Pesquisa de site

Como detectar e limpar malware de um servidor Linux com Maldet


Malware é um software malicioso cujo objetivo é interromper o funcionamento normal e tranquilo de um sistema de computador ou servidor, coletar informações privadas ou apenas obter acesso não autorizado ao sistema/servidor. Os sistemas Linux são conhecidos por terem poucos softwares maliciosos em comparação com o Windows, mas isso não significa que os usuários do Linux devam ficar tranquilos.

A maioria dos ataques ao Linux visa explorar bugs em serviços como contêineres Java e navegadores, e seu principal objetivo é mudar a forma como o serviço visado funciona e, às vezes, fechá-lo completamente.

Um dos ataques mais perigosos em um sistema Linux ocorre quando um invasor tenta obter as credenciais de login de um usuário. Quando isso for bem-sucedido, o hacker poderá executar o que quiser e ter acesso a dados confidenciais. Eles também podem atacar outras máquinas conectadas ao servidor Linux. Para combater isso, os usuários podem usar o Maldet para detectar e limpar malware do Linux e manter seus sistemas limpos.

Detecção de malware Linux

Maldet também é conhecido como Linux Malware Detect (LMD). É um scanner de malware Linux que foi desenvolvido para lidar com ameaças comuns em ambientes hospedados compartilhados. Ele usa dados de ameaças de sistemas de detecção de invasões de borda de rede para extrair malware que está sendo usado ativamente em ataques e gera assinaturas para detecção. Embora pareça complicado, é fácil de usar.

Instalando Maldet

Abra um terminal e execute o comando abaixo para baixar o aplicativo:

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Descompacte o arquivo baixado usando o comando abaixo:

tar -xvf maldetect-current.tar.gz

Altere a pasta ativa para a pasta que contém o arquivo maldetect extraído:

cd maldetect-x.y

"xy" é o número da versão do aplicativo. Nesta pasta existe o script "install.sh". A próxima etapa é executar o script usando o seguinte comando:

sudo ./install.sh

Se a instalação for bem-sucedida, você será notificado. Você também será informado onde o Maldet foi instalado. No meu caso, foi instalado como "/usr/local/maldetect".

Configuração

Após a instalação do Maldet, um arquivo de configuração é criado no diretório Maldet chamado "conf.maldet". Para editá-lo, abra-o usando um editor de texto.

gksu gedit /usr/local/maldetect/conf.maldet

Ou você pode usar “nano” ou “vi” para editá-lo no terminal:

sudo nano /usr/local/maldetect/conf.maldet

Abaixo está um exemplo de opções que podem ser definidas:

Notificação de Email

Receba uma notificação por e-mail quando um malware for detectado.

  • Defina "email_alert" como 1.
  • Adicione seu endereço de e-mail à opção "email_addr".
  • Altere "email_ignore_clean" para 1. Isso é usado para ignorar alertas enviados a você quando o malware é limpo automaticamente.

Opções de quarentena

Ações a serem tomadas quando um malware é detectado:

  • Defina "quarantine_hits" como 1 para que os arquivos afetados sejam automaticamente colocados em quarentena.
  • Defina "quarantine_clean" como 1 para limpar automaticamente os arquivos afetados. Definir como 0 permite que você primeiro inspecione os arquivos antes de limpá-los.
  • Definir "quarantine_suspend_user" como 1 suspenderá os usuários cujas contas foram afetadas, enquanto "quarantine_suspend_user_minuid" definirá o ID mínimo do usuário a ser suspenso. Isso é definido como 500 por padrão, mas pode ser alterado.

Existem muitas outras opções de configuração que você pode percorrer e fazer as alterações necessárias. Assim que terminar a configuração, salve e feche o arquivo.

Verificando malware

Você pode executar uma verificação básica manualmente ou automatizar uma verificação periódica.

Para executar uma verificação, execute o seguinte comando:

sudo maldet --scan-all /folders/to/scan

Quando este comando é executado, uma lista de arquivos é criada a partir dos diretórios no caminho e a verificação dos arquivos é iniciada. Altere o caminho do arquivo "/folders/to/scan" para o diretório onde você deseja que o Maldet faça a varredura. Após a verificação, um relatório é gerado e você pode ver quais arquivos foram afetados.

Como colocar arquivos afetados em quarentena

Se você definir "quarantine_hits" como 1, Maldet moverá automaticamente os arquivos afetados para quarentena. Quando definido como 0, o relatório gerado mostra a localização dos arquivos afetados. Você pode então inspecionar os arquivos e decidir se deseja limpá-los ou não.

Restaurando um arquivo

Às vezes, você pode ter um falso positivo, fazendo com que um arquivo seja colocado em quarentena pelo motivo errado. Para restaurar esse arquivo, execute o seguinte comando:

sudo maldet -restore FILENAME

Verificação automática

Durante a instalação do Maldet, um recurso cronjob também é instalado em "/etc/cron.daily/maldet." Isso verificará os diretórios iniciais, bem como quaisquer arquivos/pastas que foram alterados recentemente diariamente. Ele sempre notificará você sobre qualquer malware por meio do endereço de e-mail no arquivo de configuração.

Conclusão

Muitas pessoas dizem que os sistemas Linux são imunes a malware, mas isso não é verdade. Você pode ser induzido a instalar software malicioso ou o malware pode até ser espalhado por e-mails, o que causaria danos ao seu sistema. Existem também muitas outras vulnerabilidades onde os hackers tentam obter acesso não autorizado, tornando o sistema inseguro. Para ficar seguro, você pode usar o Maldet para manter seu sistema limpo. Outras medidas que você pode tomar incluem a configuração de monitoramento de rede e regras de firewall, entre outras.

Artigos relacionados