segunda-feira, 23 de abril de 2012

LMD - Linux Malware Detect - SlackWare

Neste post estarei falando sobre uma ótima ferramenta de detecção de Malware, o LMD (Linux Malware Detect).

Vamos a instalação:

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

tar -xvf maldetect-current.tar.gz

cd maldetect-*

sh install.sh


O arquivo de configuração:

/usr/local/maldetect/conf.maldet

Abaixo segue um exemplo:



Uma alteração importante a ser feita para o Slackware é a alterar a variável do inotify_webdir.

Por default estará desta forma:

inotify_webdir=public_html

Alteramos para:

inotify_webdir=/var/www/htdocs


Após estes passos vamos começar a monitorar

Criamos um arquivo onde nele incluíremos os PATHS que vamos estar monitorando em realtime:

root@boot-v1:/etc/scripts# cat maldet_path.sh
/home
/tmp
/var/www/htdocs/

Depois vamos executar a monitoração conforme abaixo:

root@boot-v1:/etc/scripts# maldet --monitor /etc/scripts/maldet_path.sh
Linux Malware Detect v1.4.1
            (C) 2002-2011, R-fx Networks
            (C) 2011, Ryan MacDonald
inotifywait (C) 2007, Rohan McGovern
This program may be freely redistributed under the terms of the GNU GPL v2

maldet(7607): {mon} set inotify max_user_instances to 128
maldet(7607): {mon} set inotify max_user_watches to 46080
/usr/bin/wc: /usr/local/maldetect/sess/inotify.paths.7607: No such file or directory
maldet(7607): {mon} added /home to inotify monitoring array
maldet(7607): {mon} added /tmp to inotify monitoring array
maldet(7607): {mon} added /var/www/htdocs/ to inotify monitoring array
maldet(7607): {mon} starting inotify process on 3 paths, this might take awhile...
maldet(7607): {mon} inotify startup successful (pid: 7695)
maldet(7607): {mon} inotify monitoring log: /usr/local/maldetect/inotify/inotify_log




Segue um trecho do Log, onde a monitoração em realtime vai nos avisar de uma possível alteração dentro do diretório:


root@boot-v1:/usr/local/maldetect/inotify# tail -f inotify_log
/usr/local/maldetect/inotify/inotify_log MODIFY 27 Feb 21:55:44
/usr/local/maldetect/inotify/inotify_log MODIFY 27 Feb 21:55:44
/usr/local/maldetect/inotify/inotify_log MODIFY 27 Feb 21:55:44
/usr/local/maldetect/inotify/inotify_log MODIFY 27 Feb 21:55:44
/usr/local/maldetect/inotify/inotify_log MODIFY 27 Feb 21:55:44
/usr/local/maldetect/inotify/inotify_log MODIFY 27 Feb 21:55:44
/usr/local/maldetect/inotify/inotify_log MODIFY 27 Feb 21:55:44
/usr/local/maldetect/inotify/inotify_log MODIFY 27 Feb 21:55:44



Para maiores informações cisite o site oficial:


http://www.rfxn.com

Um comentário:

  1. ola thiago tudo bom, como slackuser que é voce ja deve ter lido ou ouvido falar na slackzine , estamos com um pessoal para retornar o projeto , gostaria de saber se voce esta afim de participar com algum material , howto e afins , fico no aguardo da vossa resposta ok

    cleitondebian@gmail.com

    ResponderExcluir

Arquivo do blog