CHIA SẺ:

Linux Malware Detect (MalDet hoặc LMD) cùng với ClamAV (Antivirus Engine) là bộ đôi công cụ rất hữu hiệu để quét các loại malware (virus, spyware và adware) khỏi VPS/Server. Trong bài viết này, mình sẽ hướng dẫn các bạn cách cài đặt trên CentOS 7/6.

Cai dat Linux Malware Detect

Cài đặt Linux Malware Detect trên CentOS 7/6

Chúng ta sẽ tiến hành cài đặt Linux Malware Detect từ website chính thức. Phiên bản mới nhất hiện nay là maldetect-1.5

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar -xvf maldetect-current.tar.gz
cd maldetect-1.5
./install.sh

Sau khi cài đặt xong, LMD sẽ tạo một cronjob chạy hàng ngày.

Cấu hình Linux Malware Detect

Toàn bộ cấu hình của LMD được lưu trong file /usr/local/maldetect/conf.maldet. Chúng ta sẽ cần điều chỉnh một vài tham số như sau:

email_alert=1
email_addr=gacanepa@localhost
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quar_hits=1
quar_clean=1
clam_av=1
  1. email_alert=1 nếu bạn muốn nhận thông báo qua email
  2. email_subj=”Malware alerts for $HOSTNAME – $(date +%Y-%m-%d)” và email_addr=your@email.com
  3. quar_hits=1 sẽ chuyển malware sang khu vực cách ly và thông báo.
  4. quar_clean=1 xóa malware nếu phát hiện.
  5. clamav_scan=1 sử dụng thư viện ClamAV nếu có để quét malware.

Cài đặt ClamAV trên CentOS 7/6

Cài đặt ClamAV sẽ giúp cho Linux Malware Detect scan nhanh và hiệu quả hơn.

Đầu tiên cần tạo cài đặt repo Epel

yum install epel-release

Sau đó tiến hành cài đặt:

yum update && yum install clamd

Sử dụng Linux Malware Detect

Sau khi cài đặt hoàn tất, bạn đã có thể sử dụng LMD để quét malware được rồi. Để quét một thư mục, sử dụng lệnh sau:

maldet --scan-all /home/domain.com/public_html

Nếu bạn muốn chỉ quét một số loại file nhất định (ví dụ PHP) thì có thể sử dụng lệnh sau:

maldet --scan-all /home/domain.com/public_html/*.php

Để xem report bạn sử dụng lệnh maldet --report 14715-1421.3219 với SCANID tương ứng.

Update LMD bằng lệnh:

maldet -u

Để xóa toàn bộ file đã bị cách ly sử dụng lệnh rm -rf /usr/local/maldetect/quarantine/*

Chúc bạn thành công.

29 Comments

  1. maldetect-1.5 2

    đến bước này mình khong cai duoc nưa
    tar -xvf maldetect-current.tar.gz
    maldetect-1.5
    cd: maldetect-1.4.2: No such file or directory
    hoăc
    cd maldetect-1.5: command not found

    Thanks you

  2. Hùng 14

    Mình tìm thấy file php nó chứa script mã độc, nhưng dùng lệnh rm -rf /usr/local/maldetect/quarantine/* nó ko xoá được các file đó.

    Vậy cho mình hỏi mình xoá thủ công hay có cách nào tìm rồi thì tự động xoá nó luôn?

  3. Phan Phieu 7

    Bài viết rất hữu ích vì vps mình đang bị virus nhưng cài vẫn chưa được, mình thấy lỗi như sau:
    ————
    [root@vultr ~]# tar -xvf maldetect-current.tar.gz
    maldetect-1.5
    [root@vultr ~]# cd maldetect-1.5
    -bash: cd: maldetect-1.5: No such file or directory
    ————
    Khắc phục như thế nào hả bạn?
    Xin cám ơn!

      1. Phan Phiêu 7

        Mình mkdir maldetect thì nó báo là file đã tồn tại, nhưng sao không cd được?
        ————-
        [root@vultr ~]# mkdir maldetect-1.5
        mkdir: cannot create directory `maldetect-1.5′: File exists
        [root@vultr ~]# cd maldetect-1.5
        -bash: cd: maldetect-1.5: No such file or directory
        [root@vultr ~]#
        ————-

  4. The 1

    Hi a Luân,
    Em cài maldetect mà nó bị thế này:

    [root@wellness-nyc1 home]# tar -xvf maldetect-current.tar.gz
    maldetect-1.5
    [root@wellness-nyc1 home]# cd maldetect-1.5
    -bash: cd: maldetect-1.5: No such file or directory

    Làm sao sửa anh?

  5. Chi Can Nguyen 8

    Không biết mình cài đặt có sai chổ nào không nữa, quét thì 3k file mà ko phát hiện được gì trong khi mình mới up con shell r57.php lên .. 🙁 có config sai gì ko nhỉ

  6. perheart 1

    Hi,
    Mình đã cài thành công tuy nhiên khi chạy thì bị báo lỗi
    “could not find required binary wget, aborting.”
    đã cài thêm wget tuy nhiên vẫn bị thế, ko biết lỗi do dâu 🙂
    Thank thím

  7. kieuqtoan 8

    Có gì đó không ổn anh ạ
    Em có 12 cái web mà nó quét chỉ báo:

    TOTAL FILES: 435
    TOTAL HITS: 0
    TOTAL CLEANED: 0

    Trong có 32s

  8. Tenno 3

    Mình muốn config để tự động scan theo thời gian cài đặt hoặc off đi thì làm thế nào Luân nhỉ?

  9. vé máy bay 8

    mình cài xong lúc quét thì nó báo lỗi này

    maldet(2124): {scan} signatures loaded: 10904 (8987 MD5 / 1917 HEX / 0 USER)
    maldet(2124): {scan} building file list for /home, this might take awhile…
    maldet(2124): {scan} setting nice scheduler priorities for all operations: cpunice 19 , ionice 6
    maldet(2124): {scan} file list completed in 0s, found 35582 files…
    maldet(2124): {scan} found clamav binary at /usr/bin/clamscan, using clamav scanner engine…
    maldet(2124): {scan} scan of /home (35582 files) in progress…
    maldet(2124): {scan} clamscan returned an error, check /usr/local/maldetect/logs/clamscan_log for more details!

    maldet(2124): {scan} scan completed on /home: files 35582, malware hits 0, cleaned hits 0, time 2s
    maldet(2124): {scan} scan report saved, to view run: maldet –report 160711-0912.2124

    1. Luân Trần Admin

      Bạn check log xem có thông tin gì không: /usr/local/maldetect/logs/clamscan_log

      1. vé máy bay 8

        mình check thì nó báo vậy nè

        Jul 11 09:22:53 vultr clamscan start
        Jul 11 09:22:53 vultr executed: /bin/nice -n 19 /usr/bin/ionice -c2 -n 6 /usr/bin/clamscan –max-filesize=5M –max-scansize=5M -d /usr/local/maldetect/tmp/.runtime.user.2837.hdb -$
        LibClamAV Warning: **************************************************
        LibClamAV Warning: *** The virus database is older than 7 days! ***
        LibClamAV Warning: *** Please update it as soon as possible. ***
        LibClamAV Warning: **************************************************
        LibClamAV Error: Can’t load /var/lib/clamav/main.cvd: Can’t verify database integrity
        LibClamAV Error: cli_loaddbdir(): error loading database /var/lib/clamav/main.cvd
        ERROR: Can’t verify database integrity
        Jul 11 09:22:54 vultr clamscan end
        Jul 11 09:22:54 vultr clamscan end
        Jul 11 09:23:11 vultr clamscan start
        Jul 11 09:23:11 vultr executed: /bin/nice -n 19 /usr/bin/ionice -c2 -n 6 /usr/bin/clamscan –max-filesize=5M –max-scansize=5M -d /usr/local/maldetect/tmp/.runtime.user.3047.hdb -$
        LibClamAV Warning: **************************************************
        LibClamAV Warning: *** The virus database is older than 7 days! ***
        LibClamAV Warning: *** Please update it as soon as possible. ***
        LibClamAV Warning: **************************************************
        LibClamAV Error: Can’t load /var/lib/clamav/main.cvd: Can’t verify database integrity
        LibClamAV Error: cli_loaddbdir(): error loading database /var/lib/clamav/main.cvd
        ERROR: Can’t verify database integrity
        Jul 11 09:23:11 vultr clamscan end
        Jul 11 09:23:11 vultr clamscan end

          1. Thịnh Lê 8

            bạn chạy lệnh freshclam để update main.cvd nhé. sau đó chạy lệnh maldet –scan-all /home/domain.com/public_html bình thường nhé. Không có hack gì đâu bạn

  10. Canh 1

    Mình đã cài và quét thử thì ok, nhưng nếu quar_clean=0 hoặc 1, chạy lệnh clean theo help của maldet thì báo lỗi, chỉ xóa bằng lệnh rm -rf được thôi.
    Nếu quar_clean=0 thì bị lỗi:
    maldet(5165): malware cleaning disabled – skipping /usr/local/maldetect/quarantine/.
    Nếu quar_clean=1 thì bị lỗi:
    file path error on /usr/local/maldetect/quarantine/., aborting.
    Bạn có thể giúp mình lỗi này được ko?

  11. trung do 5

    Mình sử dụng gói hocvps và đã cài maldetect.
    Mỗi ngày mình đều scan dc vài file malware, mình nghĩ có thể vps lỗ hổng nào rồi nên các malware được tạo tự động như vậy, Nhờ a Luân tư vấn

    1. Luân Trần Admin

      Bạn cần kiểm tra lại code của bạn ấy, vì thường hacker khai thác thông qua lỗ hổng nào đó. Tuyệt đối không dùng plugin/theme không rõ nguồn gốc nhé.

      Còn VPS thì gần như không bao giờ có chuyện gì đâu.

Comment của bạn

Your email address will not be published. Required fields are marked *