▷ Cómo instalar y configurar Linux Malware Detect en CentOS 7 |

Linux Malware Detect (LMD) o simplemente Maldet es un escáner de malware gratuito para computadoras Linux lanzado bajo GNU GPLv2. Está especialmente diseñado para las amenazas en el entorno alojado compartido. LMD utiliza la inteligencia de amenazas del sistema de detección de intrusiones en el borde para utilizar el malware real en un ataque y genera una variedad de firmas para la detección.

Además de estas funciones, los datos de amenazas de LMD también se pueden extraer de los recursos de malware de los envíos de los usuarios mediante la función de pago en LMD. Se utilizan firmas como patrones HEX y hashes de archivos MD5. También se pueden extraer de una variedad de herramientas de detección, incluido ClamAV.

Antes de comenzar el proceso de instalación, este tutorial asume que tiene un conocimiento básico de SSH. Estas instrucciones son para usuarios que trabajan con servidores privados virtuales (VPS) o servidores dedicados.

Vamos a empezar.

Nota especial: algunos de los principales proveedores de hosting de Linux ofrecen VPS y planes de hosting dedicados que incluyen software de detección de malware y excelente compatibilidad con Linux.

Paso 1: actualice los paquetes

Primero, asegúrese de que los paquetes estén actualizados. Para hacer esto, ejecute el siguiente comando:

$ yum -y update

Paso 2: Instale Linux Malware Detect

Vaya a la página oficial de detección de malware de Linux y descargue el software en su servidor:

$ wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Abra el archivo de malware de Linux que ya descargó:

#tar xfz maldetect-current.tar.gz

Puede cambiar el directorio actual con el siguiente comando:

$ cd maldetect-*

Ahora ejecute el archivo para instalar el script:

./install.sh

Una vez que se completa el proceso de instalación, debería ver el siguiente resultado:

Created symlink from /etc/systemd/system/multi-user.target.wants/maldet.service to /usr/lib/systemd/system/maldet.service.
Linux Malware Detect v1.6
 (C) 2002-2017, R-fx Networks <proj@r-fx.org>
 (C) 2017, Ryan MacDonald <ryan@r-fx.org>
This program may be freely redistributed under the terms of the GNU GPL

installation completed to /usr/local/maldetect
config file: /usr/local/maldetect/conf.maldet
exec file: /usr/local/maldetect/maldet
exec link: /usr/local/sbin/maldet
exec link: /usr/local/sbin/lmd
cron.daily: /etc/cron.daily/maldet
maldet(1344): {sigup} performing signature update check...
maldet(1344): {sigup} local signature set is version 2017070716978
maldet(1344): {sigup} new signature set (2017080720059) available
maldet(1344): {sigup} downloading https://cdn.rfxn.com/downloads/maldet-sigpack.tgz
maldet(1344): {sigup} downloading https://cdn.rfxn.com/downloads/maldet-cleanv2.tgz
maldet(1344): {sigup} verified md5sum of maldet-sigpack.tgz
maldet(1344): {sigup} unpacked and installed maldet-sigpack.tgz
maldet(1344): {sigup} verified md5sum of maldet-clean.tgz
maldet(1344): {sigup} unpacked and installed maldet-clean.tgz
maldet(1344): {sigup} signature set update completed
maldet(1344): {sigup} 15215 signatures (12485 MD5 | 1951 HEX | 779 YARA | 0 USER)

Paso 3: configurar el LMD

El archivo de configuración de Linux Malware Detect es /usr/local/maldetect/conf.maldet y se puede cambiar de acuerdo con los siguientes requisitos:

$ vi /usr/local/maldetect/conf.maldet

El archivo predeterminado en su sistema debería verse así:

# Enable Email Alerting
email_alert="1"

# Email Address in which you want to receive scan reports
email_addr="igeek.web@gmail.com"

# Use with ClamAV
scan_clamscan="1"

# Enable scanning for root owned files. Set 1 to disable.
scan_ignore_root="0"

# Move threats to quarantine
quarantine_hits="1"

# Clean string based malware injections
quarantine_clean="1"

# Suspend user if malware found.
quarantine_suspend_user="1"

# Minimum userid value that be suspended
quarantine_suspend_user_minuid="500"

Ahora cambie la siguiente configuración:

email_alert = 1 – Si desea recibir notificaciones por correo electrónico

email_addr = “usuario@tudominio.tld” – Ingrese la dirección a la que desea recibir las notificaciones por correo electrónico de malware

quar_hits = 1 t para ataques de malware

quar_clean = 1 – Elimina las inyecciones de malware detectadas

Paso 4: Configure CronJob para escanear automáticamente

Durante el proceso de instalación, se instala un archivo de trabajo cron en /etc/cron.daily/maldet.

Estos archivos instalados por LMD son útiles para mantener la sesión actual, realizar actualizaciones diarias de los archivos de firmas y la temperatura, y mantener los datos de cuarentena durante no más de dos semanas o 14 días. Realiza un análisis diario de todos los archivos actuales del sistema.

Para asegurarse de que estos archivos sean compatibles con la estructura de su servidor y los del archivo cron, consulte el Panel de control y realice los cambios necesarios.

#!/bin/bash

# clear quarantine/session/tmp data every 14 days
/usr/sbin/tmpwatch 336 /usr/local/maldetect/tmp >> /dev/null 2>&1
/usr/sbin/tmpwatch 336 /usr/local/maldetect/sess >> /dev/null 2>&1
/usr/sbin/tmpwatch 336 /usr/local/maldetect/quarantine >> /dev/null 2>&1
/usr/sbin/tmpwatch 336 /usr/local/maldetect/pub/*/ >> /dev/null 2>&1

# check for new release version
/usr/local/maldetect/maldet -d >> /dev/null 2>&1

# check for new definition set
/usr/local/maldetect/maldet -u >> /dev/null 2>&1

# if were running inotify monitoring, send daily hit summary
if [ "$(ps -A --user root -o "comm" | grep inotifywait)" ]; then
        /usr/local/maldetect/maldet --alert-daily >> /dev/null 2>&1
else
        # scan the last 2 days of file changes
        if [ -d "/home/virtual" ] && [ -d "/usr/lib/opcenter" ]; then
                # ensim
                /usr/local/maldetect/maldet -b -r /home/virtual/?/fst/var/www/html 2 >> /dev/null 2>&1
                /usr/local/maldetect/maldet -b -r /home/virtual/?/fst/home/?/public_html 2 >> /dev/null 2>&1
        elif [ -d "/etc/psa" ] && [ -d "/var/lib/psa" ]; then
                # psa
                /usr/local/maldetect/maldet -b -r /var/www/vhosts/?/httpdocs 2 >> /dev/null 2>&1
                /usr/local/maldetect/maldet -b -r /var/www/vhosts/?/subdomains/?/httpdocs 2 >> /dev/null 2>&1
        elif [ -d "/usr/local/directadmin" ]; then
                # DirectAdmin
                /usr/local/maldetect/maldet -b -r /var/www/html/?/ 2 >> /dev/null 2>&1
                /usr/local/maldetect/maldet -b -r /home?/?/domains/?/public_html 2 >> /dev/null 2>&1
        else
                # cpanel, interworx and other standard home/user/public_html setups
                /usr/local/maldetect/maldet -b -r /home?/?/public_html 2 >> /dev/null 2>&1
        fi
fi

Abra el archivo de configuración de Maldet para habilitar las notificaciones por correo electrónico tan pronto como se detecte malware /usr/local/maldetect/conf.maldet e ingrese lo siguiente:

email_alert=1
email_subj="Maldet alert from $(hostname)"
email_addr="email@domain.com

Paso 5: escaneo manual

Ejecute el siguiente comando para escanear un directorio que desee utilizar:

$ maldet -a /path/to/directory

Ejecute el siguiente comando para asegurarse de que Maldet esté actualizado:

$ maldet -u

Puede ver los detalles de las opciones disponibles ejecutando el siguiente comando:

$ maldet - h

Linux Malware Detect (LMD) ahora se ha instalado correctamente.

Conclusión

Felicitaciones, LMD ahora está instalado en el sistema CentOS 7 y listo para usar. Siga estos pasos y realice los cambios necesarios para personalizar LMD según sus necesidades.