آنتی شل Maldet یک ابزار رایگان و بسیار قدرتمند جهت شناسایی شل ها است ، شل در واقع همان اسکریپت های خطرناکی هستند که در صورت آپلود شدن روی هاست شما ممکن است دسترسی غیر مجازی را برای هکر به همراه داشته باشد . یکی از مهم ترین مشکلات هاست های اشتراکی و هاستینگ ها مقابله با شل ها و نفوذ هکر ها است و Maldet می تواند با جلوگیری از اجرا شدن و قرنطینه فایل شل امنیت شما را تامین کند . پروژه Maldet توسط تیم rfxn.com پشتیبانی می شود.
جهت نصب آنتی شل Maldet با دسترسی روت وارد SSH سرور خود شوید و دستورات زیر را به ترتیب وارد کنید :
cd /usr/local/src/ wget http://www.rfxn.com/downloads/maldetect-current.tar.gz tar zxvf maldetect-current.tar.gz cd maldetect-1.4.1/ ./install.sh
به این ترتیب شل اسکنر Maldet بر روی سرور شما نصب شد.
اکنون برای ویرایش فایل کانفیگ نرم افزار باید به ادرس زیر برید :
/usr/local/maldetect/conf.maldet
برای اسکن کل سرور :
maldet -a /
برای اسکن دایرکتوری ها از :
maldet --scan-all /home?/?/public_html
یا برای اسکن دایرکتوری هایی که در ۵ روز گذشته فقط تغییر داشتن از :
maldet --scan-recent /home?/?/public_html 5
برای فعال سازی مونیتورینگ و اسکن real time کل سرور از :
maldet --monitor users
برای فعال سازی مونیتورینگ و اسکن real time در دایرکتوری خاص از :
maldet --monitor /root/monitor_paths
جهت مشاهده گزارش real time :
cat /usr/local/maldetect/logs/inotify_log
مشاهده گزارش اسکن ها :
maldet --report or cd /usr/local/maldetect/quarantine/
جهت آپدیت نرم افزار :
maldet --update-ver
تنظیم اسکن به طور منظم : در هنگام نصب LMD آن از قبل ایجاد شده و فایل crontab به صورت روزانه اجرا میشود.
nano /etc/cron.daily/maldet
اما اگر سیستم شما دارای تعداد زیادی از فایلها و دایرکتوری هاست اسکن را به صورت هفتگی به جای روزانه تغییر دهید.
اپدیت LMD
مطمئن شوید که اخرین نسخه LMD را نصب نموده اید :
maldet -d && maldet -u
یا
maldet --update-ver
کانفیگ Linux Malware Detect
برای مشاهده و تغییر تنظیمات Maldet ادرس زیر را وارد نمایید :
vi /usr/local/maldetect/conf.maldet
در این فایل نحوه کار اسکنر را میتوانید تغییر داده و به دلخواه خود ان را تنظیم نمایید . از میان تمامی کانفیگ ها ما ۷ مورد زیر ار به شما پیشنهاد میکنیم که انرا تغییر دهید :
- email_alert : در صورتی که میخواهید در هنگام یافتن ویروس به شما هشدار داده شود این مورد را برابر با ۱ قرار دهید.
- email_subj : موضوع ایمیل ارسالی را وارد نمایید
- email_addr : ایمیل خود را وارد نمایید
- quar_hits : این مورد را برابر با ۱ قرار دهید تا ملدت با یافتن ویروس ان را به جای دیگری انتقال دهد.
- quar_clean : برای پاک کردن خودکار ویروس ها این مورد را برابر ۱ قرار دهید.
- quar_susp : برای ساسپند خودکار اکانت های ویروسی این مورد را برابر ۱ قرار دهید.
- clamav_scan : این مورد را نیز برابر ۱قرار دهید تا سرعت اسکن فایل ها با استفاده از موتور clamav افزایش یابد.
کانفیگ Cronjob
در هنگام نصب اسکریپت Cronjob در ادرس زیر ایجاد میشود:
vi /etc/cron.daily/maldet
Cronjob به صورت روزانه و خودکار برای شما اسکن سرور را انجام میدهد و گزارش ها و اطلاعات را تا ۱۴ روز ذخیره میکند. در صورت تمایل از طریق ادرس بالا میتوانید تغییرات دلخواه را اعمال نمایید .
نحوه استفاده و اسکن سرور
برای اسکن کل سرور و public_html و public_ftp کاربر ها از کامند زیر استفاده نمایید :
maldet -b --scan-all /home?/?/public_?
به دلیل اینکه این کار به طول می انجامد از کامند b- برای اجرا در پس زمینه استفاده گردیده است. برای اسکن اکانت یک کاربر میتوانید از کامند زیر استفاده نمایید :
maldet -a /home/user
در صورتی که تنظیمات پاک کردن خودکار را در conf.maldet انجام نداده اید با استفاده از کامند زیر میتوانید ویروس ها را پاک نمایید :
maldet -n SCAN ID
maldet --clean SCAN ID
برای بازگردانی فایلی که بلاک یا قرنطینه گردیده است از کد زیر استفاده نمایید :
maldet -s FILENAME
maldet --restore FILENAME
گزارش ها و لاگ های اسکن برای یافتن SCAN ID ها از کامند زیر استفاده نماییید تا گزارش های ایجاد شده برای شما نمایش داده شود :
maldet --report list
برای مشاهده گزارش یک اسکن خاص از کامند زیر بهره گیرید :
maldet --report SCANID
برای نمایش لاگ های تمامی اسکن ها از کامند زیر استفاده نمایید :
grep "{scan}" /usr/local/maldetect/event_log
توجه داشته باشد که ویروس ها به صورت خودکار به ادرس زیر انتقال داده میشوند .با وارد شدن به ان دایرکتوری و گرفتن ls میتوانید فایل ها را مشاهده نمایید :
cd /usr/local/maldetect/quarantine ls
