Rechercher des maliciels à l’aide de Linux Malware Detect (LMD)
Linux Malware Detect (LMD), également connu sous le nom « Maldet », est un analyseur de maliciels conçu pour Linux et lancé sous la licence GNU GPLv2. Il est particulièrement efficace pour détecter les portes dérobées php, les générateurs de lots de courriels et plusieurs autres fichiers malveillants pouvant être chargés sur un site Web compromis. Ce logiciel vous permettra de repérer les sites Web infectés et de nettoyer l’infection. Toutefois, vous devrez tout de même sécuriser l’utilisateur ou le site Web compromis pour éviter une nouvelle infection.
Vous devrez être connecté en tant qu’utilisateur root au serveur par l’intermédiaire de SSH.
Étape 1 – Installez Maldet :
cd /usr/local/src/ && wget http://www.rfxn.com/downloads/maldetect-current.tar.gz && tar -xzvf maldetect-current.tar.gz && cd maldetect-* && sh install.sh
Cette action installera automatiquement une tâche « cronjob » dans /etc/cron.daily/maldet. Une analyse sera donc exécutée tous les jours afin de repérer des comptes locaux cPanel ou Plesk.
Étape 2 – Faites une mise à jour en passant aux dernières versions et signatures de virus :
maldet -d && maldet -u
Étape 3 – Exécutez manuellement la première analyse.
Pour analyser le répertoire personnel de l’utilisateur, exécutez la commande suivante :
maldet -a /home/user
Pour lancer une analyse en arrière-plan des dossiers public_html et public_ftp de tous les répertoires personnels de l’utilisateur, lancez la commande suivante :
maldet -b --scan-all /home?/?/public_?
(Nous vous recommandons également d’analyser les répertoires /tmp et /dev/shm/.)
Étape 4 – Vérifiez le rapport d’analyse.
Nous vous recommandons de toujours lire les rapports d’analyse avant d’effectuer une mise en quarantaine. Vous pouvez ainsi cerner les sites Web infectés en vue d’actions futures.
Pour faire afficher la liste des heures et des SCANID de tous les rapports d’analyse :
maldet --report list
Pour faire afficher les détails d’un rapport en particulier :
maldet --report SCANID
Pour faire afficher les détails de tous les rapports à partir du fichier journal :
grep "{scan}" /usr/local/maldetect/event_log
Étape 5 – Purgez les fichiers malveillants.
La mise en quarantaine est désactivée par défaut. Vous devez la lancer manuellement :
maldet -q SCANID
Étape 6 (facultative) – Faites placer automatiquement les maliciels détectés en quarantaine.
Veuillez examiner ces variables de configuration dans /usr/local/maldetect/conf.maldet :
Variable Valeur Description
quar_hits chiffre Si le chiffre n’est pas 0, la mise en quarantaine automatique est activée.
Étape 7 (facultative) – Configurez les alertes par courriel concernant les rapports d’analyse.
Maldet peut vous envoyer une alerte par courriel chaque fois qu’un maliciel est détecté. Veuillez examiner ces variables de configuration dans /usr/local/maldetect/conf.maldet :
Variable Valeur Description
email_alert 1 ou 0 active ou désactive les alertes par courriel
email_addr adresse courriel l’adresse courriel pour les avis doit être mise entre guillemets : "myuser@mydomain.com"
Pour plus de renseignements : /usr/local/maldetect/conf.maldet ou https://www.rfxn.com/projects/linux-malware-detect/
linux, malware, maldet, linux malware detect
Consultez aussi
SSH pour git/composer
Avec un hébergement avec compte SSH, vous pouvez gérer vos sites avec git et/ou composer.Si vous...