Maldet – Linux Malware Detect em servidores CentOS

119 11 de novembro de 2023

O Linux Malware Detect (LMD), também conhecido como Maldet, é um scanner de malware robusto projetado especificamente para ambientes Linux, especialmente útil em hospedagens compartilhadas.

Lançado sob a licença GNU GPLv2, o LMD utiliza dados de ameaças coletados de sistemas de detecção de intrusão de rede para identificar e criar assinaturas de malware ativamente utilizados em ataques.

Essas assinaturas são baseadas em hashes MD5 e padrões HEX, que podem ser facilmente integradas a outras ferramentas de detecção, como o ClamAV. Além disso, o LMD também enriquece seu banco de dados de ameaças com informações provenientes de submissões de usuários e recursos da comunidade online dedicada ao estudo de malware.

Para instalar o Maldet em seu servidor dedicado ou VPS CentOS, siga as instruções detalhadas abaixo:

1 – Acesse seu servidor via SSH (e se mantenha logado como root).

2 – Execute os comandos abaixo:
(Mudança de diretório, Download, Descompactação, Instalação)

cd /usr/local/src
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar -zxvf maldetect-current.tar.gz
cd maldetect-*
./install.sh

3 – Configurações básicas:

nano /usr/local/maldetect/conf.maldet

Você verá algo parecido com:

# [ EMAIL ALERTS ]
##
# The default email alert toggle
# [0 = disabled, 1 = enabled]
email_alert=1

# The subject line for email alerts
email_subj=”maldet alert from $(hostname)”

# The destination addresses for email alerts
# [ values are comma (,) spaced ]
email_addr=”[email protected]

# Ignore e-mail alerts for reports in which all hits have been cleaned.
# This is ideal on very busy servers where cleaned hits can drown out
# other more actionable reports.
email_ignore_clean=0

##
# [ QUARANTINE OPTIONS ]
##
# The default quarantine action for malware hits
# [0 = alert only, 1 = move to quarantine & alert]
quar_hits=1

# Try to clean string based malware injections
# [NOTE: quar_hits=1 required]
# [0 = disabled, 1 = clean]
quar_clean=1

# The default suspend action for users wih hits
# Cpanel suspend or set shell /bin/false on non-Cpanel
# [NOTE: quar_hits=1 required]
# [0 = disabled, 1 = suspend account]
quar_susp=0
# minimum userid that can be suspended
quar_susp_minuid=500

Você poderá configurar os valores abaixo a fim de ajustar seu Maldet:

– email_alert : Marque 1 para receber alertas de detecções por email.
– email_subj : Esse é o assunto do email a ser enviado.
– email_addr : Aqui vai o seu endereço de email (que receberá os alertas)
– quar_hits : Insira o valor 1 para que os arquivos maliciosos sejam direcionados para a zona de quarentena.
– quar_clean : Quer que o Maldet tente fazer a limpeza do código por você? Insira o valor 1 neste campo.
– quar_susp : Quer suspender a conta de hospedagem que hospedar códigos maliciosos? Insira o valor 1 neste campo.

4 – Maldet configurado, agora dê uma olhada na CRON que sejá executada todos os dias:

/etc/cron.daily/maldet

Comandos básicos

1 – Verificar um diretório, exemplo: /home/meuusuario/public_html

maldet -a /home/meuusuario/public_html

2 – Examinar um report utilizando o ID:

maldet --report number-xxxx.xxxxx

3 – Mover para a quarentena os arquivos que foram identificados no report ID.

maldet -q SCAN ID
maldet –quarantine SCANID

4 – Limpar os resultados dos scans realizados anteriormente:

maldet -n SCAN ID
maldet --clean SCAN ID

5 – Restaurar algum arquivo diretamente da quarentena:

maldet -s FILENAME
maldet --restore FILENAME

Configurações avançadas

IGNORE_PATHS: Edite o arquivo abaixo se quiser remover algum diretório do scan realizado pelo Maldet

/usr/local/maldetect/ignore_paths

IGNORE_SIGS: Deseja ignorar alguma assinatura? Insira ela no arquivo abaixo

/usr/local/maldetect/ignore_sigs

Importante

Não se esqueça de ativar o plugin clamAV em seu servidor para que todas as verificações sejam completamente funcionais.