Saltar al contenido

Como instalar y configurar Maldet (Linux Malware Detect – LMD)

Maldet o Linux malware Detect es un escáner de virus para servidores Linux.

Para instalar LMD , descarga el paquete y ejecuta el script install.sh cerrado
Descarga paquete maldetect usando wget

Ve a la siguiente ruta
cd /usr/local/src/

Descarga el archivo tar mediante el siguiente enlace :
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Extrae el archivo con tar
tar -xzf maldetect-current.tar.gz

ve a la carpeta maldet
cd maldetect-*

Ejecuta el comando siguiente para instalar maldet .
sh ./install.sh o sudo sh ./install.sh

Te saldrá lo siguiente:
Linux malware Detect v1.3.4
“>( C ) 1999-2010 , Redes R- fx <proj@r-fx.org>
“>(C ) 2010 , Ryan MacDonald <ryan@r-fx.org>
“>inotifywait (C ) 2007 , Rohan McGovern <rohan@mcgovern.id.au>
Este programa puede ser redistribuido libremente bajo los términos de la GNU GPL

installation completed to /usr/local/maldetect
config file: /usr/local/maldetect/conf.maldet
exec file: /usr/local/maldetect/maldet
exec link: /usr/local/sbin/maldet
cron.daily: /etc/cron.daily/maldet

maldet(32517): {sigup} performing signature update check…
maldet(32517): {sigup} local signature set is version 2010051510029
maldet(32517): {sigup} latest signature set already installed

 

Paso 3 : Configuración de LMD

Por defecto, todas las opciones están totalmente comentados en el fichero de configuración , asi que puedes configurarlos según tus  necesidades. Pero antes de hacer cualquier cambio vamos a hacer un repaso de cada opción .

email_alert : Si quieres recibir alertas por email , ponlo en 1 .
email_subj : Pone tu asunto del correo electrónico aquí .
email_addr : Pon tu email para recibir alertas de malware.
quar_hits : La acción de cuarentena predeterminado para los golpes de malware , hay que ponerlo en 1 .
quar_clean : Servicio de limpieza de malware detectado inyecciones , ponlo en 1.
quar_susp : El valor predeterminado suspender las acciones de los usuarios con éxitos, configurarlo según tus necesidades .
quar_susp_minuid : Usuario mínimo que puede ser suspendido.

Abrir el archivo / usr / local / maldetect / conf.maldet y hacer cambios de acuerdo a tus necesidades
nano /usr/local/maldetect/conf.maldet

Para actualizar el maldet utilizar los siguientes comandos .
maldet -u or maldet -d

Para analizar los archivos . usuario perticular
maldet -a /home/username/

Se explorará todos los archivos y proporcionar la salida .

Para escanear todos los usuarios bajo / home * / esto se puede hacer con :
root@server[~]# maldet --scan-all /home?/?/public_html

root@server[~]-maldet --scan-all /home

Para escanear la misma ruta , con el contenido que se ha creado / modificado en los últimos 5 días :
root@server[~]# maldet --scan-recent /home?/?/public_html 5

Para escanear si se te olvidó activar la opción de cuarentena , podría poner en cuarentena todos los resultados de malware de una exploración anterior con :
root@server[~]# maldet --quarantine SCANID

Para limpiar todos los resultados de malware de una exploración anterior que no tenía la función activada:
root@server[~]# maldet --clean SCANID

Si un archivo fue puesta en cuarentena por un falso positivo o que simplemente quieres restaurar (es decir : que limpió manualmente ):
root@server[~]# maldet --restore archivo
root@server[~]# maldet --restore /usr/local/maldetect/quarantine/archivo

 

comprobar que se han movido a cuarentena:
ls -la /usr/local/maldetect/quarantine/

 

revisar ficheros:
maldet --report 022614-1254.21255


FUENTE:
http://www.servernoobs.com/how-to-install-and-configure-maldet-linux-malware-detect-lmd/
http://helloit.es/2014/02/maldet-linux-malware-detect/