มัลแวร์บนเครื่องเซิฟเวอร์ด้วย LMD

LMD (Linux Malware Detect) เป็น Software ที่ถูกพัฒนาเพื่อหามัลแวร์บนเครื่อง Linux โดยเฉพาะซึ่งมีฟีเจอร์ที่ค่อนข้างคลอบคลุมทั้งการตรวจสอบมัลแวร์จาก signatures ที่มีการเข้ารหัส MD5 , HEX , Base64 , PHP Shell และ อื่นๆ

# cd /root
# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

# tar xfz maldetect-current.tar.gz
# cd maldetect-1.4.2
# chmod 775 install.sh
# sh install.sh

nano /usr/local/maldetect/conf.maldet

email_alert : หากให้มีการแจ้งเตื่อนไปที่ email ให้กำหนดเป็น 1
email_subj : หัวข้อ Email ที่ใช้สำหรับแจ้งเตื่อน
email_addr : ตั้งค่า Email ที่ใช้สำหรับแจ้งเตือน
quar_hits : หากตรวจพบมัลแวร์ กำหนด 0 คือให้แจ้งเตือนเฉยๆ กำหนด 1 เพือไม่กักกันไม่ให้มีการ execute ไฟล์ดังกล่าว
quar_clean : หากต้องการกำจัดมัลแวร์เลยให้กำหนดค่า 1
quar_susp : suspend Account ที่ตรวจสอบพบมัลแวร์ แนะนำค่า 0 นะครับเพราะอาจจะกระทบกับ service บางอย่างได้
quar_susp_minuid : ระยะเวลา suspend Account

# [ EMAIL ALERTS ]
##
# The default email alert toggle
# [0 = disabled, 1 = enabled]
email_alert=1
# The subject line for email alerts
email_subj=”maldet alert from $(hostname)”
# The destination addresses for email alerts
# [ values are comma (,) spaced ]
email_addr=”[email protected]”
# Ignore e-mail alerts for reports in which all hits have been cleaned.
# This is ideal on very busy servers where cleaned hits can drown out
# other more actionable reports.
email_ignore_clean=0
##
# [ QUARANTINE OPTIONS ]
##
# The default quarantine action for malware hits
# [0 = alert only, 1 = move to quarantine & alert]
quar_hits=1
# Try to clean string based malware injections
# [NOTE: quar_hits=1 required]
# [0 = disabled, 1 = clean]
quar_clean=1
# The default suspend action for users wih hits
# Cpanel suspend or set shell /bin/false on non-Cpanel
# [NOTE: quar_hits=1 required]
# [0 = disabled, 1 = suspend account]
quar_susp=0
# minimum userid that can be suspended
quar_susp_minuid=500

 

 

วิธีการใช้งาน maldet

# maldet –scan-all /home
# maldet –quarantine SCANID
OR
# maldet –clean SCANID

สามารถตั้งค่าให้ maldet ทำงานทุกๆเวลาที่เราต้องการได้โดยแก้ไขค่า config ที่ไฟล์ /etc/cron.daily/maldet