Detectar y eliminar malware con Linux Malware Detect (LMD)

 

Linux Malware Detect (LMD), también conocido como Maldet, es un escáner de malware para Linux liberado bajo la licencia GPLv2 de GNU. Es especialmente efectivo a la hora de detectar backdoors en php, darkmailers y muchos otros archivos maliciosos que se pueden cargar en un sitio infectado. Esto le ayudará a detectar sitios infectados y limpiar la infección, aunque proteger el usuario o el sitio comprometido es igualmente necesario para evitar una nueva infección.

Si el servidor tiene cPanel, le recomendamos primero instalar ClamAV, ya que maldet utilizará la herramienta de análisis de ClamAV.

Deberá haber iniciado sesión como root al servidor por SSH.

1 – Instale maldet

cd /usr/local/src/ && wget http://www.rfxn.com/downloads/maldetect-current.tar.gz && tar -xzvf maldetect-current.tar.gz && cd maldetect-* && sh install.sh

Esto hará que se instale automáticamente un cronjob dentro de /etc/cron.daily/maldet para que se realice un escaneado diario para cuentas locales de cPanel o Plesk.
2 – Asegúrese de actualizar la versión y las firmas de virus más recientes:

maldet -d && maldet -u

3 – Ejecute el primer análisis manualmente

Para analizar el directorio principal del usuario, ejecute el siguiente comando:

maldet -a /home/user

Para iniciar un análisis de segundo plano de todos los public_html y public_ftp de usuarios en todos los directorios principales, ejecute el siguiente comando:

maldet -b --scan-all /home?/?/public_?

(También le recomendamos escanear /tmp y /dev/shm/)

4 – Verifique el informe del análisis

Le recomendamos que siempre lea los informes de análisis antes de realizar una cuarentena. También podrá identificar sitios infectados para realizar otras acciones.

Enlistar el tiempo y SCANID de todos los informes de análisis:

maldet --report list

Mostrar los detalles de un informe específico:

maldet --report SCANID

5 – Limpiar los archivos maliciosos

La cuarentena se desactiva de forma predeterminada. Tendrá que iniciarla manualmente.

grep "{scan}" /usr/local/maldetect/event_log

5 – Clean the malicious files

By default the quarantine is disabled. You will have to launch it manually.

maldet -q SCANID

6 – (opcional) Malware detectado automáticamente por cuarentena

Revise estas variables de configuración en /usr/local/maldetect/conf.maldet
variable valor descripción
quar_hits número si el número es diferente de 0, permite cuarentena automática

7- (opcional) Configurar las alertas por correo de informes de análisis

Maldet puede enviarle una alerta por correo electrónico cada vez que detecta malware. Por favor revise estas variables de configuración en /usr/local/maldetect/conf. maldet
variable valor descripción
email_alert 1 o 0 Activar o desactivar alertas de correo electrónico
email_addr dirección de e-mail Correo electrónico de destino para las notificaciones. Debe ponerse entre comillas, como en: “misuario@midominio.com”

Más información disponible: /usr/local/maldetect/conf.maldet o https://www.rfxn.com/projects/linux-malware-detect/

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *