Установка Maldet (Linux Malware Detect)

Установка Maldet (Linux Malware Detect) довольно проста. Вот пошаговая инструкция:

 1. Скачивание последней версии Maldet:


 Перейдите в директорию, куда вы хотите скачать установочный архив. Обычно это `/usr/local/src/` или ваша домашняя директория.

cd /usr/local/src/
sudo wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

- `sudo` может понадобиться, если вы не root и работаете в системной директории вроде `/usr/local/src/`. Если вы в своей домашней директории, `sudo` для `wget` не нужен.


 2. Распаковка архива:

sudo tar -xzf maldetect-current.tar.gz

 Это создаст директорию с названием вроде `maldetect-X.Y.Z` (где X.Y.Z - номер версии).


 3. Переход в директорию Maldet и запуск установочного скрипта:


 Найдите точное имя созданной директории (используйте `ls`, если не уверены) и перейдите в нее:

cd maldetect-*

 Или если точная версия, например, 1.6.4:

cd maldetect-1.6.4

 Теперь запустите установочный скрипт:

sudo ./install.sh

 4. Проверка установки и первоначальная настройка (конфигурационный файл):


 Установочный скрипт выполнит все необходимые действия, включая создание daily cron job для сканирования и обновления сигнатур.


 После установки основной конфигурационный файл Maldet находится здесь: `/usr/local/maldetect/conf.maldet`


 Откройте его для редактирования (например, с помощью `nano` или `vim`):

sudo nano /usr/local/maldetect/conf.maldet

 Основные параметры, на которые стоит обратить внимание и, возможно, изменить:


- `email_alert`: Установите значение `1`, если хотите получать уведомления по электронной почте о найденных вредоносах.

email_alert="1"

- `email_addr`: Укажите ваш email-адрес для получения уведомлений.

email_addr="your_email@example.com"

- `quarantine_hits`: По умолчанию `1`. Это означает, что найденные вредоносные файлы будут перемещаться в карантин (`/usr/local/maldetect/quarantine/`). Это безопасный вариант. Если установить `0`, файлы не будут перемещаться.

quarantine_hits="1"

- `quarantine_clean`: По умолчанию `1`. Если `1`, Maldet попытается очистить (обезвредить) зараженные файлы, удаляя вредоносный код. Если `0`, очистка производиться не будет. Для файлов, которые не являются текстовыми скриптами (например, бинарники), очистка обычно невозможна, и они просто помещаются в карантин.

quarantine_clean="1"

- `quarantine_suspend_user`: По умолчанию `0`. Если `1`, Maldet попытается заблокировать учетную запись пользователя, у которого были обнаружены вредоносные файлы (используется `usermod -L`). Это может быть полезно, но используйте с осторожностью, особенно на веб-серверах с общим хостингом.

quarantine_suspend_user="0"

- `scan_daily_at`: Время для ежедневного автоматического сканирования (по умолчанию, обычно ночью).

- `autoupdate_signatures`: По умолчанию `1`. Maldet будет автоматически обновлять свои сигнатуры.

- `autoupdate_version`: По умолчанию `1`. Maldet будет автоматически обновлять свою версию.


 Сохраните изменения в файле (`Ctrl+X`, затем `Y` и `Enter` в `nano`).


 5. Обновление сигнатур (рекомендуется после установки):


 Хотя cron job будет это делать, можно сразу обновить сигнатуры вручную:

sudo maldet -u

 или

sudo /usr/local/sbin/maldet -u

 6. Запуск первого сканирования:


 Вы можете запустить сканирование определенной директории. Например, для сканирования всей домашней директории пользователя `bitrix` и корневой директории его сайта:

sudo maldet -a /home/bitrix/
sudo maldet -a /home/bitrix/www/

- `-a <ПУТЬ>` или `--scan-all <ПУТЬ>`: Сканировать все файлы в указанном пути.

- `-r <ПУТЬ> <ДНИ>` или `--scan-recent <ПУТЬ> <ДНИ>`: Сканировать файлы, измененные за последние X дней.


 Сканирование всего сервера (`/`) может занять очень много времени. Лучше сканировать конкретные директории, которые вызывают подозрения или являются критичными (например, домашние директории пользователей, веб-директории).


 7. Просмотр отчетов:


 После завершения сканирования Maldet выдаст `SCANID`. Вы можете посмотреть отчет по этому ID:

sudo maldet --report

 Например:

sudo maldet --report 230410-1523.18231

 Также все лог-файлы сканирования находятся в `/usr/local/maldetect/logs/`.


 Основные команды Maldet:


- `maldet -a /path/to/scan` - Просканировать указанный путь.

- `maldet -r /path/to/scan 7` - Просканировать файлы, измененные за последние 7 дней в указанном пути.

- `maldet -l` или `maldet --log` - Показать последний лог сканирования.

- `maldet --report` - Показать список всех отчетов сканирования.

- `maldet --report ` - Показать конкретный отчет.

- `maldet -q ` - Поместить все найденные вредоносы из отчета SCANID в карантин.

- `maldet -s ` - Восстановить все файлы из карантина для отчета SCANID.

- `maldet -n ` - Очистить (обезвредить) все найденные вредоносы из отчета SCANID (если `quarantine_clean` включен).

- `maldet -u` или `maldet -d` - Обновить сигнатуры.

- `maldet -p` - Очистить логи, карантин и другие временные данные.

- `maldet --monitor /home` - Запустить мониторинг в реальном времени для `/home` (требует `inotify-tools`).


 Maldet — мощный инструмент, но важно понимать его настройки и как он работает, чтобы избежать ложных срабатываний или случайного удаления важных файлов. Всегда проверяйте файлы, помещенные в карантин, перед окончательным удалением.