Rechercher des maliciels à l’aide de Linux Malware Detect (LMD)


Linux Malware Detect (LMD), également connu sous le nom « Maldet », est un analyseur de maliciels conçu pour Linux et lancé sous la licence GNU GPLv2. Il est particulièrement efficace pour détecter les portes dérobées php, les générateurs de lots de courriels et plusieurs autres fichiers malveillants pouvant être chargés sur un site Web compromis. Ce logiciel vous permettra de repérer les sites Web infectés et de nettoyer l’infection. Toutefois, vous devrez tout de même sécuriser l’utilisateur ou le site Web compromis pour éviter une nouvelle infection.

Vous devrez être connecté en tant qu’utilisateur root au serveur par l’intermédiaire de SSH.

Étape 1 – Installez Maldet :

    cd /usr/local/src/ && wget http://www.rfxn.com/downloads/maldetect-current.tar.gz && tar -xzvf maldetect-current.tar.gz && cd maldetect-* && sh install.sh

Cette action installera automatiquement une tâche « cronjob » dans /etc/cron.daily/maldet. Une analyse sera donc exécutée tous les jours afin de repérer des comptes locaux cPanel ou Plesk.


Étape 2 – Faites une mise à jour en passant aux dernières versions et signatures de virus :

    maldet -d && maldet -u

Étape 3 – Exécutez manuellement la première analyse.

Pour analyser le répertoire personnel de l’utilisateur, exécutez la commande suivante :

    maldet -a /home/user

 

Pour lancer une analyse en arrière-plan des dossiers public_html et public_ftp de tous les répertoires personnels de l’utilisateur, lancez la commande suivante :

    maldet -b --scan-all /home?/?/public_?

 

(Nous vous recommandons également d’analyser les répertoires /tmp et /dev/shm/.)


Étape 4 – Vérifiez le rapport d’analyse.

Nous vous recommandons de toujours lire les rapports d’analyse avant d’effectuer une mise en quarantaine. Vous pouvez ainsi cerner les sites Web infectés en vue d’actions futures.

Pour faire afficher la liste des heures et des SCANID de tous les rapports d’analyse :

    maldet --report list

 

Pour faire afficher les détails d’un rapport en particulier :

    maldet --report SCANID

 

Pour faire afficher les détails de tous les rapports à partir du fichier journal :

    grep "{scan}" /usr/local/maldetect/event_log

 

Étape 5 – Purgez les fichiers malveillants.

La mise en quarantaine est désactivée par défaut. Vous devez la lancer manuellement :

    maldet -q SCANID

Étape 6 (facultative) – Faites placer automatiquement les maliciels détectés en quarantaine.

Veuillez examiner ces variables de configuration dans /usr/local/maldetect/conf.maldet :
Variable     Valeur     Description
quar_hits     chiffre    Si le chiffre n’est pas 0, la mise en quarantaine automatique est activée.

Étape 7 (facultative) – Configurez les alertes par courriel concernant les rapports d’analyse.

Maldet peut vous envoyer une alerte par courriel chaque fois qu’un maliciel est détecté. Veuillez examiner ces variables de configuration dans /usr/local/maldetect/conf.maldet :
Variable     Valeur     Description
email_alert     1 ou 0     active ou désactive les alertes par courriel
email_addr      adresse courriel      l’adresse courriel pour les avis doit être mise entre guillemets : "myuser@mydomain.com"

Pour plus de renseignements : /usr/local/maldetect/conf.maldet ou https://www.rfxn.com/projects/linux-malware-detect/

linux, malware, maldet, linux malware detect


Was this answer helpful?

 Print this Article

Also Read

Qu'est-ce que le LAN privatif ?

Le LAN privatif est un switch virtuel connecté à l'interface secondaire de votre serveur. Il vous...

Vérifier l'état de votre disque dur

Afin de vérifier votre disque, veuillez nous transmettre un rapport SMART.Vérifiez d'abord que le...

Reset de mot de passe MySQL

Le mot de passe root mySQL permet à l'utilisateur root d'avoir un accès complet à la base de...

Installer la clé SSH pour les backup

Si vous avez souscrit à l'option backup, il est nécessaire d'installer la clé SSH du serveur de...

SSH pour git/composer

Avec un hébergement avec compte SSH, vous pouvez gérer vos sites avec git et/ou composer.Si vous...