Cómo instalar y configurar Linux Malware Detect (Maldet) en AlmaLinux 8

Linux Malware Detect (LMD), también conocido como Maldet, es un escáner de malware para Linux lanzado bajo la licencia GNU GPLv2. Maldet es bastante popular entre los administradores de sistemas y los desarrolladores de sitios web debido a su enfoque en la detección de puertas traseras de PHP, correos oscuros y muchos otros archivos maliciosos que se pueden cargar en un sitio web comprometido utilizando datos de amenazas de los sistemas de detección de intrusiones en el borde de la red para extraer el malware que es se utiliza activamente en ataques y genera firmas para su detección.

En el siguiente tutorial, aprenderá cómo instalar y usar Maldet en AlmaLinux 8.

Requisitos previos

  • SO recomendado: Alma Linux 8.
  • Cuenta de usuario: Una cuenta de usuario con privilegios de sudo or acceso root (comando su).

Actualización del sistema operativo

Actualice su AlmaLinux sistema operativo para asegurarse de que todos los paquetes existentes estén actualizados:

sudo dnf upgrade --refresh -y

El tutorial utilizará el comando sudo y asumiendo que tienes el estado de sudo.

Anuncio

Para verificar el estado de sudo en su cuenta:

Anuncio
sudo whoami

Salida de ejemplo que muestra el estado de sudo:

[joshua@localhost ~]$ sudo whoami
root

Para configurar una cuenta sudo nueva o existente, visite nuestro tutorial en Cómo agregar un usuario a Sudoers en AlmaLinux.

Para utilizar el cuenta root, use el siguiente comando con la contraseña de root para iniciar sesión.

su

Instalar Maldet

Para instalar Maldet, necesitará su archivo de paquetes, que se puede encontrar en la página oficial Página de descarga. Sin embargo, cuando se realizan actualizaciones, no cambian la URL del archivo, por lo que, afortunadamente, el enlace de descarga no cambiará con frecuencia.

Anuncio

En el momento de este tutorial, la versión (1.6.4) es el último; sin embargo, con el tiempo, esto cambiará. Para descargar la última versión ahora y en el futuro, escriba el siguiente comando:

cd /tmp/ && wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

En la siguiente parte, deberá extraer el archivo, lo que puede hacer con el siguiente comando:

Anuncio
tar xfz maldetect-current.tar.gz

Ahora que ha confirmado que el archivo se extrajo correctamente, (DISCOS COMPACTOS) en el directorio y ejecute el script de instalación para instalar Maldet con el siguiente comando:

cd maldetect-1.6.4 && sudo ./install.sh

La instalación debería completarse en cuestión de segundos y obtendrá un resultado similar al siguiente:

Configurar Maldet

Ahora que ha terminado con éxito el script de instalación, puede modificar el archivo de configuración usando su editor de texto preferido. A continuación se muestran algunos ejemplos de algunas configuraciones y prácticas populares que utilizan (nano) editor de texto:

Anuncio

Primero, abre el (conf.maldet) archivo:

sudo nano /usr/local/maldetect/conf.maldet

A continuación, busque las siguientes líneas y edítelas como se muestra a continuación:

# To enable the email notification.
email_alert="1"

# Specify the email address on which you want to receive an email notification.
email_addr="user@domain.com"

# Enable the LMD signature autoupdate.
autoupdate_signatures="1"

# Enable the automatic updates of the LMD installation.
autoupdate_version="1"

# Enable the daily automatic scanning.
cron_daily_scan="1"

# Allows non-root users to perform scans.
scan_user_access="1"
 
# Move hits to quarantine & alert
quarantine_hits="1"

# Clean string based malware injections.
quarantine_clean="0"

# Suspend user if malware found. 
quarantine_suspend_user="1"

# Minimum userid value that be suspended
quarantine_suspend_user_minuid="500"

# Enable Email Alerting
email_alert="1"

# Email Address in which you want to receive scan reports
email_addr="you@domain.com"

# Use with ClamAV
scan_clamscan="1"

# Enable scanning for root-owned files. Set 1 to disable.
scan_ignore_root="0"

Tenga en cuenta que todas las configuraciones aquí son opcionales y puede establecer las suyas propias, ya que aquí no hay respuestas correctas o incorrectas.

Anuncio

Actualizar las definiciones y el software del virus Maldet

En primer lugar, deberá asegurarse scan_user_access = ”1 ″ está activado en el archivo de configuración mencionado anteriormente para continuar.

Vea también  Cómo instalar MariaDB 10.6 en AlmaLinux 9

A continuación, ejecute el siguiente comando para crear las rutas correctas para el usuario que inició sesión; es posible que tenga problemas para actualizar sin hacer esto.

Anuncio
sudo /usr/local/sbin/maldet --mkpubpaths

Si no lo hace, obtendrá el siguiente error.

public scanning is enabled (scan_user_access=1) but paths do not exist, please contact your system administrator to run '/usr/local/sbin/maldet --mkpubpaths' or wait for cron.pub to execute in ~10 minutes.

Para actualizar la base de datos de definiciones de virus Maldet, ejecute el siguiente comando:

maldet -u

Ejemplo de salida:

En segundo lugar, para buscar versiones más recientes del software existente, escriba el siguiente comando:

Anuncio
maldet -d

Ejemplo de salida:

Anuncio

Opcional: instalar ClamAV

Una de las mejores partes del uso de Maldet es su compatibilidad con ClamAV, que puede aumentar mucho la capacidad de escaneo de Maldet.

Primero, instale el repositorio EPEL para instalar la última versión de ClamAV disponible junto con sus dependencias:

sudo dnf install epel-release

Para instalar ClamAV, puede hacerlo ejecutando el siguiente comando:

sudo dnf install clamav clamav-devel -y

Para obtener un tutorial completo sobre ClamAV con AlmaLinux 8, visite nuestro tutorial en Cómo instalar y usar ClamAV en AlmaLinux 8.

Escaneo con Maldet - Ejemplos

En primer lugar, debe familiarizarse con la sintaxis de Maldet. Todos los comandos comienzan con maldet y luego van seguidos de la opción y la ruta del directorio, por ejemplo, maldet [OPCIÓN] [RUTA DE DIRECTORIO].

Anuncio
Anuncio

A continuación se cubre la mayoría de los ejemplos de sintaxis con Maldet:

  • -B : Ejecuta operaciones en segundo plano.
  • -u: Actualice las firmas de detección de malware.
  • -l: Vea los eventos del archivo de registro de maldet.
  • -D : Actualice la versión instalada.
  • -un : Escanee todos los archivos en la ruta.
  • -pag : Borrar registros, sesión y datos temporales.
  • -q: Ponga en cuarentena todo el malware del informe.
  • -n: Limpie y restaure los accesos de malware del informe.

Para probar Maldet y asegurarse de que funciona correctamente, puede probar la funcionalidad de LMD descargando un (muestra de firma de virus) del sitio web de EICAR.

cd /tmp
wget http://www.eicar.org/download/eicar_com.zip
wget http://www.eicar.org/download/eicarcom2.zip

A continuación, ejecutará el (maldet) comando para escanear el (tmp) directorio de la siguiente manera:

maldet -a /tmp

Ahora, con nuestros archivos infectados, obtendrá un resultado similar al siguiente:

Como habrás notado, el tutorial está configurado para no poner en cuarentena automáticamente nuestra configuración, ya que a veces los falsos positivos y la eliminación de archivos en servidores activos pueden causar más problemas de los que resuelve. Un buen administrador de sistemas o propietario de servidor comprobará constantemente para comprobar los resultados y verificarlos.

Anuncio

Además, en el resultado, puede ver que en nuestro servidor de prueba, hemos instalado ClamAV y que Maldet está usando el motor de escáner ClamAV para realizar el escaneo y logró encontrar ataques de malware.

Anuncio

Algunos otros comandos que puede hacer es apuntar a las extensiones de archivo de su servidor; Los archivos PHP suelen ser el objetivo de muchos ataques. Para escanear archivos .php, use lo siguiente:

maldet -a /var/www/html/*.php

Esto es ideal para sitios web o servidores más grandes con muchos archivos para escanear, y los servidores más pequeños se beneficiarían de escanear todo el directorio.

Vea también  Cómo instalar MariaDB 10.6 en AlmaLinux 9

Informes de escaneo de Maldet

Maldet almacena los informes de escaneo en la ubicación del directorio (/ usr / local / maldetect / sess /). Puede utilizar el siguiente comando junto con el (ID de escaneo) para ver un informe detallado de la siguiente manera:

maldet --report 211018-2316.5816

Ejemplo:

Anuncio

A continuación, se le dirigirá a un informe emergente en un editor de texto. (nano) como el siguiente ejemplo:

Como puede ver, el informe completo de la lista de resultados y los detalles que rodean los archivos son para una mayor revisión e investigación.

Anuncio

El archivo ya está guardado (CTRL + X) para salir una vez que haya terminado de revisar.

Opcionalmente, si desea poner en cuarentena rápidamente los archivos infectados después del informe, ejecute el siguiente comando:

maldet -q "report number"

Ejemplo:

Anuncio
maldet -q 211018-2316.5816

Comentarios y Conclusión

En el siguiente tutorial, aprendió cómo instalar Maldet en AlmaLinux 8 y cómo usar los conceptos básicos en un servidor web para escanear archivos infectados. En general, el software es un medio eficaz para limpiar las infecciones y es bastante bueno en eso, sin embargo, proteger al usuario o sitio web comprometido sigue siendo necesario para evitar la reinfección y debe ser el primer punto antes de usar Maldet, ya que se trata de buenos protocolos de seguridad y configuración. casi siempre evitará que se produzcan infecciones en primer lugar.

Si desea saber más sobre los comandos de Maldet, visite el sitio oficial Página de documentación.


¿No es lo que estabas buscando? Intente buscar tutoriales adicionales.

2 pensamientos sobre "Cómo instalar y configurar Linux Malware Detect (Maldet) en AlmaLinux 8"

  1. El archivo maldetect-current.tar.gz que acabo de extraer tiene DOS AÑOS, por lo que realmente dudo que detecte algo que esté actualmente activo y que cause problemas ...

    Responder
    • Gracias por el mensaje.

      El programa tiene dos años es válido. Sin embargo, está utilizando AlmaLinux y la mayoría de los paquetes tienen más de dos años porque son estables, lo mismo que Rocky Linux y distribuciones similares. Entonces, usando AlmaLinux, para el cual es este tutorial, y luego preocupado por la antigüedad del paquete, no estoy seguro de dónde vienes, para no ser grosero.

      Todavía se usa ampliamente entre muchas personas en las distribuciones, dado que se puede poner más desarrollo en él, pero parecen estar felices donde está.

      Por último, verifique las definiciones ……

      ¡¡¡¡¡¡¡¡¡¡¡¡¡¡Actualizado a diario!!!!!!!!!!!!!! Saqué recién esta mañana.

      maldet (3197): {sigup} realizando la comprobación de actualización de firmas…
      maldet (3197): {sigup} el conjunto de firmas locales es la versión 202110162383422
      maldet (3197): {sigup} nuevo conjunto de firmas 202110193057414 disponible
      maldet (3197): {sigup} descargando https://cdn.rfxn.com/downloads/maldet-sigpack.tgz
      maldet (3197): {sigup} descargando https://cdn.rfxn.com/downloads/maldet-cleanv2.tgz
      maldet (3197): {sigup} md5sum verificado de maldet-sigpack.tgz
      maldet (3197): {sigup} descomprimió e instaló maldet-sigpack.tgz
      maldet (3197): {sigup} md5sum verificado de maldet-clean.tgz
      maldet (3197): {sigup} descomprimió e instaló maldet-clean.tgz
      maldet (3197): {sigup} actualización del conjunto de firmas completada
      maldet (3197): {sigup} 17258 firmas (14436 MD5 | 2039 HEX | 783 YARA | 0 USUARIO)

      Es por eso que la gente todavía lo usa. Por supuesto, existen algunas alternativas que pueden hacer el trabajo mejor, pero Maldet es una opción para escanear en busca de malware que aún tiene firmas actualizadas válidas y continuas que aparecen actualizadas una o dos veces al día.

      Responder

Deja un comentario