Установка:
# cd /tmp/
# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
# tar xfz maldetect-current.tar.gz
# cd maldetect-*
# ./install.sh
Включаем отправку почтовых уведомлений и указываем email:
# vim /usr/local/maldetect/conf.maldet
email_alert=1
email_subj="maldet alert from $(hostname)"
Добавляем задание в крон, каждую ночь обновлять базы и сканировать все файлы в /var/www:
# crontab -e
30 0 * * * /usr/local/maldetect/maldet -d -u ; nice -n 19 ionice -c2 -n7 /usr/local/maldetect/maldet --scan-all /var/www
Запуск сканирования (-b -- сканирование в фоновом режиме):
# maldet -b --scan-all /var/www/
Вывод списка отчетов:
# maldet --report list
Просмотр отчета:
# maldet --report 021715-1414.3266
Отправка зараженных файлов из отчета в карантин:
# cd /tmp/
# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
# tar xfz maldetect-current.tar.gz
# cd maldetect-*
# ./install.sh
Включаем отправку почтовых уведомлений и указываем email:
# vim /usr/local/maldetect/conf.maldet
email_alert=1
email_subj="maldet alert from $(hostname)"
Добавляем задание в крон, каждую ночь обновлять базы и сканировать все файлы в /var/www:
# crontab -e
30 0 * * * /usr/local/maldetect/maldet -d -u ; nice -n 19 ionice -c2 -n7 /usr/local/maldetect/maldet --scan-all /var/www
Запуск сканирования (-b -- сканирование в фоновом режиме):
# maldet -b --scan-all /var/www/
Вывод списка отчетов:
# maldet --report list
Просмотр отчета:
# maldet --report 021715-1414.3266
Отправка зараженных файлов из отчета в карантин:
# maldet -q 021715-1414.3266
Восстановление зараженных файлов из карантина:
Удалить обнаруженные зараженные файлы:
# maldet --clean 021715-1414.3266
Исключить файлы и каталоги из сканирования:
# echo "/var/www/user/dir_of_file" >> /usr/local/maldetect/ignore_paths
# echo "*.js" >> /usr/local/maldetect/ignore_file_ext
Исключить поиск сигнатур из сканирования:
# echo "base64.inject.unclassed" >> /usr/local/maldetect/ignore_sigs
В моем случае нужно было просканировать почти 5 миллионов файлов в каталоге /var/www, что весьма долго.
Восстановление зараженных файлов из карантина:
# maldet --restore 021715-1414.3266
Удалить обнаруженные зараженные файлы:
# maldet --clean 021715-1414.3266
Исключить файлы и каталоги из сканирования:
# echo "/var/www/user/dir_of_file" >> /usr/local/maldetect/ignore_paths
# echo "*.js" >> /usr/local/maldetect/ignore_file_ext
Исключить поиск сигнатур из сканирования:
# echo "base64.inject.unclassed" >> /usr/local/maldetect/ignore_sigs
В моем случае нужно было просканировать почти 5 миллионов файлов в каталоге /var/www, что весьма долго.
Вот как можно мониторить примерное время просканированных файлов.
Ищем процесс малдета:
# ps aufx | grep maldet | grep -v grep
root 5217 0.2 0.0 113732 2220 pts/1 SN+ 14:23 0:25 \_ /bin/bash /usr/local/maldetect/maldet --scan-all /var/www
root 7601 0.0 0.0 113732 1340 pts/1 SN+ 14:24 0:00 \_ /bin/bash /usr/local/maldetect/maldet --scan-all /var/www
root 7602 94.5 0.5 420292 333344 pts/1 RN+ 14:24 140:46 \_ /usr/bin/clamscan -d /usr/local/maldetect/sigs/rfxn.ndb -d /usr/local/maldetect/sigs/rfxn.hdb -d /var/lib/clamav -r --infected --no-summary -f /usr/local/maldetect/tmp/.find.5217
Видим, что список со сканируемыми файлами малдет сохранил в /usr/local/maldetect/tmp/.find.5217:
# wc -l /usr/local/maldetect/tmp/.find.5217
4966504 /usr/local/maldetect/tmp/.find.5217
Смотрим lsof, для процесса с PID 7602, чтобы определить, какой файл сейчас использует процесс:
# lsof -p 7602 | grep "/var/www"
clamscan 7602 root 4r REG 259,1 14994 33981219 /var/www/user/data/www/site.com/wp-content/uploads/2015/03/17170_html_72f25869-220x130.jpg
Грепаем временный файл и выясняем, какой по счету файл сейчас сканируется:
# cat /usr/local/maldetect/tmp/.find.5217 -n | grep "/var/www/user/data/www/site.com/wp-content/uploads/2015/03/17170_html_72f25869-220x130.jpg"
3018488 /var/www/user/data/www/site.com/wp-content/uploads/2015/03/17170_html_72f25869-220x130.jpg
То есть, из 4.9 млн файлов уже просканировалось более 3 млн. Учитывая то, что процесс clamscan (см. ps aufx выше) работает 140 минут, ему еще осталось работать порядка 90 минут.
Подробная информация: https://www.rfxn.com/appdocs/README.maldetect
Подробная информация: https://www.rfxn.com/appdocs/README.maldetect
Комментариев нет:
Отправить комментарий