Cài đặt và sử dụng maldet (Linux Malware Detect – LMD)

Để cài đặt maldet, đầu tiên bạn cần đăng nhập vào VPS/Server sử dụng phương thức SSH bằng phần mềm putty. Sau đó, hãy bắt đầu gõ dòng lệnh để tải về:

# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Giải nén:

# tar xfz maldetect-current.tar.gz

Truy cập vào thư mục vừa giải nén:

# cd maldetect-*

Và bắt đầu cài đặt bằng lệnh sau:

# ./install.sh

Một số thông tin hiện ra, và khi cài đặt thành công, bạn sẽ nhìn thấy các thông tin tương tự dưới đây:

maldet(5206): {sigup} performing signature update check...
maldet(5206): {sigup} local signature set is version 201205035915
maldet(5206): {sigup} latest signature set already installed

Hãy nhớ vị trí file cấu hình cho phần mềm sẽ nằm tại /usr/local/maldetect/conf.maldet nhé!

CẤU HÌNH MALDET

Để cấu hình maldet, bạn có thể sử dụng nhiều công cụ chỉnh sửa file khác nhau, ở đây thuận tiện là vi editor. Bạn truy cập vào SSH thông qua phần mềm putty và nhập lệnh sau:

# vi /usr/local/maldetect/conf.maldet

Các thông tin bạn có thể thay đổi:

email_alert (lựa chọn 0 hoặc 1): sẽ cho phép hệ thống gửi báo cáo nếu phát hiện malware hoặc khi hoàn thành tác vụ quét tới email được nêu dưới đây. (mặc định là 0)

email_addr: mục này bạn có thể nhập địa chỉ email muốn nhận thông tin liên quan tới việc scan malware hoặc các báo cáo khi tác vụ hoàn thành. (vd: support@gmail.com)

quar_clean (lựa chọn là 0 hoặc 1): sẽ cho phép hệ thống được quyền xóa các dữ liệu bị nghi ngờ là malware. Khuyến cáo nên chọn 1.

quar_susp (lựa chọn là 0 hoặc 1): sẽ cho phép maldet khóa tài khoản có chứa malware sau khi scan phát hiện. Khuyến cáo nên chọn là 1 để có thể tránh việc lây lan nguy cơ bảo mật sang các tài khoản khác.

SCAN MALWARE SỬ DỤNG MALDET

Thông thường có nhiều cách để sử dụng maldet khác nhau, dưới đây là một vài ví dụ hướng dẫn giúp bạn hiểu rõ hơn các lệnh cơ bản:

Nếu VPS/máy chủ của bạn đang sử dụng phần mềm quản trị cPanel, hãy sử dụng dòng lệnh sau:

# maldet -–scan-all /home/?/public_html

Và bạn sẽ thấy một số thông tin chẳng hạn như dưới đây:

maldet(12180): {scan} signatures loaded: 11337 (9465 MD5 / 1872 HEX)
maldet(12180): {scan} building file list for /home/*/public_html, this might take awhile…

Sau khi việc scan hoàn tất, bạn sẽ nhìn thấy thông tin ID của báo cáo mà maldet tạo ra.

Để cách ly các mã nhiễm độc, bạn sử dụng lệnh sau:

# maldet –quarantine SCANID

Nếu bạn muốn xóa các mã nhiễm độc, bạn sử dụng lệnh sau:

# maldet –clean SCANID

Với việc thường xuyên sử dụng công cụ maldet định kỳ (hàng tuần hoặc hàng tháng), VPS/Server của bạn sẽ hạn chế được các nguy cơ bảo mật do người sử dụng upload hoặc bị tấn công bởi những lỗ hổng từ mã nguồn.

Related Articles