Linux Malware Detect (LMD): poderoso escaner de malware/virus para servidores Linux

linux malware

Hoy vamos a hablar de LMD (Linux Malware Detect), que por la significación de sus siglas podemos intuir que es un detector de malware para Linux.

LMD, es un script desarrollado por RfxNetworks que nos permite hacer un escaneo a nuestro sistema en busca de malware y virus. El proyecto está bastante maduro y si bien no tiene gui a diferencia de otros escaners como CXS, es una poderosa herramienta para usarla directamente desde el shell Linux.

Este software está liberado bajo la licencia GNU GPLv2 y fue diseñado principalmente para ayudar a los administradores de sistemas a la hora de detectar malware, virus y exploits a nivel de entornos de hosting compartido, aunque, basado en nuestra experiencia, es aplicable a casi cualquier sistema Linux que tenga como objetivo el alojamiento web.

Algunas de sus características principales:

  • Detección a través del hash MD5 para una rápida identificación de infecciones.
  • Usa patrones basados en HEX para identificar variantes de infecciones.
  • Integra detección usando ClamAV.
  • Actualizaciones inteligentes de su base de datos.
  • Modo cuarentena para aislar ficheros potencialmente peligrosos.
  • Posibilidad de remover los archivos infectados automáticamente.
  • Alerta por email una vez se detecta alguna infección.
  • Permite excluir directorios.

Instalación

Descargamos fuentes y descomprimimos

cd /usr/local/src/
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar -xvpzf maldetect-current.tar.gz
cd maldetect-1.4.1/

Luego corremos el instalador, que debería lucir así:

[root@hostingdiario maldetect-1.4.1]# sh install.sh
Linux Malware Detect v1.4.1
(C) 2002-2011, R-fx Networks <proj@r-fx.org>
(C) 2011, Ryan MacDonald <ryan@r-fx.org>
inotifywait (C) 2007, Rohan McGovern <rohan@mcgovern.id.au>
This program may be freely redistributed under the terms of the GNU GPL
 
installation completed to /usr/local/maldetect
config file: /usr/local/maldetect/conf.maldet
exec file: /usr/local/maldetect/maldet
exec link: /usr/local/sbin/maldet
exec link: /usr/local/sbin/lmd
cron.daily: /etc/cron.daily/maldet
 
maldet(12253): {sigup} performing signature update check...
maldet(12253): {sigup} local signature set is version 201205035915
maldet(12253): {sigup} new signature set (2012082924492) available
maldet(12253): {sigup} downloaded http://www.rfxn.com/downloads/md5.dat
maldet(12253): {sigup} downloaded http://www.rfxn.com/downloads/hex.dat
maldet(12253): {sigup} downloaded http://www.rfxn.com/downloads/rfxn.ndb
maldet(12253): {sigup} downloaded http://www.rfxn.com/downloads/rfxn.hdb
maldet(12253): {sigup} downloaded http://www.rfxn.com/downloads/maldet-clean.tgz
maldet(12253): {sigup} signature set update completed
maldet(12253): {sigup} 9876 signatures (8008 MD5 / 1868 HEX)
[root@hostingdiario maldetect-1.4.1]#

Testing

Existen muchas opciones para realizar un escaneo, pero la forma rápida y fácil de usarlo, será esta:

maldet -a /home/usuario/public_html/

o bien, usando wildcards:

maldet -a /home/*/public_html/

Conclusiones

Es una herramienta poderosa, gratuita y fácil de usar, que nos permite rápidamente acceder a un completo análisis de ficheros de nuestros sitios webs en busca de virus, malware, etc. Lo único que notamos, es que hace casi 1 año no salen versiones nuevas del core, aunque los updates  de la base de datos siguen al día.

Más información | RfxNetworks

3 Comentarios

  1. Gracias por el artículo, estoy probando un escaneo en un servidor con ubuntu y la instalación tal y como dices ha dado algún problema (hay que hacerlo con un usuario en concreto si no no funciona).

    De momento no ha dado ningún positivo.

    Ánimo con el blog!

  2. hola amigo, gracias por tu post.
    quisiera saber si por esas causalidades sabes como cambiar la hora de ejecución de maldet, en qué archivo, ya que he buscado y no he tenido exito.
    un saludo
    gracias!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *