Rechercher des maliciels à l’aide de Linux Malware Detect (LMD)

Linux Malware Detect (LMD), également connu sous le nom « Maldet », est un analyseur de maliciels conçu pour Linux et lancé sous la licence GNU GPLv2. Il est particulièrement efficace pour détecter les portes dérobées php, les générateurs de lots de courriels et plusieurs autres fichiers malveillants pouvant être chargés sur un site Web compromis. Ce logiciel vous permettra de repérer les sites Web infectés et de nettoyer l’infection. Toutefois, vous devrez tout de même sécuriser l’utilisateur ou le site Web compromis pour éviter une nouvelle infection.

Si le serveur est doté de cPanel, nous vous recommandons d’installer d’abord ClamAV, puisque Maldet utilisera son moteur d’analyse. Les instructions d’installation de ClamAV se trouvent ici.

Vous devrez être connecté en tant qu’utilisateur root au serveur par l’intermédiaire de SSH.

Étape 1 – Installez Maldet :

cd /usr/local/src/ && wget http://www.rfxn.com/downloads/maldetect-current.tar.gz && tar -xzvf maldetect-current.tar.gz && cd maldetect-* && sh install.sh

Cette action installera automatiquement une tâche « cronjob » dans /etc/cron.daily/maldet. Une analyse sera donc exécutée tous les jours afin de repérer des comptes locaux cPanel ou Plesk.

Étape 2 – Faites une mise à jour en passant aux dernières versions et signatures de virus :

maldet -d && maldet -u

Étape 3 – Exécutez manuellement la première analyse.

Pour analyser le répertoire personnel de l’utilisateur, exécutez la commande suivante :

maldet -a /home/user

Pour lancer une analyse en arrière-plan des dossiers public_html et public_ftp de tous les répertoires personnels de l’utilisateur, lancez la commande suivante :

maldet -b --scan-all /home?/?/public_?

(Nous vous recommandons également d’analyser les répertoires /tmp et /dev/shm/.)

Étape 4 – Vérifiez le rapport d’analyse.

Nous vous recommandons de toujours lire les rapports d’analyse avant d’effectuer une mise en quarantaine. Vous pouvez ainsi cerner les sites Web infectés en vue d’actions futures.

Pour faire afficher la liste des heures et des SCANID de tous les rapports d’analyse :

maldet --report list

Pour faire afficher les détails d’un rapport en particulier :

maldet --report SCANID

Pour faire afficher les détails de tous les rapports à partir du fichier journal :

grep "{scan}" /usr/local/maldetect/event_log

Étape 5 – Purgez les fichiers malveillants.

La mise en quarantaine est désactivée par défaut. Vous devez la lancer manuellement :

maldet -q SCANID

Étape 6 (facultative) – Faites placer automatiquement les maliciels détectés en quarantaine.

Veuillez examiner ces variables de configuration dans /usr/local/maldetect/conf.maldet :
Variable     Valeur     Description
quar_hits     chiffre    Si le chiffre n’est pas 0, la mise en quarantaine automatique est activée.

Étape 7 (facultative) – Configurez les alertes par courriel concernant les rapports d’analyse.

Maldet peut vous envoyer une alerte par courriel chaque fois qu’un maliciel est détecté. Veuillez examiner ces variables de configuration dans /usr/local/maldetect/conf.maldet :
Variable     Valeur     Description
email_alert     1 ou 0     active ou désactive les alertes par courriel
email_addr      adresse courriel      l’adresse courriel pour les avis doit être mise entre guillemets : "myuser@mydomain.com"

Pour plus de renseignements : /usr/local/maldetect/conf.maldet ou https://www.rfxn.com/projects/linux-malware-detect/

Vous avez d’autres questions ? Envoyer une demande

0 Commentaires

Cet article n'accepte pas de commentaires.
Réalisé par Zendesk