Linux Malware Detect
O Maldetect, ou mais precisamente Linux Malware Detect, é um script open-source lançado em outubro de 2009, inicialmente como um projeto interno do pessoal da R-fx Networks, mas que ganhou tamanho e hoje se tornou um dos scripts mais usados para detecção de malware em servidores web. Sem dúvida o Maldetect é um script que todo servidor web deveria ter.
Ele funciona da seguinte forma: periodicamente ele faz uma varredura no servidor e, caso ele encontre arquivos maliciosos, ele envia por e-mail um relatório informando a localização dos arquivos. Opcionalmente você poderá configurá-lo para mover os arquivos suspeitos para a quarentena.
A instalação dele é bastante simples, veja abaixo os comandos para você instalar ele em seu servidor. Estou tomando como base um servidor com o Linux CentOS e o cPanel.
cd ~ wget http://www.rfxn.com/downloads/maldetect-current.tar.gz tar -xzf maldetect-current.tar.gz cd maldetect-* sh install.sh
Pronto, o Maldetect já foi instalado no seu servidor. Agora vamos configurá-lo para que ele envie por e-mail as notificações quando ele encontrar malware no seu servidor. Vou utilizar o editor nano/pico.
nano /usr/local/maldetect/conf.maldet
Procure pela linha:
email_alert=0
E altere para:
email_alert=1
Procure pela linha:
email_addr="you@domain.com"
E altere para:
email_addr="seu@email.aqui"
Se você desejar que ele mova automaticamente para a quarentena os arquivos que ele suspeitar da existência de malware, encontre a linha:
quar_hits=0
E altere para:
quar_hits=1
Para sair do editor é só apertar CTRL+X, depois Y e ENTER.
Depois de configurado recomendo que você faça uma varredura no diretório public_html de todos os sites hospedados no seu servidor. Para isso você deverá digitar o seguinte comando:
maldet -a /home?/?/public_html
Quando você precisar fazer uma varredura em uma conta em especifico, digite o comando:
maldet -a /home?/USER/public_html
Não se esqueça de substituir USER pelo usuário do seu servidor que você quer verificar a existência de arquivos maliciosos.
Um detalhe importante é que o Linux Malware Detect inclui automaticamente uma tarefa na cron do seu servidor. Mas se você digitar o comando contrab -l não vai encontrá-la. Ele grava um arquivo diretamente no cron diário geral do servidor, que fica no diretório /etc/cron.daily. Digite o comando:
ls /etc/cron.daily
E você encontrará o arquivo maldet na listagem de arquivos. Todos os dias ele irá atualizar a sua base de dados e verificar a existência de arquivos maliciosos em seu servidor.
Lembrem-se: a segurança do seu servidor é de sua responsabilidade, então ajude-o a ficar seguro.
achei algumas pastas infectadas graças a este script!
Ótima dica, muito fácilde usar.
Valeu a pena instalar ele, encontrou alguns arquivos maliciosos.
Parabéns mais uma vez, devia ter conhecido seu site antes já passei por problemas com scripts de SPAN :S vlw!
Manter tudo configurado é o primeiro passo para a segurança, parabéns!