Magazine High tech

Installer et configurer Linux Malware Detection

Publié le 13 avril 2015 par Crocodanser

Voici un Anti-Malware Linux qui peut être utilisé en plus d’un antivirus. Celui-ci m’a permis de détecter et de supprimer des programmes malveillants qui n’étaient pas détectés par mon antivirus.

Dans cet article, je vais vous montrer comment l’installer et le configurer.

Pré-requis

ClamAV dans le cas où vous souhaitez utiliser le moteur de ClamAV pour effectuer l’analyse.

Installation

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

tar -xvf maldetect-current.tar.gz

cd maldetect-1.4.2/

./install.sh

Configuration

vi /usr/local/maldetect/conf.maldet

Ce fichier de configuration contient un grand nombre de variables. Voici quelques exemples :

  • Activer email_alert=1 : Permet d’activer les notifications par mails et ainsi recevoir un rapport d’analyse.
  • Set email_subj=”Mon Sujet” et email_addr=username@localhost permet de configurer le sujet et l’adresse email de destination.
  • Avec quar_hits, vous pouvez choisir ou non de mettre en quarantaine les fichiers infectés.(0 = alert only, 1 = move to quarantine & alert).
  • quar_clean permet de supprimer les parties de texte qui ont été inséré par un malware dans l’un de vos fichiers. exemple : Dans un fichier .php ( je ne sais pas encore si ça marche très bien… A voir)
  • quar_susp, Suspendre un compte Cpanel
  • clamav_scan=1 Permet d’utiliser le moteur de Clamav pour effectuer le scan. Nécessite ClamAV d’installé sur votre serveur. 

    Installation ClamAV

    Créer un fichier /etc/yum.repo.d/dag.repo et placez ce texte dans ce fichier :

    [dag]
    name=Dag RPM Repository for Red Hat Enterprise Linux
    baseurl=http://apt.sw.be/redhat/el$releasever/en/$basearch/dag/
    gpgcheck=1
    gpgkey=http://dag.wieers.com/packages/RPM-GPG-KEY.dag.txt
    enabled=1

    puis installez clamAV :

    yum install clamd

    La mise à jour de la base de signature se fait automatiquement une fois par jour grâce à ce cron : /etc/cron.daily/freshclam

    Utilisation

    mise à jour des signatures :

    maldet –u

    Vérifié que la version de maldet est à jour :

    maldet –d

    Démarrer l’analyse :

    maldet –scan-all /var/www/

    Planification :

    un cron est automatiquement mis en place. Il se trouve dans /etc/cron.daily/maldet.

    Ce cron permet de mettre à jour les signatures, vérifier la version du logiciel et de scanner les répertoires défini.

    Attention : Ces répertoires doivent être modifiés en fonction de vos besoins :

    exemple pour le scan de l’arborescence que /www :

    # scan the last 2 days of file changes

    if [ -d « /www » ]; then

    # Apache

    /usr/local/maldetect/maldet -a /www 2 >> /dev/null 2>&1

    fi

    Visualiser le rapport :

    Scan Linux Malware Detect in Linux

    Une fois l’analyse terminée, le programme vous indique la commande à taper pour visualiser le rapport :

    maldet –report 021015-1051.3559 ( faire attention au double –)

    Vous pouvez également lister tous les rapports avec cette commande :

    maldet –report list

    Traiter les virus détectés :

    maldet –clean SCANID

    exemple :

    maldet –clean 021015-1051.3559

    Placer tous les éléments détectés en quarantaine :

    maldet –q SCANID

    Restaurer la quarantaine :

    maldet –restore SCANID

    Visualiser les logs :

    maldet –l

    Documentation officiel :

    https://www.rfxn.com/appdocs/README.maldetect


Retour à La Une de Logo Paperblog

A propos de l’auteur


Crocodanser 15 partages Voir son profil
Voir son blog

l'auteur n'a pas encore renseigné son compte l'auteur n'a pas encore renseigné son compte l'auteur n'a pas encore renseigné son compte

Dossier Paperblog