Linux Malware Detect — антивирус для веб-серверов

  • Linux
(adsbygoogle = window.adsbygoogle || []).push({});
Linux Malware Detect (LMD) — это сканер для Linux, предназначенный для поиска веб-шеллов, спам-ботов, троянов, злонамеренных скриптов и прочих типичных угроз характерных для веб-пространств и особенно актуален для виртуальных шаред-хостинг платформ. Главное отличие от прочих Linux-антивирусов — его веб направленность, сканирование файлов веб-сайтов, ведь обычные антивирусы ориентируются на более глобальные угрозы уровня системы.

Что умеет

  • Поиск угроз по базе MD5 и распознавание типа угрозы (например, php.cmdshell.nan.296.HEX) по HEX-базе.
  • Статистический анализ файлов на наличие обфусцированных зловредов и инъекций.
  • Обнаружение установленного в системе ClamAV для использования его в качестве сканера.
  • Ручное и автоматическое (по крону) обновление сигнатур.
  • Ручное и автоматическое обновление версии самого скрипта.
  • Возможность сканирования недавно добавленных/измененных файлов (например за последние 2 дня).
  • Опция загрузки обнаруженных потенциальных угроз на официальный сайт для анализа.
  • Система отчетов.
  • Очистка файлов от вредоносных инъекций.
  • Крон-заготовки для запуска регулярного сканирования юзерспейсов или других директорий.
  • Наборы исключений по расширениям, сигнатурам и путям.
  • Возможность отправки результатов сканирования на e-mail.
  • Мониторинг в реальном времени созданных/модифицированных/измененных файлов при помощи inotify_watch: мониторинг выбранных пользователей, каталогов или файлов.
  • … и прочее.

Как это работает
Сканирование происходит с использованием собственного скрипта на базе grep, а если в системе установлен ClamAV — то при помощи clamscan. Аналогично с сигнатурами: программа имеет свою базу сигнатур, если же в системе установлен ClamAV, то использует дополнительно и его базу.

Установка
Качаем:
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
Распаковываем:
tar -zxvf maldetect-current.tar.gz
Запускаем установку:
sh ./install.sh

Во время установки вам будет предложено выбрать вашу панель и под нее будет произведена установка.


Типичные команды
Запускаем сканирование указанного каталога:
# maldet -a /home/user1/exapmle.com
По окончанию получаем результат вида:
maldet(24128): {scan} scan completed on example.com: files 4, malware hits 0, cleaned hits 0
maldet(24128): {scan} scan report saved, to view run: maldet --report 091713-1715.24128
Смотрим отчет:
#maldet --report 091713-1715.24128
Принудительно обновляем базы с rfxn.com:
#maldet -u
Принудительно обновляем версию с rfxn.com:
#maldet -d
Сканируем все изменения за последние X дней файлы (в данном случае 2) в указанном каталоге
#maldet -r /home/user1/ 2
Помещаем в карантин результаты сканирования SCANID (id из результатов сканирования)
#maldet -q 091713-1715.24128
Пытаемся очистить результаты сканирования
#maldet -n, --clean 091713-1715.24128

Обнаружен троян, превращающий Linux-машины в прокси

(adsbygoogle = window.adsbygoogle || []).push({});
Новые угрозы для Linux-систем стали появляться заметно чаще, и обнаруженный экспертами компании «Доктор Веб» троян Linux.Proxy.10 – лишнее тому доказательство.
Специалисты пишут, что малварь была найдена в январе 2017 года и уже успела инфицировать несколько тысяч устройств. Как и следует из названия, присвоенного вредоносу, он предназначен для запуска на устройстве жертвы SOCKS5-прокси сервера, основанного на свободно распространяемых исходных кодах утилиты Satanic SOCKS Server. Злоумышленники используют этого трояна для обеспечения собственной анонимности в интернете.

Хакер: Обнаружен троян, превращающий Linux-машины в прокси

Для распространения малварь хакеры авторизуются на уязвимых узлах, используя SSH. При этом список узлов, а также логин и пароль к ним хранятся на сервере злоумышленников. Список имеет следующий вид: «IP-адрес:login:password». Исследователи отмечают, что пользователей с такими учетными данными как правило создают в системе другие Linux-трояны. То есть Linux.Proxy.10 проникает на устройства, либо имеющие стандартные настройки, либо уже инфицированные другой Linux-малварью. Через использование вышеупомянутого списка формируется сценарий, который выполняется на заражаемых устройствах при помощи утилиты sshpass. Так и происходит заражение Linux.Proxy.10.

Также помимо списков уязвимых узлов исследователи обнаружили на серверах злоумышленников панель управления Spy-Agent и сборку вредоносной программы для WINDOWS, относящейся к известному семейству шпионских троянов BackDoor.TeamViewer.

Хакер: Обнаружен троян, превращающий Linux-машины в прокси

Чтобы подключиться к прокси-серверу, запущенному при помощи Linux.Proxy.10, злоумышленникам достаточно знать только IP-адрес девайса и номер порта, который сохраняется в теле троянца при его компиляции.
Читать дальше