Linux Malware Detect (LMD) di Linux
Linux Malware Detect (LMD) merupakan tools untuk malware scanner di Linux yang dirilis dibawah lisensi GNU GPL v2. Linux Malware Detect (LMD) ini di desain secara khusus untuk menangani ancaman yang ada di lingkungan shared hosted karena pada lingkungan ini banyak sekali user yang melakukan aktivitas ke sistem dan berbagi resource sehingga memerlukan tools secara otomatis untuk mendeteksi adanya malware atau serangan dari luar.
1) Instalasi Linux Malware Detect (LMD)
Untuk melakukan instalasi LMD, tidak ada paket berupa .rpm atau .deb atau repository pada distro linux. Instalasi LMD ini dilakukan secara manual dengan mengikuti langkah-langkah sebagai berikut:
# Downloading LMD archive file # # wget http://www.rfxn.com/downloads/maldetect-current.tar.gz # Extracting LMD archive file # # tar -zxvf maldetect-current.tar.gz # Navigate to extracted directory # # cd maldetect-1.5 # Install LMD # # ./install.sh
2) Konfigurasi LMD ( Linux Malware Detect )
Konfigurasi LMD secara default berada di /usr/local/maldetect/conf.maldet dan semua opsi sudah ada penjelasannya sehingga memudahkan untuk melakukan konfignya. Secara default LMD men-disable auto-qurantine file dan kita perlu meng-enable kan ini. Ada juga beberapa konfigurasi yang perlu disesuaikan sebagai berikut.
# Open conf.maldet file # # nano /usr/local/maldetect/conf.maldet # To get email alert # email_alert=1 # Add your meail id to get email alert # info@edusoftcenter.com # To move malware to quarantine & alert # quarantine_hits=1 # Clean injected malware # quarantine_clean=1 # To suspend/disable your wish # quarantine_suspend_user=0 # To set minimum user id that can be suspended # quarantine_suspend_user_minuid=500
3) Scan Sistem Linux
Untuk melakukan scanning menggunakan LMD, bisa dengan perintah maldet diikuti dengan direktori yang akan di scan.
# maldet --scan-all /opt Linux Malware Detect v1.5 (C) 2002-2015, R-fx Networks (C) 2015, Ryan MacDonald This program may be freely redistributed under the terms of the GNU GPL v2 maldet(4465): {scan} signatures loaded: 10822 (8908 MD5 / 1914 HEX / 0 USER) maldet(4465): {scan} building file list for /opt, this might take awhile... maldet(4465): {scan} setting nice scheduler priorities for all operations: cpunice 19 , ionice 6 maldet(4465): {scan} file list completed in 0s, found 1 files... maldet(4465): {scan} scan of /opt (1 files) in progress... maldet(4465): {scan} 1/1 files scanned: 0 hits 0 cleaned maldet(4465): {scan} scan completed on /opt: files 1, malware hits 0, cleaned hits 0, time 1s maldet(4465): {scan} scan report saved, to view run: maldet --report 151218-2043.4465
4) Cetak Laporan Scan
Untuk melihat laporan scan LMD, bisa menggunakan perintah maldet diikuti dengan Scan ID yang ada pada output scan. Output scan disimpan dalam direktori /usr/local/maldetect/sess/.
# maldet --report 151218-2043.4465 HOST: 2daygeek SCAN ID: 151218-2043.4465 STARTED: Dec 18 2015 20:43:23 +0530 COMPLETED: Dec 18 2015 20:43:24 +0530 ELAPSED: 1s [find: 0s] PATH: /opt TOTAL FILES: 1 TOTAL HITS: 0 TOTAL CLEANED: 0 =============================================== Linux Malware Detect v1.5 < proj@rfxn.com >
5) Menghapus file yang ter-inject
Jika pada saat scan terdapat malware yang terinjeksi ke dalam sistem, gunakan perintah berikut untuk menghapus malware tersebut.
# To quarantine the infected files # # maldet -q SCANID # To clean infected files # # maldet -n SCANID
6) LMD & signatures Update terbaru
Gunakan kedua perintah berikut untuk melakukan update LMD & virus signatures terbaru.
# Update the installed version from rfxn.com # # maldet -d # Update malware detection signatures from rfxn.com # # maldet -u
7) Live Monitoring
Jika ingin mengaktifkan monitor pada folder tertentu, dapat dilakukan dengan menjalankan maldet secara daemon. Tool ini dapat digabung dengan inotify-tools, sehingga perlu diinstall aplikasi tersebut untuk menjalankan live monitoring.
# apt-get install inotify-tools # maldet -m /home/daygeek Linux Malware Detect v1.5 (C) 2002-2015, R-fx Networks (C) 2015, Ryan MacDonald This program may be freely redistributed under the terms of the GNU GPL v2 maldet(5814): {mon} set inotify max_user_watches to 49152 maldet(5814): {mon} added /home/daygeek to inotify monitoring array maldet(5814): {mon} starting inotify process on 1 paths, this might take awhile... maldet(5814): {mon} inotify startup successful (pid: 5912) maldet(5814): {mon} inotify monitoring log: /usr/local/maldetect/logs/inotify_log
Gunakan perintah tail untuk melihat log diatas secara live.
8) Automatic Scan
Pada saat instalasi LMD, terdapat file /etc/cron.daily/maldet yang dengan itu dapat dilakukan penjadwalan scan secara periodik.