Linux Malware Detect

Linux Malware Detect (LMD) adalah scanner malware untuk Linux dirilis di bawah lisensi GNU GPLv2, yang dirancang untuk menghadapi ancaman malware dalam lingkungan shared host. Dengan menggunakan data ancaman dari sistem deteksi intrusi jaringan tepi untuk mengekstrak malware yang aktif digunakan dalam serangan dan menghasilkan signatures untuk deteksi. Selain itu, data ancaman juga berasal dari kiriman pengguna dengan fitur checkout LMD dan dari sumber komunitas para pembuat malware. Signatures yang menggunakan LMD adalah hash MD5 file yang pola dan HEX pattern matches, LMD juga dengan mudah diekspor ke sejumlah alat deteksi seperti ClamAV.

Linux Malware Detect

Fitur :

  • Deteksi berkas MD5 hash untuk identifikasi ancaman cepat
  • HEX pola berbasis pencocokan untuk mengidentifikasi varian ancaman
  • Analisis statistik komponen untuk deteksi ancaman dikaburkan ( misalnya : base64 )
  • Deteksi terintegrasi ClamAV untuk digunakan sebagai mesin scanner untuk meningkatkan kinerja
  • Fitur update signature terintegrasi dengan – u | update
  • Fitur update versi terintegrasi dengan – d | – update- ver
  • Scan- baru opsi untuk memindai hanya file yang telah ditambahkan / diubah dalam hari X
  • Scan- semua opsi untuk pemindaian berbasis path lengkap
  • Pilihan checkout untuk meng-upload diduga malware ke rfxn.com untuk ditinjau / hashing
  • Sistem pelaporan penuh untuk melihat hasil scan saat ini dan sebelumnya
  • Antrian karantina yang menyimpan ancaman dalam mode aman tanpa izin
  • Pilihan batching karantina untuk mengkarantina hasil scan saat ini atau masa lalu
  • Pilihan Karantina untuk mengembalikan file asli atau pemulihkan
  • Karantina menangguhkan opsi akun ke Cpanel menangguhkan atau mencabut shell pengguna
  • Aturan cleaner untuk penghapusan malware ditambahkan string
  • Pilihan batching cleaner untuk mencoba pembersihan scan laporan sebelumnya
  • Aturan cleaner untuk menghapus base64 dan gzinflate (base64 inject malware)
  • Scanning berbasis cron harian dari semua perubahan dalam 24jam terakhir di homedirs user
  • Cron skrip harian kompatibel dengan sistem Cpanel & Ensim
  • Berbasis kernel inotify file pemindaian real time dibuat / diubah / file dipindahkan
  • Kernel memantau inotify yang dapat mengambil jalur data dari STDIN atau FILE
  • Kernel baris tidak valid memantau fitur kenyamanan untuk memantau pengguna sistem
  • Kernel inotify monitor dapat dibatasi untuk pengguna root html dikonfigurasi
  • Kernel inotify monitor dengan batas sysctl dinamis untuk kinerja yang optimal
  • Kernel inotify mengingatkan melalui harian dan / atau laporan mingguan opsional
  • E-mail pelaporan peringatan setelah setiap pelaksanaan scan ( manual & setiap hari)
  • Path, perluasan dan tanda tangan berbasis mengabaikan opsi
  • Pilihan scanner latar belakang untuk operasi pemindaian tanpa pengawasan
  • Verbose logging & output dari semua tindakan

sumber : rfxn

Bila anda tertarik berikut cara Install Linux Malware Detect yang bisa diinstall di RHEL, CentOS dan Fedora :
Langkah 1: Dowload Linux Malware Detect (LMD)

# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Langkah 2: Install LMD

# tar xfz maldetect-current.tar.gz
# cd maldetect-*
# ./install.sh
Contoh Hasil Instalasi

Linux Malware Detect v1.4.2
            (C) 2002-2013, R-fx Networks <proj@r-fx.org>
            (C) 2013, Ryan MacDonald <ryan@r-fx.org>
inotifywait (C) 2007, Rohan McGovern <rohan@mcgovern.id.au>
This program may be freely redistributed under the terms of the GNU GPL v2
installation completed to /usr/local/maldetect
config file: /usr/local/maldetect/conf.maldet
exec file: /usr/local/maldetect/maldet
exec link: /usr/local/sbin/maldet
exec link: /usr/local/sbin/lmd
cron.daily: /etc/cron.daily/maldet
maldet(3092): {sigup} performing signature update check…
maldet(3092): {sigup} local signature set is version 201205035915
maldet(3092): {sigup} new signature set (2012071115632) available
maldet(3092): {sigup} downloaded http://www.rfxn.com/downloads/md5.dat
maldet(3092): {sigup} downloaded http://www.rfxn.com/downloads/hex.dat
maldet(3092): {sigup} downloaded http://www.rfxn.com/downloads/rfxn.ndb
maldet(3092): {sigup} downloaded http://www.rfxn.com/downloads/rfxn.hdb
maldet(3092): {sigup} downloaded http://www.rfxn.com/downloads/maldet-clean.tgz
maldet(3092): {sigup} signature set update completed

Konfigurasi LMD
Secara default semua pilihan sepenuhnya diberi komentar dalam file konfigurasi, jadi mengkonfigurasinya sesuai dengan kebutuhan Anda. Tapi sebelum melakukan perubahan mari kita lihat beberapa rincian pada masing-masing pilihan di bawah ini.

  • email_alert: Jika Anda ingin menerima email pemberitahuan, maka harus di set ke 1.
  • email_subj: Mengatur subjek email Anda di sini.
  • EMAIL_ADDR: Tambahkan alamat email Anda untuk menerima pemberitahuan adanya malware.
  • quar_hits: Aksi default karantina untuk hits malware, itu harus ditetapkan 1.
  • quar_clean: Membersihkan file yang terdeteksi malware, harus di set ke 1.
  • quar_susp: default suspend tindakan untuk pengguna dengan hits, silahkan atur sesuai kebutuhan Anda.
  • quar_susp_minuid: Minimum userid yang bisa disuspend.

silahkan buka file /usr/local/maldetect/conf.maldet dan atur konfigurasi sesuai kebutuhan anda

# nano /usr/local/maldetect/conf.maldet

# [ EMAIL ALERTS ]
##
# The default email alert toggle
# [0 = disabled, 1 = enabled]
email_alert=1

# The subject line for email alerts
email_subj="maldet alert from $(hostname)"

# The destination addresses for email alerts
# [ values are comma (,) spaced ]
email_addr="support@gemaroprek.com"

# Ignore e-mail alerts for reports in which all hits have been cleaned.
# This is ideal on very busy servers where cleaned hits can drown out
# other more actionable reports.
email_ignore_clean=0

##
# [ QUARANTINE OPTIONS ]
##
# The default quarantine action for malware hits
# [0 = alert only, 1 = move to quarantine & alert]
quar_hits=1

# Try to clean string based malware injections
# [NOTE: quar_hits=1 required]
# [0 = disabled, 1 = clean]
quar_clean=1

# The default suspend action for users wih hits
# Cpanel suspend or set shell /bin/false on non-Cpanel
# [NOTE: quar_hits=1 required]
# [0 = disabled, 1 = suspend account]
quar_susp=0
# minimum userid that can be suspended
quar_susp_minuid=500

Cara pemakaian dan Scan

# maldet –scan-all /home

perintah diatas adalah untuk scan seluruh file pada folder /home

jika anda melakukan scan tetapi gagal untuk mengaktifkan opsi karantina jalankan perintah dibawah ini :

# maldet –quarantine SCANID

atau

# maldet –clean SCANID

Untuk mengkonfigurasi scan, hapus malmware secara otomatis, dll
silahkan konfigurasi sesuai kebutuhan anda

# nano /etc/cron.daily/maldet

Enter your email address:

Delivered by FeedBurner

Tinggalin Pesan

Tenang bro Email aman, ga ane publish >>>Wajib di isi yang ada tanda *

*