Sécurité – Antimalware sous Linux : Linux Malware Detect (LMD)
Bonjour les admins Linux.
Vous avez peut-être été confrontés à des Emails qui sont émis à votre insu depuis votre serveur.
Dans la plupart des cas il s’agit de scripts PHP qui ont été injectés par des rats du web.
Ces scripts sont à ranger dans la catégorie des « Malwares ».
Il existe un logiciel Open Source ( oui, c’est ça, gratuit! ) qui peut vous en débarrasser d’une bonne partie.
Je pense à « Linux Malware Detect (LMD) ».
Installation de maldet
Téléchargement du logiciel
# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
Décompression
# tar -zxvf maldetect-current.tar.gz
Se déplacer dans le dossier d’installation
(Le nom du dosier peut varier selon la version téléchargée..)
# cd maldetect-1.5
Lancement de l’installation
# ./install.sh
Rapports par Email
Si un malware est trouvé, vous trouverez dans vos Emails le matin un message comme celui-ci:
De: root <root@example.com>
A: vous@example.com
CC:
Objet: maldet alert from server01
malware detect scan report for server01:
SCAN ID: 090215-0200.18141
TIME: sept. 2 04:41:50 +0200
PATH: /var/www
TOTAL FILES: 40341
TOTAL HITS: 1
TOTAL CLEANED: 0
FILE HIT LIST:
{HEX}php.base64.v23au.184 : /var/www/exemple/wp-content/plugins/wysija-newsletters/add-ons/search18.php => /usr/local/maldetect/quarantine/search18.php.9480
===============================================
Linux Malware Detect v1.4.2 < proj@rfxn.com >
Qu’est-ce qu’il veut nous dire ?
Dans cet exemple, LMD nous dit qu’il a trouvé un vilain script nommé « search18.php » planqué dans un sous-dossier de l’extension « Wisija Newsletter » de WordPress.
Et il l’a mis en quarantaire dans le dossier /usr/local/maldetect/quarantine/
Lancer une analyse manuellement
Exemple: Analyse d’un dossier « /home/fanfan » :
root@srvrul-1:~/maldet/maldetect-1.6.2# maldet -a /home/fanfan/
Linux Malware Detect v1.6.2
(C) 2002-2017, R-fx Networks <proj@rfxn.com>
(C) 2017, Ryan MacDonald <ryan@rfxn.com>
This program may be freely redistributed under the terms of the GNU GPL v2
maldet(18135): {scan} signatures loaded: 15218 (12485 MD5 | 1954 HEX | 779 YARA | 0 USER)
maldet(18135): {scan} building file list for /home/fanfan/, this might take awhile...
maldet(18135): {scan} setting nice scheduler priorities for all operations: cpunice 19 , ionice 6
maldet(18135): {scan} file list completed in 0s, found 192 files...
maldet(18135): {scan} scan of /home/fanfan/ (192 files) in progress...
maldet(18135): {scan} 192/192 files scanned: 0 hits 0 cleaned
maldet(18135): {scan} scan completed on /home/fanfan/: files 192, malware hits 0, cleaned hits 0, time 89s
maldet(18135): {scan} scan report saved, to view run: maldet --report 170921-0952.18135
root@srvrul-1:~/maldet/maldetect-1.6.2#
Vous pouvez trouvez LMD sur:
https://www.rfxn.com/projects/linux-malware-detect/
Et si vous avez besoin d’aide pour le mettre en service, contactez-nous…
