Linux Malware Detect — антивирус для веб-серверов

Linux Malware Detect (LMD) — это сканер для Linux, предназначенный для поиска веб-шеллов, спам-ботов, троянов, злонамеренных скриптов и прочих типичных угроз характерных для веб-пространств и особенно актуален для виртуальных шаред-хостинг платформ. Главное отличие от прочих Linux-антивирусов — его веб направленность, сканирование файлов веб-сайтов, ведь обычные антивирусы ориентируются на более глобальные угрозы уровня системы.
Что умеет
- Поиск угроз по базе MD5 и распознавание типа угрозы (например, php.cmdshell.nan.296.HEX) по HEX-базе.
- Статистический анализ файлов на наличие обфусцированных зловредов и инъекций.
- Обнаружение установленного в системе ClamAV для использования его в качестве сканера.
- Ручное и автоматическое (по крону) обновление сигнатур.
- Ручное и автоматическое обновление версии самого скрипта.
- Возможность сканирования недавно добавленных/измененных файлов (например за последние 2 дня).
- Опция загрузки обнаруженных потенциальных угроз на официальный сайт для анализа.
- Система отчетов.
- Очистка файлов от вредоносных инъекций.
- Крон-заготовки для запуска регулярного сканирования юзерспейсов или других директорий.
- Наборы исключений по расширениям, сигнатурам и путям.
- Возможность отправки результатов сканирования на e-mail.
- Мониторинг в реальном времени созданных/модифицированных/измененных файлов при помощи inotify_watch: мониторинг выбранных пользователей, каталогов или файлов. … и прочее.
Как это работает
Сканирование происходит с использованием собственного скрипта на базе grep, а если в системе установлен ClamAV — то при помощи clamscan. Аналогично с сигнатурами: программа имеет свою базу сигнатур, если же в системе установлен ClamAV, то использует дополнительно и его базу.Установка
Качаем:wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
Распаковываем:tar -zxvf maldetect-current.tar.gz
Запускаем установку:sh ./install.sh
Во время установки вам будет предложено выбрать вашу панель и под нее будет произведена установка.

Типичные команды
Запускаем сканирование указанного каталога:# maldet -a /home/user1/exapmle.com
По окончанию получаем результат вида:maldet(24128): {scan} scan completed on example.com: files 4, malware hits 0, cleaned hits 0
maldet(24128): {scan} scan report saved, to view run: maldet --report 091713-1715.24128
Смотрим отчет: #maldet --report 091713-1715.24128
Принудительно обновляем базы с rfxn.com:#maldet -u
Принудительно обновляем версию с rfxn.com:#maldet -d
Сканируем все изменения за последние X дней файлы (в данном случае 2) в указанном каталоге#maldet -r /home/user1/ 2
Помещаем в карантин результаты сканирования SCANID (id из результатов сканирования)#maldet -q 091713-1715.24128
Пытаемся очистить результаты сканирования#maldet -n, --clean 091713-1715.24128
Похожие публикации
Обнаружен троян, превращающий Linux-машины в прокси
1 комментарий