• maldet w akcji i koniec z malware

    dodany przez Przemysław Sikora

    Administrując serwerami współdzielonymi przez wielu użytkowników, wielokrotnie natknąłem się na sytuację, gdy oprogramowanie webowe takie jak CMS, nie są aktualizowane po instalacji. Wiąże się to z sytuacją, gdy np. aktualna wersja WordPress to 3.8.1, a niektórzy mają 3.2 lub nawet 2.x. W takich przypadkach, obecność doklejonego kodu do skryptów php, czy podmiana strony głównej, nie powinny dziwić. Czas powziąć środki ostrożności i zainstalować “maldet”, czyli narzędzie do wykrywania szkodliwego oprogramowania. Do dzieła:

    yum install clamav
    wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
    tar xvsf maldetect-current.tar.gz
    cd maldetect-1.4.2
    ./install.sh

    Linux Malware Detect v1.4.1
    (C) 2002-2013, R-fx Networks <proj@r-fx.org>
    (C) 2013, Ryan MacDonald <ryan@r-fx.org>
    inotifywait (C) 2007, Rohan McGovern <rohan@mcgovern.id.au>
    This program may be freely redistributed under the terms of the GNU GPL

    installation completed to /usr/local/maldetect
    config file: /usr/local/maldetect/conf.maldet
    exec file: /usr/local/maldetect/maldet
    exec link: /usr/local/sbin/maldet
    exec link: /usr/local/sbin/lmd
    cron.daily: /etc/cron.daily/maldet

    maldet(30170): {sigup} performing signature update check...
    maldet(30170): {sigup} local signature set is version 201205035915
    maldet(30170): {sigup} new signature set (2014032030449) available
    maldet(30170): {sigup} downloaded http://www.rfxn.com/downloads/md5.dat
    maldet(30170): {sigup} downloaded http://www.rfxn.com/downloads/hex.dat
    maldet(30170): {sigup} downloaded http://www.rfxn.com/downloads/rfxn.ndb
    maldet(30170): {sigup} downloaded http://www.rfxn.com/downloads/rfxn.hdb
    maldet(30170): {sigup} downloaded http://www.rfxn.com/downloads/maldet-clean.tgz
    maldet(30170): {sigup} signature set update completed
    maldet(30170): {sigup} 11651 signatures (9765 MD5 / 1886 HEX)

    Czas na pierwsze skanowanie np. katalogów domowych użytkowników, ale najpierw aktualizacja baz sygnatur zagrożeń.

    maldet -u

    Poniżej efekt wydania tego polecenia:
    Linux Malware Detect v1.4.2
    (C) 2002-2013, R-fx Networks <proj@r-fx.org>
    (C) 2013, Ryan MacDonald <ryan@r-fx.org>
    inotifywait (C) 2007, Rohan McGovern <rohan@mcgovern.id.au>
    This program may be freely redistributed under the terms of the GNU GPL v2

    maldet(18829): {sigup} performing signature update check...
    maldet(18829): {sigup} local signature set is version 2014032030449
    maldet(18829): {sigup} latest signature set already installed

    Bazy aktualne, no to czas na skan 🙂

    maldet -a /home

    a oto efekt:
    Linux Malware Detect v1.4.2
    (C) 2002-2013, R-fx Networks <proj@r-fx.org>
    (C) 2013, Ryan MacDonald <ryan@r-fx.org>
    inotifywait (C) 2007, Rohan McGovern <rohan@mcgovern.id.au>
    This program may be freely redistributed under the terms of the GNU GPL v2

    maldet(3476): {scan} signatures loaded: 11651 (9765 MD5 / 1886 HEX)
    maldet(3476): {scan} building file list for /home, this might take awhile...
    maldet(3476): {scan} file list completed, found 44081 files...
    maldet(3476): {scan} found ClamAV clamscan binary, using as scanner engine...
    maldet(3476): {scan} scan of /home (44081 files) in progress...

    przykładowy efekt końcowy:
    maldet(3476): {scan} processing scan results for hits: 25 hits 0 cleaned
    maldet(3476): {scan} scan completed on /home: files 44081, malware hits 25, cleaned hits 0
    maldet(3476): {scan} scan report saved, to view run: maldet --report 032414-2328.3476
    maldet(3476): {scan} quarantine is disabled! set quar_hits=1 in conf.maldet or to quarantine results run: maldet -q 032414-2328.3476

    Zobaczmy szczegółowy raport -> maldet –report 032414-2328.3476
    malware detect scan report for serwer.com:
    SCAN ID: 032414-2328.3476
    TIME: mar 24 23:30:37 +0100
    PATH:/home
    TOTAL FILES: 44081
    TOTAL HITS: 5
    TOTAL CLEANED: 0

    NOTE: quarantine is disabled! set quar_hits=1 in conf.maldet or to quarantine results run: maldet -q 032414-2328.3476
    FILE HIT LIST:
    {HEX}base64.inject.unclassed.7 : /home/user/html/wp-load.php
    {HEX}base64.inject.unclassed.7 : /home/user/html/wp-pass.php
    {HEX}base64.inject.unclassed.7 : /home/user/html/wp-config-sample.php.back
    {HEX}base64.inject.unclassed.7 : /home/user/html/index.bk.php
    {HEX}base64.inject.unclassed.7 : /home/user/html/index.bk.php2

    Dużo więcej opcji znajdziecie wydając komendę “maldet -h”. Kilka “rzeczy” można ustawić w pliku konfiguracyjnym “/usr/local/maldetect/conf.maldet” np.
    email_alert=0 # 0 wyłączony alert przez email, 1 włączone
    email_addr="you@domain.com" # adres email na który mają przychodzić alerty
    email_ignore_clean=0 # 0 nie wysyłanie alertów/raportów, gdy brak zagrożeń
    quar_hits=0 # 0 wyłączona kwarantanna, 1 włączona

    To chyba wystarczy na początek 🙂

Dodaj komentarz

Warto odwiedzić
Valid XHTML 1.0 Transitional centos.com.pl- mapa strony