Linux Malware Detect که به Maldet شناخته گردیده است یک اسکنر و انتیویروس حرفه ای برای سیستم عامل های لینوکسی میباشد.Maldet تحت گواهینامه GNU GPLv2 توزیع یافته است و برای شناسایی و پاک سازی سرور از ویروس هایی از قبیلphp backdoors، darkmailers و … میتواند موثر باشد.Maldet به شما کمک میکند که هاست هایی را که بر روی سرور ویروسی هستند را به سرعت شناسایی کنید .
Maldet برای سرور هایی که بر روی انها هاست اشتراکی توزیع میگردد بسیار مناسب است برای مثال در صورتی که بر روی سرور خود از کنترل پنلی مانند سی پنل/whm استفاده مینمایید پیشنهاد ما نصب اسکنر ClamAV و Maldet در کنار هم میباشد زیرا در این صورت Maldet از engine یا موتور ClamAV برای اسکن دایرکتوری ها استفاده مینماید و با توجه به اینکه ClamAV اسکنرو انتیویروس پیش فرض خود سی پنل میباشد در نتیجه کارایی بالاتر خواهد رفت.
پس ترتیب پیش از شروع نصب LMD ، اسکنر ClamAV را از طریق WHM نصب نمایید سپس مراحل زیر ار برای نصب ملدت انجام دهید.برای اموزش نصب ClamAV کلیک کنید.
نصب Maldet بر روی RHEL، CentOS 7.0/6.x و Fedora 21-12 :
ابتدا فایل Zip را دانلود و از حالت فشرده خارج میکنیم :
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar -zxvf maldetect-current.tar.gz
سپس به دایرکتوری زیر مراجه کنید :
cd maldetect-1.6.4
Maldet را نصب نمایید :
./install.sh
خروجی ساده :
Linux Malware Detect v1.6.4 (C) 2002-2011, R-fx Networks (C) 2011, Ryan MacDonald inotifywait (C) 2007, Rohan McGovern This program may be freely redistributed under the terms of the GNU GPL installation completed to /usr/local/maldetect config file: /usr/local/maldetect/conf.maldet exec file: /usr/local/maldetect/maldet exec link: /usr/local/sbin/maldet exec link: /usr/local/sbin/lmd cron.daily: /etc/cron.daily/maldet maldet(6073): {sigup} performing signature update check... maldet(6073): {sigup} local signature set is version 2013102428301 maldet(6073): {sigup} new signature set (2013102428301) available maldet(6073): {sigup} downloaded http://www.rfxn.com/downloads/md5.dat maldet(6073): {sigup} downloaded http://www.rfxn.com/downloads/hex.dat maldet(6073): {sigup} downloaded http://www.rfxn.com/downloads/rfxn.ndb maldet(6073): {sigup} downloaded http://www.rfxn.com/downloads/rfxn.hdb maldet(6073): {sigup} downloaded http://www.rfxn.com/downloads/maldet-clean.tgz maldet(6073): {sigup} signature set update completed maldet(6073): {sigup} 10849 signatures (8981 MD5 / 1868 HEX)
اپدیت LMD
مطمئن شوید که اخرین نسخه LMD را نصب نموده اید :
maldet -d && maldet -u
یا
maldet --update-ver
کانفیگ Linux Malware Detect
برای مشاهده و تغییر تنظیمات Maldet ادرس زیر را وارد نمایید :
vi /usr/local/maldetect/conf.maldet
در این فایل نحوه کار اسکنر را میتوانید تغییر داده و به دلخواه خود ان را تنظیم نمایید . از میان تمامی کانفیگ ها ما ۷ مورد زیر ار به شما پیشنهاد میکنیم که انرا تغییر دهید :
- email_alert : در صورتی که میخواهید در هنگام یافتن ویروس به شما هشدار داده شود این مورد را برابر با ۱ قرار دهید.
- email_subj : موضوع ایمیل ارسالی را وارد نمایید
- email_addr : ایمیل خود را وارد نمایید
- quar_hits : این مورد را برابر با ۱ قرار دهید تا ملدت با یافتن ویروس ان را به جای دیگری انتقال دهد.
- quar_clean : برای پاک کردن خودکار ویروس ها این مورد را برابر ۱ قرار دهید.
- quar_susp : برای ساسپند خودکار اکانت های ویروسی این مورد را برابر ۱ قرار دهید.
- clamav_scan : این مورد را نیز برابر ۱قرار دهید تا سرعت اسکن فایل ها با استفاده از موتور clamav افزایش یابد.
کانفیگ Cronjob
در هنگام نصب اسکریپت Cronjob در ادرس زیر ایجاد میشود:
vi /etc/cron.daily/maldet
Cronjob به صورت روزانه و خودکار برای شما اسکن سرور را انجام میدهد و گزارش ها و اطلاعات را تا ۱۴ روز ذخیره میکند. در صورت تمایل از طریق ادرس بالا میتوانید تغییرات دلخواه را اعمال نمایید .
نحوه استفاده و اسکن سرور
برای اسکن کل سرور و public_html و public_ftp کاربر ها از کامند زیر استفاده نمایید :
maldet -b --scan-all /home?/?/public_?
به دلیل اینکه این کار به طول می انجامد از کامند b- برای اجرا در پس زمینه استفاده گردیده است. برای اسکن اکانت یک کاربر میتوانید از کامند زیر استفاده نمایید :
maldet -a /home/user
در صورتی که تنظیمات پاک کردن خودکار را در conf.maldet انجام نداده اید با استفاده از کامند زیر میتوانید ویروس ها را پاک نمایید :
maldet -n SCAN ID
maldet --clean SCAN ID
برای بازگردانی فایلی که بلاک یا قرنطینه گردیده است از کد زیر استفاده نمایید :
maldet -s FILENAME
maldet --restore FILENAME
گزارش ها و لاگ های اسکن برای یافتن SCAN ID ها از کامند زیر استفاده نماییید تا گزارش های ایجاد شده برای شما نمایش داده شود :
maldet --report list
برای مشاهده گزارش یک اسکن خاص از کامند زیر بهره گیرید :
maldet --report SCANID
برای نمایش لاگ های تمامی اسکن ها از کامند زیر استفاده نمایید :
grep "{scan}" /usr/local/maldetect/event_log
توجه داشته باشد که ویروس ها به صورت خودکار به ادرس زیر انتقال داده میشوند .با وارد شدن به ان دایرکتوری و گرفتن ls میتوانید فایل ها را مشاهده نمایید :
cd /usr/local/maldetect/quarantine ls