.
cd /usr/local/src
2. Ejecute el comando siguiente para descargar el archivo comprimido en el directorio de trabajo actual:
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
3. Extraer los archivos con el comando:
tar -xzf maldetect-current.tar.gz
4. Ir al directorio de Maldet con el comando:
cd maldetect-*
5. Ejecute el script de instalación:
sh ./install.sh
Ejemplo de muestra:
Linux Malware Detect v1.3.4
(C) 1999-2010, R-fx Networks
(C) 2010, Ryan MacDonald
inotifywait (C) 2007, Rohan McGovern
This program may be freely redistributed under the terms of the GNU GPL
installation completed to /usr/local/maldetect
config file: /usr/local/maldetect/conf.maldet
exec file: /usr/local/maldetect/maldet
exec link: /usr/local/sbin/maldet
cron.daily: /etc/cron.daily/maldet
maldet(32517): {sigup} performing signature update check…
maldet(32517): {sigup} local signature set is version 2010051510029
maldet(32517): {sigup} latest signature set already installed
Para configurar LMD
De forma predeterminada, todas las opciones están totalmente comentadas en el archivo de configuración (/usr/local/maldetect/conf.maldet). Puede configurarlos según sus necesidades. Varias opciones se enumeran a continuación:
- email_alert: Póngalo a 1 para recibir alertas de correo electrónico.
- email_subj: Especifique el asunto del correo electrónico.
- email_addr: Inserte su dirección de correo electrónico para recibir las alertas de malware.
- quar_hits: Esta es la acción de cuarentena predeterminada para los que han sido afectados por malware y debe establecerse en 1.
- quar_clean: Esta es la acción de limpieza para las inyecciones de malware detectadas y debe establecerse en 1.
- quar_susp: Este es el valor predeterminado en las acciones de suspensión para los usuarios con ataques. Establecer como por su exigencia.
- quar_susp_minuid: Identificador de usuario mínimo que puede ser suspendido.
Puede actualizar Maldet, con el comando:
maldet -u or maldet -d
Para escanear con Maldet
Para explorar los archivos de un usuario en particular, utilice el comando:
maldet -a /home/username/
Para escanear todos los usuarios en /home/public_html, utilice el comando:
maldet –scan-all /home?/?/public_html
Para intentar una limpieza en todos los resultados de malware a partir de un análisis previo que no han habilitado la función, utilice el comando:
maldet –clean SCANID