Cara untuk membuang Malware pada Linux

Jika anda menjalankan pelayan platfom linux atau menguruskan sebuah pelayan shared hosting linux anda akan dapati suasana kritikal biasa iaitu potensi dijangkiti malware dalam bentuk trojan, virus, rootkits, dan cecacing. Sementara menanti kemaskini terbaru keselamatan pelayan, anda perlu mencari panduan untuk menghalang dari serangan sebelum esok hari.

Linux Malware Detect (LMD) adalah salah satu penyelesaian masalah untuk mengesan malware pada Linux. Dalam panduan ini saya akan tunjukkan bagaimana untuk install dan tetapkan LMD bagi mencari malware pada sistem Linux anda.

Untuk install LMD pada linux, jalankan arahan dibawah:

$ wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
$ tar xvfvz maldetect-current.tar.gz
$ cd maldetect-1.4.2
$ sudo ./install.sh

Linux Malware Detect v1.4.1
            (C) 2002-2011, R-fx Networks <proj@r-fx.org>
            (C) 2011, Ryan MacDonald <ryan@r-fx.org>
inotifywait (C) 2007, Rohan McGovern <rohan@mcgovern.id.au>
This program may be freely redistributed under the terms of the GNU GPL

installation completed to /usr/local/maldetect
config file: /usr/local/maldetect/conf.maldet
exec file: /usr/local/maldetect/maldet
exec link: /usr/local/sbin/maldet
exec link: /usr/local/sbin/lmd
cron.daily: /etc/cron.daily/maldet

maldet(6073): {sigup} performing signature update check...
maldet(6073): {sigup} local signature set is version 201205035915
maldet(6073): {sigup} new signature set (2013031328301) available
maldet(6073): {sigup} downloaded http://www.rfxn.com/downloads/md5.dat
maldet(6073): {sigup} downloaded http://www.rfxn.com/downloads/hex.dat
maldet(6073): {sigup} downloaded http://www.rfxn.com/downloads/rfxn.ndb
maldet(6073): {sigup} downloaded http://www.rfxn.com/downloads/rfxn.hdb
maldet(6073): {sigup} downloaded http://www.rfxn.com/downloads/maldet-clean.tgz
maldet(6073): {sigup} signature set update completed
maldet(6073): {sigup} 10849 signatures (8981 MD5 / 1868 HEX)

Selepas installation selesai, cron job harian ditambah pada /etc/cron.daily/maldet, untuk semakan versi terkini pada data LMD dan malware. Secara automatik akan kemaskini versi terkini.

Jalankan proses carian malware secara manual, jalankan maldet pada folder sasaran yang mahu dicari.

$ sudo maldet --scan-all /home

maldet(27752): {scan} signatures loaded: 10849 (8981 MD5 / 1868 HEX)
maldet(27752): {scan} building file list for /home, this might take awhile...
maldet(27752): {scan} file list completed, found 20586 files...
maldet(27752): {scan} 20586/20586 files scanned: 1 hits 0 cleaned
maldet(27752): {scan} scan completed on /home: files 20586, malware hits 1, cleaned hits 0
maldet(27752): {scan} scan report saved, to view run: maldet --report 032813-1606.27752
maldet(27752): {scan} quarantine is disabled! set quar_hits=1 in conf.maldet or to quarantine results run: maldet -q 032813-1606.27752

Selepas carian dibuat, anda boleh semak laporan carian malware dengan jalankan arahan dibawah dengan ID laporan:

$ sudo maldet --report 061913-0904.600973

Linux Malware Detect v1.4.2
(C) 2002-2013, R-fx Networks <proj@r-fx.org>
(C) 2013, Ryan MacDonald <ryan@r-fx.org>
inotifywait (C) 2007, Rohan McGovern <rohan@mcgovern.id.au>
This program may be freely redistributed under the terms of the GNU GPL v2
GNU nano 1.3.12 File: /usr/local/maldetect/sess/session.061913-0904.600973

malware detect scan report for name.urserver.net:
SCAN ID: 061913-0904.600973
TIME: Jun 19 09:08:48 +0800
PATH: /home/nikhanz
TOTAL FILES: 94318
TOTAL HITS: 0
TOTAL CLEANED: 0

===============================================
Linux Malware Detect v1.4.2 < proj@rfxn.com >

Untuk masukkan dalam bilik tahanan virus tadi, jalankan arahan dibawah termasuk ID laporan. File yang berjangkit akan dikurung dan dibersihkan:

$ sudo maldet -q 061913-0904.600973

Jika anda mahu aktifkan mengawasan pada direktori khusus untuk jangkitan malware, anda boleh jalankan maldet menggunakan daemon seperti dibawah.

$ sudo maldet -m /var,/home/xmodulo

Jika anda mahu ada pemberitahuan jika maldet mengesan malware melalui email, anda boleh ubahsuai tetapan maldet seperti dibawah.

$ sudo vi /usr/local/maldetect/conf.maldet

email_alert=1
email_subj="Malware detected by maldet"
email_addr="hello@nikhanz.com"

Author: nikhanz

Hai, saya Nik. Terima kasih kerana layari blog saya! Ikuti saya di laman sosial terpilih.

Leave a Reply