Hoy vamos a hablar de LMD (Linux Malware Detect), que por la significación de sus siglas podemos intuir que es un detector de malware para Linux.
LMD, es un script desarrollado por RfxNetworks que nos permite hacer un escaneo a nuestro sistema en busca de malware y virus. El proyecto está bastante maduro y si bien no tiene gui a diferencia de otros escaners como CXS, es una poderosa herramienta para usarla directamente desde el shell Linux.
Este software está liberado bajo la licencia GNU GPLv2 y fue diseñado principalmente para ayudar a los administradores de sistemas a la hora de detectar malware, virus y exploits a nivel de entornos de hosting compartido, aunque, basado en nuestra experiencia, es aplicable a casi cualquier sistema Linux que tenga como objetivo el alojamiento web.
Algunas de sus características principales:
- Detección a través del hash MD5 para una rápida identificación de infecciones.
- Usa patrones basados en HEX para identificar variantes de infecciones.
- Integra detección usando ClamAV.
- Actualizaciones inteligentes de su base de datos.
- Modo cuarentena para aislar ficheros potencialmente peligrosos.
- Posibilidad de remover los archivos infectados automáticamente.
- Alerta por email una vez se detecta alguna infección.
- Permite excluir directorios.
Instalación
Descargamos fuentes y descomprimimos
cd /usr/local/src/ wget http://www.rfxn.com/downloads/maldetect-current.tar.gz tar -xvpzf maldetect-current.tar.gz cd maldetect-1.4.1/ |
Luego corremos el instalador, que debería lucir así:
[root@hostingdiario maldetect-1.4.1]# sh install.sh Linux Malware Detect v1.4.1 (C) 2002-2011, R-fx Networks <proj@r-fx.org> (C) 2011, Ryan MacDonald <ryan@r-fx.org> inotifywait (C) 2007, Rohan McGovern <rohan@mcgovern.id.au> This program may be freely redistributed under the terms of the GNU GPL installation completed to /usr/local/maldetect config file: /usr/local/maldetect/conf.maldet exec file: /usr/local/maldetect/maldet exec link: /usr/local/sbin/maldet exec link: /usr/local/sbin/lmd cron.daily: /etc/cron.daily/maldet maldet(12253): {sigup} performing signature update check... maldet(12253): {sigup} local signature set is version 201205035915 maldet(12253): {sigup} new signature set (2012082924492) available maldet(12253): {sigup} downloaded http://www.rfxn.com/downloads/md5.dat maldet(12253): {sigup} downloaded http://www.rfxn.com/downloads/hex.dat maldet(12253): {sigup} downloaded http://www.rfxn.com/downloads/rfxn.ndb maldet(12253): {sigup} downloaded http://www.rfxn.com/downloads/rfxn.hdb maldet(12253): {sigup} downloaded http://www.rfxn.com/downloads/maldet-clean.tgz maldet(12253): {sigup} signature set update completed maldet(12253): {sigup} 9876 signatures (8008 MD5 / 1868 HEX) [root@hostingdiario maldetect-1.4.1]# |
Testing
Existen muchas opciones para realizar un escaneo, pero la forma rápida y fácil de usarlo, será esta:
maldet -a /home/usuario/public_html/ |
o bien, usando wildcards:
maldet -a /home/*/public_html/ |
Conclusiones
Es una herramienta poderosa, gratuita y fácil de usar, que nos permite rápidamente acceder a un completo análisis de ficheros de nuestros sitios webs en busca de virus, malware, etc. Lo único que notamos, es que hace casi 1 año no salen versiones nuevas del core, aunque los updates de la base de datos siguen al día.
Más información | RfxNetworks
Gracias por el artículo, estoy probando un escaneo en un servidor con ubuntu y la instalación tal y como dices ha dado algún problema (hay que hacerlo con un usuario en concreto si no no funciona).
De momento no ha dado ningún positivo.
Ánimo con el blog!
Excelente Aitor 🙂
Nos leemos!
hola amigo, gracias por tu post.
quisiera saber si por esas causalidades sabes como cambiar la hora de ejecución de maldet, en qué archivo, ya que he buscado y no he tenido exito.
un saludo
gracias!