Linuxマルウェア検出 (LMD) 、マルデットとも呼ばれます は、GNUGPLv2ライセンスの下でリリースされたLinux用のマルウェアスキャナーです。 Maldetは、ネットワークエッジ侵入検知システムからの脅威データを使用して侵害されたWebサイトにアップロードされ、マルウェアを抽出する可能性のあるPHPバックドア、ダークメーラー、およびその他の多くの悪意のあるファイルの検出に重点を置いているため、システム管理者やWebサイト開発者の間で非常に人気があります。攻撃で積極的に使用され、検出用の署名を生成します。
次のチュートリアルでは、 Ubuntu20.04LTSにMaldetをインストールして使用する方法を学習します。 。同じ原則が新しいバージョンのUbuntu21.04(Hirsute Hippo)でも機能します。
- 推奨OS: Ubuntu 20.04 –オプション(Ubuntu21.04およびLinuxMint 20)
- ユーザーアカウント: sudoまたはrootアクセス権を持つユーザーアカウント。
- 必要なパッケージ: wget
まず、次のコマンドを使用して、Ubuntu20.04オペレーティングシステムを確認および更新します。
sudo apt update && sudo apt upgrade -y
インストール(wget) Ubuntuシステムにパッケージがない場合:
sudo apt install wget -y
初心者ユーザーの方は、よくわからない場合は、とにかくコマンドを実行してください。
Maldetのインストール
Maldetをインストールするには、公式ダウンロードページにあるパッケージアーカイブが必要です。ただし、アップグレードが発生してもファイルのURLは変更されないため、幸いなことに、ダウンロードリンクは頻繁に変更されません。
このチュートリアルの時点で、バージョン(1.6.4 )は最新です。ただし、やがてこれは変更されます。現在および将来の最新バージョンをダウンロードするには、次のコマンドを入力します。
cd /tmp/ && wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
次のパートでは、アーカイブを抽出する必要があります。これは、次のコマンドで実行できます。
tar xfz maldetect-current.tar.gz
この時点ですべてが抽出されていることを確認することをお勧めします。これは(ls)で実行できます 次のようにコマンドを実行します:
ls
出力例:

アーカイブが正しく抽出されたことを確認したら、(CD) ディレクトリに移動し、インストールスクリプトを実行して、次のコマンドでMaldetをインストールします。
cd maldetect-1.6.4 && ./install.sh
インストールは数秒で完了するはずです。次のような出力が得られます:

Maldetの構成
インストールスクリプトが正常に終了したので、お好みのテキストエディタを使用して構成ファイルを変更できます。以下は、(nano)を使用した一般的な設定と方法の例です。 テキストエディタ:
まず、(conf.maldet)を開きます ファイル:
sudo nano /usr/local/maldetect/conf.maldet
次に、次の行を見つけて、次のように編集します。
# To enable the email notification.
email_alert="1"
# Specify the email address on which you want to receive an email notification.
email_addr="[email protected]"
# Enable the LMD signature autoupdate.
autoupdate_signatures="1"
# Enable the automatic updates of the LMD installation.
autoupdate_version="1"
# Enable the daily automatic scanning.
cron_daily_scan="1"
# Allows non-root users to perform scans.
scan_user_access="1"
# Move hits to quarantine & alert
quarantine_hits="1"
# Clean string based malware injections.
quarantine_clean="0"
# Suspend user if malware found.
quarantine_suspend_user="1"
# Minimum userid value that be suspended
quarantine_suspend_user_minuid="500"
# Enable Email Alerting
email_alert="1"
# Email Address in which you want to receive scan reports
email_addr="[email protected]"
# Use with ClamAV
scan_clamscan="1"
# Enable scanning for root-owned files. Set 1 to disable.
scan_ignore_root="0"
ここでのすべての設定はオプションであり、ここには正解または不正解がないため、独自に設定できます。
Maldetの更新
まず、次のコマンドを実行して、ログインしているユーザーの正しいパスを作成します。これを行わずに更新すると問題が発生する可能性があります。
sudo /usr/local/sbin/maldet --mkpubpaths
Maldetウイルス定義データベースを更新するには、次のコマンドを実行します。
maldet -u
出力例:

次に、実際のソフトウェアの新しいバージョンを確認するには、次のコマンドを入力します。
maldet -d
出力例:

オプション–ClamAVをインストールします
Maldetを使用する上で最も優れている点の1つは、ClamAVとの互換性です。これにより、Maldetのスキャン機能を大幅に向上させることができます。
ClamAVをインストールするには、次のコマンドを実行します。
sudo apt install clamav clamav-daemon clamdscan -y
ClamAVのセットアップに関する完全なガイドについては、Ubuntu20.04でのClamAVのインストールと使用に関するガイドを参照してください。
Maldetを使用したスキャン–例
まず、Maldet構文に精通している必要があります。すべてのコマンドはmaldetで始まり、その後にオプションとディレクトリパスが続きます(例: maldet [OPTION] )。 [ディレクトリパス] 。
以下に、Maldetを使用した構文例のほとんどを示します。
- -b: バックグラウンドで操作を実行します。
- -u: マルウェア検出シグネチャを更新します。
- -l: マルデットログファイルのイベントを表示します。
- -d: インストールされているバージョンを更新します。
- -a: パス内のすべてのファイルをスキャンします。
- -p: ログ、セッション、および一時データをクリアします。
- -q: レポートからすべてのマルウェアを隔離します。
- -n: レポートからマルウェアのヒットをクリーンアップして復元します。
Maldetをテストし、正しく機能していることを確認するには、(ウイルスシグネチャのサンプル)をダウンロードしてLMDの機能をテストします。 EICARWebサイトから。
cd /tmp
wget http://www.eicar.org/download/eicar_com.zip
wget http://www.eicar.org/download/eicarcom2.zip
次に、(maldet)を実行します (tmp)をスキャンするコマンド 次のようなディレクトリ:
maldet -a /tmp
これで、感染したファイルを使用すると、次のような出力が得られます。

誤検知が発生したり、稼働中のサーバー上のファイルを削除したりすると、さらに問題が発生する可能性があるため、構成を自動的に隔離しないように設定しました。優れたシステム管理者は、常に結果をチェックするために常にチェックしています。
また、出力から、テストサーバーにClamAVがインストールされており、MaldetがClamAVスキャナーエンジンを使用してスキャンを実行し、マルウェアのヒットを検出することに成功したことがはっきりとわかります。
実行できる他のいくつかのコマンドは、サーバーのファイル拡張子をターゲットにすることです。 PHPファイルは、多くの場合、多くの攻撃の標的になります。 .phpファイルをスキャンするには、次を使用します。
maldet -a /var/www/html/*.php
これは、スキャンするファイルが多い大規模なWebサイトやサーバーに最適であり、小規模なサーバーではディレクトリ全体をスキャンすることでメリットが得られます。
マルデットスキャンレポート
Maldetは、スキャンレポートをディレクトリの場所(/ usr / local / maldetect / sess /)に保存します。 。次のコマンドを(スキャンID)と一緒に使用すると、次のような詳細なレポートを表示できます。
sudo maldet --report 210724-0528.4723
次に、テキストエディタのポップアップレポートが表示されます(nano) 以下の例のように:

ご覧のとおり、ヒットリストの完全なレポートとファイルを取り巻く詳細は、さらに確認および調査するためのものです。ファイルはすでに保存されています(CTRL + X) 完了したら終了します。