Blog

Home   /   blog   /   Linux Malware Detect (LMD) di Linux

Linux Malware Detect (LMD) di Linux

Linux Malware Detect (LMD) merupakan tools untuk malware scanner di Linux yang dirilis dibawah lisensi GNU GPL v2. Linux Malware Detect (LMD) ini di desain secara khusus untuk menangani ancaman yang ada di lingkungan shared hosted karena pada lingkungan ini banyak sekali user yang melakukan aktivitas ke sistem dan berbagi resource sehingga memerlukan tools secara otomatis untuk mendeteksi adanya malware atau serangan dari luar.

1) Instalasi Linux Malware Detect (LMD)

Untuk melakukan instalasi LMD, tidak ada paket berupa .rpm atau .deb atau repository pada distro linux. Instalasi LMD ini dilakukan secara manual dengan mengikuti langkah-langkah sebagai berikut:
# Downloading LMD archive file #
# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

# Extracting LMD archive file #
# tar -zxvf maldetect-current.tar.gz

# Navigate to extracted directory #
# cd maldetect-1.5

# Install LMD #
# ./install.sh

2) Konfigurasi LMD ( Linux Malware Detect )

Konfigurasi LMD secara default berada di /usr/local/maldetect/conf.maldet dan semua opsi sudah ada penjelasannya sehingga memudahkan untuk melakukan konfignya. Secara default LMD men-disable auto-qurantine file dan kita perlu meng-enable kan ini. Ada juga beberapa konfigurasi yang perlu disesuaikan sebagai berikut.
# Open conf.maldet file #
# nano /usr/local/maldetect/conf.maldet

# To get email alert #
email_alert=1

# Add your meail id to get email alert #
info@edusoftcenter.com

# To move malware to quarantine & alert #
quarantine_hits=1

# Clean injected malware #
quarantine_clean=1

# To suspend/disable your wish #
quarantine_suspend_user=0

# To set minimum user id that can be suspended #
quarantine_suspend_user_minuid=500

3) Scan Sistem Linux

Untuk melakukan scanning menggunakan LMD, bisa dengan perintah maldet diikuti dengan direktori yang akan di scan.
# maldet --scan-all /opt
Linux Malware Detect v1.5
            (C) 2002-2015, R-fx Networks
            (C) 2015, Ryan MacDonald
This program may be freely redistributed under the terms of the GNU GPL v2

maldet(4465): {scan} signatures loaded: 10822 (8908 MD5 / 1914 HEX / 0 USER)
maldet(4465): {scan} building file list for /opt, this might take awhile...
maldet(4465): {scan} setting nice scheduler priorities for all operations: cpunice 19 , ionice 6
maldet(4465): {scan} file list completed in 0s, found 1 files...
maldet(4465): {scan} scan of /opt (1 files) in progress...
maldet(4465): {scan} 1/1 files scanned: 0 hits 0 cleaned
maldet(4465): {scan} scan completed on /opt: files 1, malware hits 0, cleaned hits 0, time 1s
maldet(4465): {scan} scan report saved, to view run: maldet --report 151218-2043.4465

4) Cetak Laporan Scan

Untuk melihat laporan scan LMD, bisa menggunakan perintah maldet diikuti dengan Scan ID yang ada pada output scan. Output scan disimpan dalam direktori /usr/local/maldetect/sess/.
# maldet --report 151218-2043.4465

HOST:      2daygeek
SCAN ID:   151218-2043.4465
STARTED:   Dec 18 2015 20:43:23 +0530
COMPLETED: Dec 18 2015 20:43:24 +0530
ELAPSED:   1s [find: 0s]

PATH:          /opt
TOTAL FILES:   1
TOTAL HITS:    0
TOTAL CLEANED: 0

===============================================
Linux Malware Detect v1.5 < proj@rfxn.com >

5) Menghapus file yang ter-inject

Jika pada saat scan terdapat malware yang terinjeksi ke dalam sistem, gunakan perintah berikut untuk menghapus malware tersebut.
# To quarantine the infected files #
# maldet -q SCANID

# To clean infected files #
# maldet -n SCANID

6) LMD & signatures Update terbaru

Gunakan kedua perintah berikut untuk melakukan update LMD & virus signatures terbaru.
# Update the installed version from rfxn.com #
# maldet -d

# Update malware detection signatures from rfxn.com #
# maldet -u

7) Live Monitoring

Jika ingin mengaktifkan monitor pada folder tertentu, dapat dilakukan dengan menjalankan maldet secara daemon. Tool ini dapat digabung dengan inotify-tools, sehingga perlu diinstall aplikasi tersebut untuk menjalankan live monitoring.
# apt-get install inotify-tools

# maldet -m /home/daygeek
Linux Malware Detect v1.5
            (C) 2002-2015, R-fx Networks
            (C) 2015, Ryan MacDonald
This program may be freely redistributed under the terms of the GNU GPL v2

maldet(5814): {mon} set inotify max_user_watches to 49152
maldet(5814): {mon} added /home/daygeek to inotify monitoring array
maldet(5814): {mon} starting inotify process on 1 paths, this might take awhile...
maldet(5814): {mon} inotify startup successful (pid: 5912)
maldet(5814): {mon} inotify monitoring log: /usr/local/maldetect/logs/inotify_log
Gunakan perintah tail untuk melihat log diatas secara live.

8) Automatic Scan

Pada saat instalasi LMD, terdapat file /etc/cron.daily/maldet yang dengan itu dapat dilakukan penjadwalan scan secara periodik.

Leave a Reply

Your email address will not be published. Required fields are marked *