Jika anda menjalankan pelayan platfom linux atau menguruskan sebuah pelayan shared hosting linux anda akan dapati suasana kritikal biasa iaitu potensi dijangkiti malware dalam bentuk trojan, virus, rootkits, dan cecacing. Sementara menanti kemaskini terbaru keselamatan pelayan, anda perlu mencari panduan untuk menghalang dari serangan sebelum esok hari.
Linux Malware Detect (LMD) adalah salah satu penyelesaian masalah untuk mengesan malware pada Linux. Dalam panduan ini saya akan tunjukkan bagaimana untuk install dan tetapkan LMD bagi mencari malware pada sistem Linux anda.
Untuk install LMD pada linux, jalankan arahan dibawah:
$ wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
$ tar xvfvz maldetect-current.tar.gz
$ cd maldetect-1.4.2
$ sudo ./install.sh
Linux Malware Detect v1.4.1
(C) 2002-2011, R-fx Networks <[email protected]>
(C) 2011, Ryan MacDonald <[email protected]>
inotifywait (C) 2007, Rohan McGovern <[email protected]>
This program may be freely redistributed under the terms of the GNU GPL
installation completed to /usr/local/maldetect
config file: /usr/local/maldetect/conf.maldet
exec file: /usr/local/maldetect/maldet
exec link: /usr/local/sbin/maldet
exec link: /usr/local/sbin/lmd
cron.daily: /etc/cron.daily/maldet
maldet(6073): {sigup} performing signature update check...
maldet(6073): {sigup} local signature set is version 201205035915
maldet(6073): {sigup} new signature set (2013031328301) available
maldet(6073): {sigup} downloaded http://www.rfxn.com/downloads/md5.dat
maldet(6073): {sigup} downloaded http://www.rfxn.com/downloads/hex.dat
maldet(6073): {sigup} downloaded http://www.rfxn.com/downloads/rfxn.ndb
maldet(6073): {sigup} downloaded http://www.rfxn.com/downloads/rfxn.hdb
maldet(6073): {sigup} downloaded http://www.rfxn.com/downloads/maldet-clean.tgz
maldet(6073): {sigup} signature set update completed
maldet(6073): {sigup} 10849 signatures (8981 MD5 / 1868 HEX)
Selepas installation selesai, cron job harian ditambah pada /etc/cron.daily/maldet, untuk semakan versi terkini pada data LMD dan malware. Secara automatik akan kemaskini versi terkini.
Jalankan proses carian malware secara manual, jalankan maldet pada folder sasaran yang mahu dicari.
$ sudo maldet --scan-all /home
maldet(27752): {scan} signatures loaded: 10849 (8981 MD5 / 1868 HEX)
maldet(27752): {scan} building file list for /home, this might take awhile...
maldet(27752): {scan} file list completed, found 20586 files...
maldet(27752): {scan} 20586/20586 files scanned: 1 hits 0 cleaned
maldet(27752): {scan} scan completed on /home: files 20586, malware hits 1, cleaned hits 0
maldet(27752): {scan} scan report saved, to view run: maldet --report 032813-1606.27752
maldet(27752): {scan} quarantine is disabled! set quar_hits=1 in conf.maldet or to quarantine results run: maldet -q 032813-1606.27752
Selepas carian dibuat, anda boleh semak laporan carian malware dengan jalankan arahan dibawah dengan ID laporan:
$ sudo maldet --report 061913-0904.600973
Linux Malware Detect v1.4.2 (C) 2002-2013, R-fx Networks <[email protected]> (C) 2013, Ryan MacDonald <[email protected]> inotifywait (C) 2007, Rohan McGovern <[email protected]> This program may be freely redistributed under the terms of the GNU GPL v2 GNU nano 1.3.12 File: /usr/local/maldetect/sess/session.061913-0904.600973 malware detect scan report for name.urserver.net: SCAN ID: 061913-0904.600973 TIME: Jun 19 09:08:48 +0800 PATH: /home/nikhanz TOTAL FILES: 94318 TOTAL HITS: 0 TOTAL CLEANED: 0 =============================================== Linux Malware Detect v1.4.2 < [email protected] >
Untuk masukkan dalam bilik tahanan virus tadi, jalankan arahan dibawah termasuk ID laporan. File yang berjangkit akan dikurung dan dibersihkan:
$ sudo maldet -q 061913-0904.600973
Jika anda mahu aktifkan mengawasan pada direktori khusus untuk jangkitan malware, anda boleh jalankan maldet menggunakan daemon seperti dibawah.
$ sudo maldet -m /var,/home/xmodulo
Jika anda mahu ada pemberitahuan jika maldet mengesan malware melalui email, anda boleh ubahsuai tetapan maldet seperti dibawah.
$ sudo vi /usr/local/maldetect/conf.maldet
email_alert=1 email_subj="Malware detected by maldet" email_addr="[email protected]"