Como detectar e limpar malware de um servidor Linux com Maldet
Malware é um software malicioso cujo objetivo é interromper o funcionamento normal e tranquilo de um sistema de computador ou servidor, coletar informações privadas ou apenas obter acesso não autorizado ao sistema/servidor. Os sistemas Linux são conhecidos por terem poucos softwares maliciosos em comparação com o Windows, mas isso não significa que os usuários do Linux devam ficar tranquilos.
A maioria dos ataques ao Linux visa explorar bugs em serviços como contêineres Java e navegadores, e seu principal objetivo é mudar a forma como o serviço visado funciona e, às vezes, fechá-lo completamente.
Um dos ataques mais perigosos em um sistema Linux ocorre quando um invasor tenta obter as credenciais de login de um usuário. Quando isso for bem-sucedido, o hacker poderá executar o que quiser e ter acesso a dados confidenciais. Eles também podem atacar outras máquinas conectadas ao servidor Linux. Para combater isso, os usuários podem usar o Maldet para detectar e limpar malware do Linux e manter seus sistemas limpos.
Detecção de malware Linux
Maldet também é conhecido como Linux Malware Detect (LMD). É um scanner de malware Linux que foi desenvolvido para lidar com ameaças comuns em ambientes hospedados compartilhados. Ele usa dados de ameaças de sistemas de detecção de invasões de borda de rede para extrair malware que está sendo usado ativamente em ataques e gera assinaturas para detecção. Embora pareça complicado, é fácil de usar.
Instalando Maldet
Abra um terminal e execute o comando abaixo para baixar o aplicativo:
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
Descompacte o arquivo baixado usando o comando abaixo:
tar -xvf maldetect-current.tar.gz
Altere a pasta ativa para a pasta que contém o arquivo maldetect extraído:
cd maldetect-x.y
"xy" é o número da versão do aplicativo. Nesta pasta existe o script "install.sh". A próxima etapa é executar o script usando o seguinte comando:
sudo ./install.sh
Se a instalação for bem-sucedida, você será notificado. Você também será informado onde o Maldet foi instalado. No meu caso, foi instalado como "/usr/local/maldetect".
Configuração
Após a instalação do Maldet, um arquivo de configuração é criado no diretório Maldet chamado "conf.maldet". Para editá-lo, abra-o usando um editor de texto.
gksu gedit /usr/local/maldetect/conf.maldet
Ou você pode usar “nano” ou “vi” para editá-lo no terminal:
sudo nano /usr/local/maldetect/conf.maldet
Abaixo está um exemplo de opções que podem ser definidas:
Notificação de Email
Receba uma notificação por e-mail quando um malware for detectado.
- Defina "email_alert" como 1.
- Adicione seu endereço de e-mail à opção "email_addr".
- Altere "email_ignore_clean" para 1. Isso é usado para ignorar alertas enviados a você quando o malware é limpo automaticamente.
Opções de quarentena
Ações a serem tomadas quando um malware é detectado:
- Defina "quarantine_hits" como 1 para que os arquivos afetados sejam automaticamente colocados em quarentena.
- Defina "quarantine_clean" como 1 para limpar automaticamente os arquivos afetados. Definir como 0 permite que você primeiro inspecione os arquivos antes de limpá-los.
- Definir "quarantine_suspend_user" como 1 suspenderá os usuários cujas contas foram afetadas, enquanto "quarantine_suspend_user_minuid" definirá o ID mínimo do usuário a ser suspenso. Isso é definido como 500 por padrão, mas pode ser alterado.
Existem muitas outras opções de configuração que você pode percorrer e fazer as alterações necessárias. Assim que terminar a configuração, salve e feche o arquivo.
Verificando malware
Você pode executar uma verificação básica manualmente ou automatizar uma verificação periódica.
Para executar uma verificação, execute o seguinte comando:
sudo maldet --scan-all /folders/to/scan
Quando este comando é executado, uma lista de arquivos é criada a partir dos diretórios no caminho e a verificação dos arquivos é iniciada. Altere o caminho do arquivo "/folders/to/scan" para o diretório onde você deseja que o Maldet faça a varredura. Após a verificação, um relatório é gerado e você pode ver quais arquivos foram afetados.
Como colocar arquivos afetados em quarentena
Se você definir "quarantine_hits" como 1, Maldet moverá automaticamente os arquivos afetados para quarentena. Quando definido como 0, o relatório gerado mostra a localização dos arquivos afetados. Você pode então inspecionar os arquivos e decidir se deseja limpá-los ou não.
Restaurando um arquivo
Às vezes, você pode ter um falso positivo, fazendo com que um arquivo seja colocado em quarentena pelo motivo errado. Para restaurar esse arquivo, execute o seguinte comando:
sudo maldet -restore FILENAME
Verificação automática
Durante a instalação do Maldet, um recurso cronjob também é instalado em "/etc/cron.daily/maldet." Isso verificará os diretórios iniciais, bem como quaisquer arquivos/pastas que foram alterados recentemente diariamente. Ele sempre notificará você sobre qualquer malware por meio do endereço de e-mail no arquivo de configuração.
Conclusão
Muitas pessoas dizem que os sistemas Linux são imunes a malware, mas isso não é verdade. Você pode ser induzido a instalar software malicioso ou o malware pode até ser espalhado por e-mails, o que causaria danos ao seu sistema. Existem também muitas outras vulnerabilidades onde os hackers tentam obter acesso não autorizado, tornando o sistema inseguro. Para ficar seguro, você pode usar o Maldet para manter seu sistema limpo. Outras medidas que você pode tomar incluem a configuração de monitoramento de rede e regras de firewall, entre outras.