Установка Maldet (Linux Malware Detect)

Установка Maldet (Linux Malware Detect) довольно проста. Вот пошаговая инструкция:

1. Скачивание последней версии Maldet:

Перейдите в директорию, куда вы хотите скачать установочный архив. Обычно это /usr/local/src/ или ваша домашняя директория.

cd /usr/local/src/
sudo wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

• sudo может понадобиться, если вы не root и работаете в системной директории вроде /usr/local/src/. Если вы в своей домашней директории, sudo для wget не нужен.

2. Распаковка архива:

sudo tar -xzf maldetect-current.tar.gz

Это создаст директорию с названием вроде maldetect-X.Y.Z (где X.Y.Z - номер версии).

3. Переход в директорию Maldet и запуск установочного скрипта:

Найдите точное имя созданной директории (используйте ls, если не уверены) и перейдите в нее:

cd maldetect-*

Или если точная версия, например, 1.6.4:

cd maldetect-1.6.4

Теперь запустите установочный скрипт:

sudo ./install.sh

4. Проверка установки и первоначальная настройка (конфигурационный файл):

Установочный скрипт выполнит все необходимые действия, включая создание daily cron job для сканирования и обновления сигнатур.

После установки основной конфигурационный файл Maldet находится здесь: /usr/local/maldetect/conf.maldet

Откройте его для редактирования (например, с помощью nano или vim):

sudo nano /usr/local/maldetect/conf.maldet

Основные параметры, на которые стоит обратить внимание и, возможно, изменить:

• email_alert: Установите значение 1, если хотите получать уведомления по электронной почте о найденных вредоносах.

email_alert="1"

• email_addr: Укажите ваш email-адрес для получения уведомлений.

email_addr="your_email@example.com"

• quarantine_hits: По умолчанию 1. Это означает, что найденные вредоносные файлы будут перемещаться в карантин (/usr/local/maldetect/quarantine/). Это безопасный вариант. Если установить 0, файлы не будут перемещаться.

quarantine_hits="1"

• quarantine_clean: По умолчанию 1. Если 1, Maldet попытается очистить (обезвредить) зараженные файлы, удаляя вредоносный код. Если 0, очистка производиться не будет. Для файлов, которые не являются текстовыми скриптами (например, бинарники), очистка обычно невозможна, и они просто помещаются в карантин.

quarantine_clean="1"

• quarantine_suspend_user: По умолчанию 0. Если 1, Maldet попытается заблокировать учетную запись пользователя, у которого были обнаружены вредоносные файлы (используется usermod -L). Это может быть полезно, но используйте с осторожностью, особенно на веб-серверах с общим хостингом.

quarantine_suspend_user="0"

• scan_daily_at: Время для ежедневного автоматического сканирования (по умолчанию, обычно ночью).

• autoupdate_signatures: По умолчанию 1. Maldet будет автоматически обновлять свои сигнатуры.

• autoupdate_version: По умолчанию 1. Maldet будет автоматически обновлять свою версию.

Сохраните изменения в файле (Ctrl+X, затем Y и Enter в nano).

5. Обновление сигнатур (рекомендуется после установки):

Хотя cron job будет это делать, можно сразу обновить сигнатуры вручную:

sudo maldet -u

или

sudo /usr/local/sbin/maldet -u

6. Запуск первого сканирования:

Вы можете запустить сканирование определенной директории. Например, для сканирования всей домашней директории пользователя bitrix и корневой директории его сайта:

sudo maldet -a /home/bitrix/
sudo maldet -a /home/bitrix/www/

• -a <ПУТЬ> или --scan-all <ПУТЬ>: Сканировать все файлы в указанном пути.

• -r <ПУТЬ> <ДНИ> или --scan-recent <ПУТЬ> <ДНИ>: Сканировать файлы, измененные за последние X дней.

Сканирование всего сервера (/) может занять очень много времени. Лучше сканировать конкретные директории, которые вызывают подозрения или являются критичными (например, домашние директории пользователей, веб-директории).

7. Просмотр отчетов:

После завершения сканирования Maldet выдаст SCANID. Вы можете посмотреть отчет по этому ID:

sudo maldet --report

Например:

sudo maldet --report 230410-1523.18231

Также все лог-файлы сканирования находятся в /usr/local/maldetect/logs/.

Основные команды Maldet:

• maldet -a /path/to/scan - Просканировать указанный путь.

• maldet -r /path/to/scan 7 - Просканировать файлы, измененные за последние 7 дней в указанном пути.

• maldet -l или maldet --log - Показать последний лог сканирования.

• maldet --report - Показать список всех отчетов сканирования.

• maldet --report - Показать конкретный отчет.

• maldet -q - Поместить все найденные вредоносы из отчета SCANID в карантин.

• maldet -s - Восстановить все файлы из карантина для отчета SCANID.

• maldet -n - Очистить (обезвредить) все найденные вредоносы из отчета SCANID (если quarantine_clean включен).

• maldet -u или maldet -d - Обновить сигнатуры.

• maldet -p - Очистить логи, карантин и другие временные данные.

• maldet --monitor /home - Запустить мониторинг в реальном времени для /home (требует inotify-tools).

Maldet — мощный инструмент, но важно понимать его настройки и как он работает, чтобы избежать ложных срабатываний или случайного удаления важных файлов. Всегда проверяйте файлы, помещенные в карантин, перед окончательным удалением.

---

Беспокоитесь о безопасности вашего сайта или сервера? Мы проводим полный аудит безопасности, устраняем уязвимости, лечим вирусы на 1С-Битрикс и настраиваем надежную защиту. Свяжитесь с нами, чтобы защитить ваш бизнес.