Cómo ejecutar el análisis de malware en Linux

Hay muchas herramientas de escaneo de malware disponibles, pero la más fácil de instalar, configurar y usar es Maldet.

Instrucciones de instalación de CentOS

Para comenzar su instalación, simplemente copie el texto a continuación como está y péguelo en su cliente SSH.

cd /usr/local/src
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar -zxvf maldetect-current.tar.gz
cd maldetect-1.4.2
./install.sh

Una vez que esto se complete, actualice a las últimas firmas de virus y actualice:

maldet -u or maldet -d

Se recomienda instalar ClamAV con Maldet para mejorar la capacidad general de escaneo y la velocidad. Para instalar en CentOS, primero debe agregar el repositorio epel:

yum install epel-release

A continuación, instalará el paquete con:

yum install clamav-server clamav-data clamav-update clamav-filesystem clamav clamav-scanner-system clamav-devel clamav-lib clamav-server-systemd

Ahora sus escaneos de Maldet se ejecutarán mucho más rápidamente y no se necesita ninguna configuración adicional para conectar ClamAV y Maldet.

Instrucciones de instalación de Ubuntu / Debian

Para instalar en Ubuntu, primero debe descargar el paquete de instalación:

cd /tmp/
curl -O http://www.rfxn.com/downloads/maldetect-current.tar.gz

Luego debe extraer los archivos de instalación:

tar -zxvf maldetect-current.tar.gz

Vaya al directorio extraído e instale:

cd maldetect-1.6.2/
bash install.sh

Se recomienda instalar Clamav con Maldet para mejorar la capacidad general de escaneo, así como la velocidad. Para instalar Clamav, necesita ejecutar su paquete de instalación:

apt-get -y install clamav clamav-daemon clamdscan

Ahora sus escaneos de Maldet se ejecutarán mucho más rápidamente y no se necesita ninguna configuración adicional para conectar ClamAV y Maldet.

Configuración

La siguiente parte es idéntica para CentOS y Ubuntu / Debian.

Para configurar, localice el archivo CONF y ábralo con su editor de texto preferido, en este ejemplo, estamos usando Nano:

nano /usr/local/maldetect/conf.maldet

Desde aquí, puede configurar las opciones de cuarentena y configurar correos electrónicos para que pueda escanear resultados tan pronto como se complete.

• email_alert: para recibir alertas por correo electrónico, establezca este valor en 1.
• email_subj: establezca el asunto de su correo electrónico aquí.
• email_addr: agregue su dirección de correo electrónico para recibir notificaciones por correo electrónico.
• quar_hits: la acción de cuarentena predeterminada para los hits de malware, debe configurarse 1.
• quar_clean: limpieza de las inyecciones de malware detectadas, esto debe establecerse en 1.
• quar_susp: la acción de suspensión predeterminada para los usuarios con hits, generalmente no se recomienda.
• quar_susp_minuid: el usuario mínimo que se puede suspender puede dejarse en forma predeterminada.

También puede automatizar el proceso de escaneo creando un trabajo cron para ejecutar el escaneo una vez al día.

Realización manual de análisis de malware

Puede ejecutar un escaneo en cualquier momento, y el usuario no podría ser más sencillo.Mientras está en SSH, puede ejecutar un escaneo en el fondo (no verá esto en la pantalla y, si agregó su correo electrónico en el archivo de configuración mencionado anteriormente, obtendrá una notificación por correo electrónico una vez completada con los resultados).La exploración de fondo se realiza como:

maldet -b /directory/to/scan

También puede ejecutar un escaneo en primer plano, que emitirá sus resultados en la pantalla. Esto se llama con:

maldet -a /directory/to/scan