Linux Malware Detect

Nicht selten fragen Kunden nach einem massiven Spamversand nach einer Systemüberprüfung. Administratoren hilft das Tool Malware Detect um Dateien nach möglichem Schadcode zu durchsuchen.

Punkt 1: Download und Installation

Zuerst laden wir das Tar.gz File auf den Server/Rechner.
wget https://www.rfxn.com/downloads/maldetect-current.tar.gz

Entpacken das Archiv und installieren Malware Detect.

tar xf maldetect-current.tar.gz
cd maldetect-*
./install.sh

Die Installation legt ebenfalls einen Cronjob /etc/cron.daily/maldet an, der die Signaturen aktuell hält.

Punkt 2: Ordner scannen

Nun scannen wir zum Beispiel den Ordner /root nach Malware ab.

maldet -a /root/

Für größere Scan Operationen eignet sich der Background Modus.

maldet -b -a /var/www/vhosts/?/httpdocs

Bei längeren Überprüfungen ist es praktisch das Event Log zu verfolgen.

tail -f /usr/local/maldetect/event_log

Vergangene Reports lassen sich ebenfalls einsehen.

$ maldet -e list
Linux Malware Detect v1.4.2
            (C) 2002-2013, R-fx Networks <proj@r-fx.org>
            (C) 2013, Ryan MacDonald <ryan@r-fx.org>
inotifywait (C) 2007, Rohan McGovern <rohan@mcgovern.id.au>
This program may be freely redistributed under the terms of the GNU GPL v2

TIME: Jan  6 01:19:31 +0100 | SCAN ID: 010614-0119.2108
TIME: Jan  6 01:19:34 +0100 | SCAN ID: 010614-0119.3634
TIME: Jan  6 01:20:08 +0100 | SCAN ID: 010614-0119.4925
TIME: Jan  6 01:54:38 +0100 | SCAN ID: 010614-0153.19032

$ maldet -e 010614-0153.19032

Konfiguration inkl. E-Mail Benachrichtigung.

/usr/local/maldetect/conf.maldet

Viel Spaß, beim Suchen und hoffentlich Finden.

Dominion

Dominion

Linux Systemadministrator

2 Antworten

  1. Avatar data sagt:

    Gefährlicher Spaß mit HTTP ohne Checksumme, oder?

    Gruß,
    data

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.