Maldet (Linux Malware Detect) es un software detector de Malware, backdoors php y otros archivos maliciosos  para Linux.


 
Maldet es especialmente útil en servidores Linux, y es muy conocido en entornos de servidores de Hosting Web, que utilizan Linux como sistema operativo. Maldet detecta bastantes tipos de virus y malwares. Y si lo complementamos con CLAMAV, mejor.
 

 

–> Descargar Maldetect Linux desde el sitio oficial de Linux Maldetect.

 


 

 

1. Instalar Linux Maldet

 
–> Descargaremos Linux Malware Detect desde https://www.rfxn.com/projects/linux-malware-detect/
 
–> Y el archivo a descargar es: http://www.rfxn.com/downloads/maldetect-current.tar.gz
 

 
 

 
Así que podemos descargar Maldet desde la terminal de Linux, con:

1
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

 
Descargar e instalar Maldet linux

   

 

 

1.1 Descargar, descomprimir e instalar Maldetect en el sistema:

 
Después de descargar el archivo comprimido .tar.gz, hemos de descomprimirlo:
 

1
tar xfz maldetect-current.tar.gz

o

1
tar -zxvf

 

 
Posteriormente entramos en el directorio que se habrá creado:

1
cd maldetect-1.5

 

y ejecutamos el archivo install.sh:

1
sudo ./install.sh

 

–> Para actualizar las firmas del programa (opción —update-sigs):

1
maldet -u

 

–> Y si fuera necesario actualizar la versión del programa (opción —update-ver):

1
maldet -d

 

 

2. Cómo usar Linux Maldetect

 

Utilizaremos Maldetect para escanear directorios y archivos de esta forma:

1
maldet --scan-all /ruta

o

1
maldet -a /ruta

 

 

3. Configurar opciones de Maldet:

 

El archivo principal de configuración de Maldetect se encuentra en:

1
usr/local/maldetect/conf.maldet

 

Maldetect es compatible con ClamAV.   De hecho si tenemos ClamAV instalado, Maldet utilizará el motor de ClamAV . Podemos verlo en el archivo de configuración de Maldetect, el archivo /usr/local/maldetect/conf.maldet, del cual hablaremos más tarde:

  maldet use clamav scan engine  
# If installed, use ClamAV clamscan binary as default scan engine which
# provides improved scan performance on large file sets. The clamscan
# engine is used in conjunction with native ClamAV signatures updated
# through freshclam along with LMD signatures providing additional
# detection capabilities.
# [ 0 = disabled, 1 = enabled ]
scan_clamscan=”1″


 

 

3.1 Configurar Cuarentena en Maldet

 
La cuarentena es una de las principales opciones que nos interesará configurar desde el archivo de configuración de Maldet.
 
Podemos elegir configurar la cuarentena automática o manual.

 

Buscaremos la línea quarantine options en:

1
usr/local/maldetect/conf.maldet

 

 
–> Si queremos que Maldetect utilice la cuarentena de forma automática cuando detecte infecciones, cambiaremos la línea:

1
quarantine_hits="0"

por

1
quarantine_hits="1"

 
configurar maldetect quarantine options
 

–> Si lo preferimos, podemos activar manualmente la cuarentena para los archivos detectados en una SCANID:

1
maldet -q SCANID

 

 

3.2 Restaurar archivos Maldet

 

Si deseamos restaurar archivos que estén en cuarentena, ejecutaremos:

 

1
maldet --restore archivo

o

1
maldet -s archivo

 
maldet restore
 

 

3.3 Ejecutar Maldetect en segundo plano

 
Maldetect puede ejecutarse en segundo plano. Una opción idónea para escaneos largos que requieran de una gran cantidad de tiempo y recursos. Ejecutaremos Maldetect en segundo plano (background) con:

1
maldet -b /directorio

 
Maldet segundo plano

 

 

4. REALIZAR ESCANEO CON MALDET (caso práctico):

 

Vamos a mostrar el funcionamiento de Maldetect con capturas de pantalla, mostrando también lo que aparece cuando encuentra una infección de malware.
 
Ejecutamos Maldetect Linux sobre el directorio que contiene infecciones:

1
maldetect --scan-all /home/ubuntu/Downloads/directorio

 

MALDETECT ha encontrado 1 infeccion de malware: maldetect malware hits 1

 
Maldet malware hits
 
Cuando Maldetect encuentra una infección aparecerá el texto:

maldetect malware hits 1

 

 

5. MOSTRAR Y ANALIZAR EL LOG DE MALDETECT

 
El Log de Maldetect nos mostrará todos los movimientos y acciones ejecutadas por el programa:

  • Actualizaciones y descarga de firmas
  • Escaneos/análisis de directorios
  • Archivos malware encontrados

 

Para ver el log de Maldetect ejecutaremos:

1
maldet --log

 
maldet log

 

Podemos ver que el log de Maldetect nos avisa de que la cuarentena se encuentra desactivada, y de que podemos activarla modificando el archivo de configuración de maldetect:

1
quarantine is disabled! set quarantine_hits=1 in conf.maldet or to quarantine results run: maldet -q 170716-1131.32122

 

También nos avisa de que podemos ver el report de MALDETECT:

1
scan report saved, to view run: maldet --report 170716-1131.32122

 

(lo veremos a continuación):

activar cuarentena o report maldet
 

 

6. Linux Maldetect Report:

 
El reporte de Maldetect nos mostrará el último análisis realizado, o el reporte que le indiquemos nosotros.
 
Para ver el último reporte, ejecutaremos:

1
maldet --report

 
maldet report
 

 
También podemos mostrar cualquiera de los análisis que hayamos realizado con anterioridad.

Para ello pediremos al comando REPORT que nos haga una lista de los reportes disponibles:

1
maldet --report list

 
y nos mostrará los reportes disponibles:
 
maldet report --list
 

 
Entonces podremos mostrar cualquiera de los reportes mostrados, utilizando el comando anterior, y la numeración del reporte deseado:
 
maldet report

 

 
Como vemos en la siguiente captura de imagen, los reportes muestran archivos de sesiones anteriores, guardados en

/usr/local/maldetect/sess/

 

sesiones maldet

 

 

7. SINTAXIS DE OPCIONES DE MALDETECT (Linux Malware Detect)

 

A continuación podemos ver todas las opciones que ofrece Maldetect:

 
opciones maldet

 

opciones maldetect

 

opciones linux malware detect
 

 

Ayuda de Maldetect:

 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
Linux Malware Detect v1.6.2
            (C) 2002-2017, R-fx Networks <proj@rfxn.com>
            (C) 2017, Ryan MacDonald <ryan@rfxn.com>
This program may be freely redistributed under the terms of the GNU GPL v2
 
signature set: 2017070716978
usage /usr/local/sbin/maldet [ OPTION ]
    -b, --background
      Execute operations in the background, ideal for large scans
      e.g: maldet -b -r /home/?/public_html 7
 
    -u, --update-sigs [--force]
       Update malware detection signatures from rfxn.com
 
    -d, --update-ver [--force]
       Update the installed version from rfxn.com
 
    -f, --file-list
       Scan files or paths defined in line spaced file
       e.g: maldet -f /root/scan_file_list
 
    -r, --scan-recent PATH DAYS
       Scan files created/modified in the last X days (default: 7d, wildcard: ?)
       e.g: maldet -r /home/?/public_html 2
 
    -a, --scan-all PATH
       Scan all files in path (default: /home, wildcard: ?)
       e.g: maldet -a /home/?/public_html
 
    -i, --include-regex REGEX
       Include paths/files from file list based on supplied posix-egrep regular
       expression.
       e.g: To include only paths named wp-content and files ending in .php:
       --include-regex ".*/wp-content/.*|.*.php$"
 
    -x, --exclude-regex REGEX
       Exclude paths/files from file list based on supplied posix-egrep regular
       expression.
       e.g: To exclude paths containing 'wp-content/w3tc/' and core files:
       --exclude-regex ".*wp-content/w3tc/.*|.*core.[0-9]+$"
 
    -m, --monitor USERS|PATHS|FILE|RELOAD
       Run maldet with inotify kernel level file create/modify monitoring
       If USERS is specified, monitor user homedirs for UID's > 500
       If FILE is specified, paths will be extracted from file, line spaced
       If PATHS are specified, must be comma spaced list, NO WILDCARDS!
       e.g: maldet --monitor users
       e.g: maldet --monitor /root/monitor_paths
       e.g: maldet --monitor /home/mike,/home/ashton
 
    -k, --kill-monitor
       Terminate inotify monitoring service
 
    -c, --checkout FILE
       Upload suspected malware to rfxn.com for review & hashing into signatures
 
    -l, --log
       View maldet log file events
 
    -e, --report SCANID email
       View scan report of most recent scan or of a specific SCANID and optionally
       e-mail the report to a supplied e-mail address
       e.g: maldet --report
       e.g: maldet --report list
       e.g: maldet --report 050910-1534.21135
       e.g: maldet --report SCANID user@domain.com
 
    -s, --restore FILE|SCANID
       Restore file from quarantine queue to orginal path or restore all items from
       a specific SCANID
       e.g: maldet --restore /usr/local/maldetect/quarantine/config.php.23754
       e.g: maldet --restore 050910-1534.21135
 
    -q, --quarantine SCANID
       Quarantine all malware from report SCANID
       e.g: maldet --quarantine 050910-1534.21135
 
    -n, --clean SCANID
       Try to clean & restore malware hits from report SCANID
       e.g: maldet --clean 050910-1534.21135
 
    -U, --user USER
       Set execution under specified user, ideal for restoring from user quarantine or
       to view user reports.
       e.g: maldet --user nobody --report
       e.g: maldet --user nobody --restore 050910-1534.21135
 
    -co, --config-option VAR1=VALUE,VAR2=VALUE,VAR3=VALUE
       Set or redefine the value of conf.maldet config options
       e.g: maldet --config-option email_addr=you@domain.com,quarantine_hits=1
 
    -p, --purge
       Clear logs, quarantine queue, session and temporary data.
 
    --web-proxy IP:PORT
       Enable use of HTTP/HTTPS proxy for all remote URL calls.

 

 
Fuentes y Documentación:

 


Etiquetas del articulo: , , ,


Centro de preferencias de privacidad

Cookies imprescindibles

Se usan para saber si ya aceptaste nuestras políticas y para servir más rápidos los contenidos.

gpdr,wpSGCacheBypass

Cookies de terceros

Usamos cookies de terceros en las que se almacenan externamente para conocer tus usos de navegación, si ya estás suscrito al boletín y los elementos compartidos en redes sociales.

1P_JAR, AID, DSID, IDE, NID, JCS_INENREF, JCS_INENTIM, __cfduid, _ga, _gat, _gat_gtag_UA_16843793_11, _gid,_wpss_h_, _wpss_p_, gadwp_wg_default_dimension, gadwp_wg_default_metric, gadwp_wg_default_swmetric