Configurar el escáner malware LMD Maldet y Clamav en una instancia de RunCloud

Cómo configurar un escáner de malware con LMD Maldet y clamav en una instancia de servidor RunCloud. Uno de los escáneres de malware más populares y de código abierto es una aplicación llamada Linux Malware Detect y funciona bien en escanear cualquier servidor de Linux, manteniendo una base de datos diaria actualizada con las operaciones de malware desde un registro actualizado. El instrumento de detección de malware Linux también se puede integrar con AV Scanner Clam, que puede acelerar el escaneo de archivos. Cómo instalar el malware de Linux detectar SSH en su servidor como usuario root y CD /root
Wget http://www.rfxn.com/downloads/maldetect-current.gz extra- tar -xvf maldetect-current.gz Elimina rm maldetect-current.tar.gz Move y ejecuta el programa de instalación del programa CD MalDetect-1.6. 4 /./ Install.Sh … esto descargará las últimas bases de datos de registro hash, la instalación agrega maldetect a/usr/local/…. Ahora para configurar la configuración de Malware Linux Detect Using Nano … Nano /usr/local/maldetect/conf.maldet Configure alertas de correo electrónico # [Alertas de correo electrónico] ## # conmutación de alerta predeterminada por correo electrónico
# [0 = deshabilitado, 1 = activado] Email_alert = 0
# Línea de asunto para correo electrónico
Alertas Email_Subj = “Maldet Alert desde $ (Nombre de host)”
# Direcciones de destino para alertas por correo electrónico
# [Los valores se espacian con una coma (,)] correo electrónico_addr = “[correo electrónico protegido]”
Para la alerta de correo electrónico, cambie el interruptor de correo electrónico_alert a 1, ajuste el asunto email_subj Si lo desea, agregue su correo electrónico email_addr.
Para las alertas de correo electrónico al trabajo, necesitará la aplicación Postfix en el servidor configurado para enviar. Los escaneos de malware manuales en las aplicaciones web de RunCloud pueden ejecutar un escaneo manual de una cuenta de usuario en una aplicación web en particular o en todas las aplicaciones web: Maldet -a/home/runcloud/webapps//o todas las aplicaciones web que pertenecen al mismo usuario , usando un comodín -?: Maldet -a/home/runcloud/webapps/?/o en todos los usuarios y aplicaciones web que usan múltiples caracteres de metal Maldet -a/home/?/webapps/?/Programa de escaneos diarios automáticos cuando se instalan , LMD (Linux Malware Detect) agrega un trabajo de Chron en la carpeta diaria: /etc/cron.daily/maldet Este trabajo Cron actualizará el registro de malware que se ha descargado originalmente, incluido cualquier nuevo malware y también, escaneará todos los actualizados y actualizados y actualizados. Archivos modificados de los directores de inicio en el servidor. Si se encuentra algo, recibirá un correo electrónico al respecto que le dirá el camino al archivo ofensivo. El Chron tiene una serie de formas de raíz web para paneles de control populares, pero RunCloud no coincide con una de las rutas existentes, por lo que debe agregarlo en el script de archivo de Chron, abrir el archivo Chron Nano /etc/clony.daily/maldet Find la declaración de la otra. A continuación y agregue el WebRoot/Home/?/WebApps/?/In…
de lo contrario
# CPANEL, InterWorx y otras configuraciones estándar de inicio/usuario/public_html
$ Inspath/maldet -b -r/home?/?/Public_html/,/lime/www/html/,/usr/local/apache/htdocs/,/home/?/Webapps/?/$ Scan_days >>/devap /nulo 2> y 1
ser
Si prefiere ejecutar el escaneo Maldido semanal, mueva el maldet chron.weekly: mv /etc/cron.daily/maldet/etc/cron.weekly/ frente a malware una vez (si) recibe un archivo plegado, puede acceder a su servidor web y abra el archivo y limpie el malware. Luego, pase a la forma en que ingresó primero: la corrección del software, la actualización de las contraseñas, etc. Puede optar por LMD para poner en cuarentena cualquier archivo que encuentre: esto se hace en el archivo de configuración conf. Maldet desde el correo electrónico Sección de alerta: # [Opciones de cuarentena] ## # Acción de cuarentena predeterminada para acceso a malware
# [0 = solo alerta, 1 = pasar a cuarentena y alerta] quar_hits = 0
# Intenta limpiar las inyecciones basadas en malware basadas en cadenas
# [Nota: quar_hits = 1 requerido] # [0 = deshabilitado, 1 = limpio] quar_clean = 1
El valor predeterminado es solo para alertar, pero puede optar por eliminar el archivo del sistema de archivo y pedirle a LMD que intente y elimine el malware, entonces solo tiene que inspeccionar y restaurar el archivo.
MALDET LOG Puede verificar toda la actividad de Maldet con el comando de revista que le mostrará el último escaneo y actualizaciones, ejecutarla … Maldet-IL Para un informe de escaneo, puede enviarla por correo electrónico, parece … {{ escanear} informe de escaneo de salvación, para ver la ejecución: Maldet-Report 200618-0628.16433 Enviar por correo electrónico … MalDet-Report 200618-0628.16436 [Correo electrónico Protegido] Opciones adicionales Verifique el uso posterior con: Maldet -A-Help o Oficial Documentación Agregar clamav Puede usar clamav como motor de escaneo, que acelera en gran medida el proceso de escaneo (casi el doble), pero consumirá recursos de CPU y memoria mientras se ejecutan, pero esto se reduce durante los días, ya que menos archivos se escanean si no se cambian. Le recomiendo que no lo use en un servidor ocupado con menos de 2 GB de RAM, cada caso puede ser diferente, puede probar en cualquier momento para ver los resultados con un orden superior Qué y si tiene demasiados recursos, puede eliminarlo. Clamav instala un binario y un demonio, porque LMD usa el binar de clamscan, pero no el demonio que puedes eliminar. Configuración del clam apt-get Instale CRLAMAV-DAMon esto instalará clamav y lo pondrá aquí …/usr/bin/clamscan arriba es el lugar donde LMD buscará clamscan y lo usará al escanear el sistema de archivos
Si el rendimiento aún se ve afectado en el servidor (como se sugiere en los comentarios), puede intentar eliminar el demonio de clamav, que se usa más para el escaneo instantáneo por correo electrónico y cobra muchas firmas de registro de malware. Eliminar clamscan demonio systemctl desactive clamav-daemon.servicesystemctl detener clamav-daemon.service test malware Puede probar si LMD funciona correctamente y que se envían por correo electrónico para acceder a archivos con algunos archivos de prueba de malware que no son malware, pero que son de malware, pero que son aparecerá en un escaneo, descargará y usará los archivos a continuación para probar en un directorio que escanea:

Wget http://www.eicar.org/download/eicar.com
Wget http://www.eicar.org/download/eicar.com.txt
Wget http://www.eicar.org/download/eicar_com.zip
Wget http://www.eicar.org/download/eicarcom2.zip El uso de LMD como aplicación de monitoreo LMD también permite una aplicación de monitoreo de demonios que puede ver archivos de tiempo real para cambios y cambios de ubicación. Debe establecer directores de usuarios en inicio, formas o archivos como fuente monitoreada. Debe instalar una aplicación adicional llamada inotify herramientas, en Ubuntu, el comando es: apt install innotify-tools si luego decide eliminar el uso:
Apt-get eliminar-auto-remove-tools intotify, generalmente no utilizo el modo de monitoreo, pero si desea obtener más información al respecto, verifique los enlaces de referencia a continuación, más los archivos de documentos de maldete habituales y conf. Desinstalar LMD y clamav a Elimine completamente LMD y la almeja AV si desea eliminar estas aplicaciones … para eliminar clamav apt -get elimina clamav para eliminar maldet lmd – enrolle el script desinstalado … /usr/maldetect/uninstall.sh más información sobre LMD referenceHtps: //www.theurbanpenguin.com/linux-malware-detection-with-maldet/
https://www.woktron.com/secure/knowledgebase/145/installation-linux-malware-detect-maldet-on-centos.html