Detectar malware con Linux Malware Detect (LMD)

Expertise level: Medium

Nivel de expertise: Medio

Linux Malware Detect (LMD), también conocido como Maldet, es un escáner de malware para Linux liberado bajo la licencia GPLv2 de GNU. Es especialmente efectivo a la hora de detectar backdoors en php, darkmailers y muchos otros archivos maliciosos que se pueden cargar en un sitio infectado. Esto le ayudará a detectar sitios infectados y limpiar la infección, aunque proteger el usuario o el sitio comprometido es igualmente necesario para evitar una nueva infección.

Si el servidor tiene cPanel, le recomendamos primero instalar ClamAV, ya que maldet utilizará la herramienta de análisis de ClamAV. Las instrucciones de instalación de ClamAV se encuentran disponibles aquí.

Deberá haber iniciado sesión como root al servidor por SSH.

1 - Instale maldet

cd /usr/local/src/ && wget http://www.rfxn.com/downloads/maldetect-current.tar.gz && tar -xzvf maldetect-current.tar.gz && cd maldetect-* && sh install.sh

Esto hará que se instale automáticamente un cronjob dentro de /etc/cron.daily/maldet para que se realice un escaneado diario para cuentas locales de cPanel o Plesk.


2 - Asegúrese de actualizar la versión y las firmas de virus más recientes:

maldet -d && maldet -u

 

3 - Ejecute el primer análisis manualmente

Para analizar el directorio principal del usuario, ejecute el siguiente comando:

maldet -a /home/user

 

Para iniciar un análisis de segundo plano de todos los public_html y public_ftp de usuarios en todos los directorios principales, ejecute el siguiente comando:

maldet -b --scan-all /home?/?/public_?

 

(También le recomendamos escanear /tmp y /dev/shm/)

4 - Verifique el informe del análisis

Le recomendamos que siempre lea los informes de análisis antes de realizar una cuarentena. También podrá identificar sitios infectados para realizar otras acciones.

Enlistar el tiempo y SCANID de todos los informes de análisis:

maldet --report list


Mostrar los detalles de un informe específico:

maldet --report SCANID

 

5 - Limpiar los archivos maliciosos

La cuarentena se desactiva de forma predeterminada. Tendrá que iniciarla manualmente.

grep "{scan}" /usr/local/maldetect/event_log

 

5 - Clean the malicious files

By default the quarantine is disabled. You will have to launch it manually.

maldet -q SCANID

 

6 - (opcional) Malware detectado automáticamente por cuarentena

Revise estas variables de configuración en /usr/local/maldetect/conf.maldet
variable     valor    descripción
quar_hits  número    si el número es diferente de 0, permite cuarentena automática

7- (opcional) Configurar las alertas por correo de informes de análisis

Maldet puede enviarle una alerta por correo electrónico cada vez que detecta malware. Por favor revise estas variables de configuración en /usr/local/maldetect/conf. maldet
variable       valor     descripción
email_alert  1 o 0     Activar o desactivar alertas de correo electrónico
email_addr  dirección de e-mail  Correo electrónico de destino para las notificaciones. Debe ponerse entre comillas, como en: "misuario@midominio.com"

Más información disponible: /usr/local/maldetect/conf.maldet o https://www.rfxn.com/projects/linux-malware-detect/

¿Tiene más preguntas? Enviar una solicitud

0 Comentarios

El artículo está cerrado para comentarios.
Tecnología de Zendesk