Linux Malware Detect (MalDet hoặc LMD) cùng với ClamAV (Antivirus Engine) là bộ đôi công cụ rất hữu hiệu để quét các loại malware (virus, spyware và adware) khỏi VPS/Server. Trong bài viết này, mình sẽ hướng dẫn các bạn cách cài đặt trên CentOS 7/6.

Cai dat Linux Malware Detect

Cài đặt Linux Malware Detect trên CentOS 7/6

Chúng ta sẽ tiến hành cài đặt Linux Malware Detect từ website chính thức. Phiên bản mới nhất hiện nay là maldetect-1.6.3

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar -xvf maldetect-current.tar.gz
cd maldetect-*
./install.sh

Sau khi cài đặt xong, LMD sẽ tạo một cronjob chạy hàng ngày.

Cấu hình Linux Malware Detect

Toàn bộ cấu hình của LMD được lưu trong file /usr/local/maldetect/conf.maldet. Chúng ta sẽ cần điều chỉnh một vài tham số như sau:

email_alert=1
email_addr=gacanepa@localhost
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quar_hits=1
quar_clean=1
clam_av=1
  1. email_alert=1 nếu bạn muốn nhận thông báo qua email
  2. email_subj=”Malware alerts for $HOSTNAME – $(date +%Y-%m-%d)” và email_addr=your@email.com
  3. quar_hits=1 sẽ chuyển malware sang khu vực cách ly và thông báo.
  4. quar_clean=1 xóa malware nếu phát hiện.
  5. clamav_scan=1 sử dụng thư viện ClamAV nếu có để quét malware.

Cài đặt ClamAV trên CentOS 7/6

Cài đặt ClamAV sẽ giúp cho Linux Malware Detect scan nhanh và hiệu quả hơn.

Đầu tiên cần tạo cài đặt repo Epel

yum install epel-release

Sau đó tiến hành cài đặt:

yum update && yum install clamav

Sử dụng Linux Malware Detect

Sau khi cài đặt hoàn tất, bạn đã có thể sử dụng LMD để quét malware được rồi. Để quét một thư mục, sử dụng lệnh sau:

maldet --scan-all /home/domain.com/public_html

Nếu bạn muốn chỉ quét một số loại file nhất định (ví dụ PHP) thì có thể sử dụng lệnh sau:

maldet --scan-all /home/domain.com/public_html/*.php

Để xem report bạn sử dụng lệnh maldet --report 14715-1421.3219 với SCANID tương ứng.

Update LMD bằng lệnh:

maldet -u

Để xóa toàn bộ file đã bị cách ly sử dụng lệnh rm -rf /usr/local/maldetect/quarantine/*

Chúc bạn thành công.

Comment của bạn

Your email address will not be published. Required fields are marked *

55 Comments

  1. Hoàng Nam 2 comment

    Ad ơi ad cho thể cho mình xin câu lệnh Crontab: “chạy tự động vào lúc 2h sáng để quét và xóa toàn bộ file đã bị cách ly” luôn dc ko ??? thanks ad

  2. Tinhtiennet 12 comment

    Ad cho hỏi clamav có tự động chạy ngầm như phần mềm diệt virus trên windows ko ad? Vd nó phát hiện gì lạ tự động diệt liền hay đợi mình cho nó scan nó mới diệt được?

  3. haodv 11 comment

    Bạn hướng dẫn bản update đi, giờ tải về bản linux malware detect v1.6.3, không có thông số clam_av=1 trong cấu hình

  4. Binh Nguyen 66 comment

    Sao mình up source lên VirusTotal quét thì thấy ok và dùng Malware để quét thì thấy k có j… nhưng k hỉu sao cách 2 3 ngày thì file wp-config bị đổi thông tin database và user mặc dù đã chmod nó 400 r ..k biết nó hack kiểu j đây

  5. Nam Dang 28 comment

    Sao mình quét nó không ra được virus nhỉ. Mặc dù kiểm tra trong code có mấy file bị dính.

    ———– SCAN SUMMARY ———–
    Known viruses: 6540127
    Engine version: 0.100.0
    Scanned directories: 679
    Scanned files: 6090
    Infected files: 0
    Data scanned: 230.96 MB
    Data read: 132.64 MB (ratio 1.74:1)
    Time: 384.518 sec (6 m 24 s)

    1. Việt Phương Moderator

      Trong source code của website thì bạn down về up lên virustotal quét nhé

  6. Thành 22 comment

    Hiện tại mình down về là bản 1.6.1 và file cấu hình khác vs bản 1.5 ad ơi 🙁

  7. NGUYEN VAN PHUC 2 comment

    VPS windowsever của mình bị dính sell có phần mềm nào quet khong, windownserver 2k8

    1. Việt Phương Moderator

      Windows OS thì bạn dùng các phần mềm diệt virut của Windows OS đó, mình thấy nhiều mà

    1. Việt Phương Moderator

      Bạn cài maldet chưa thành công nên không gọi được server khi chạy lệnh rồi. Bạn kiểm tra lại các bước xem sao

      1. hùng 2 comment

        bị lỗi giống trên. lúc trc có bạn chỉ cài ed j đó hay lam2 j mà quên mất tiu. có cách nào giúp mình với

        1. Việt Phương Moderator

          Lỗi giống trên thì như mình nói đó. Bạn cài maldet chưa thành công nên không gọi được services khi chạy lệnh rồi. Bạn kiểm tra lại các bước cài đặt

  8. Nguyễn Công 16 comment

    Sao em dùng lệnh rm -rf /usr/local/maldetect/quarantine/* thì không thấy j a nhỉ… Với có cách nào để cài auto chạy vào các giờ nào k a. Em cảm ơn anh đã hô trợ

  9. Mr Chuồi 2 comment

    bài hữu ích,
    cho mình hỏi, khi chạy lệnh quét xong tắt cửa sổ ssh thì nó có quét tiếp ko hay là nó dừng lại?

        1. Việt Phương Moderator

          Để xem report bạn sử dụng lệnh maldet --report 14715-1421.3219 với SCANID tương ứng.

  10. Trinh Tung 1 comment

    Mình muốn config để scan tự đông và đặt lịch scan thì phải làm như thế nào ban.

  11. Trong Tri 10 comment

    Thêm lệnh maldet -m /thư mục của bạn , thường thì /home,/var/www/vhosts

  12. trung do 5 comment

    Mình sử dụng gói hocvps và đã cài maldetect.
    Mỗi ngày mình đều scan dc vài file malware, mình nghĩ có thể vps lỗ hổng nào rồi nên các malware được tạo tự động như vậy, Nhờ a Luân tư vấn

    1. Luân Trần Admin

      Bạn cần kiểm tra lại code của bạn ấy, vì thường hacker khai thác thông qua lỗ hổng nào đó. Tuyệt đối không dùng plugin/theme không rõ nguồn gốc nhé.

      Còn VPS thì gần như không bao giờ có chuyện gì đâu.

  13. Canh 1 comment

    Mình đã cài và quét thử thì ok, nhưng nếu quar_clean=0 hoặc 1, chạy lệnh clean theo help của maldet thì báo lỗi, chỉ xóa bằng lệnh rm -rf được thôi.
    Nếu quar_clean=0 thì bị lỗi:
    maldet(5165): malware cleaning disabled – skipping /usr/local/maldetect/quarantine/.
    Nếu quar_clean=1 thì bị lỗi:
    file path error on /usr/local/maldetect/quarantine/., aborting.
    Bạn có thể giúp mình lỗi này được ko?

  14. vé máy bay 8 comment

    mình cài xong lúc quét thì nó báo lỗi này

    maldet(2124): {scan} signatures loaded: 10904 (8987 MD5 / 1917 HEX / 0 USER)
    maldet(2124): {scan} building file list for /home, this might take awhile…
    maldet(2124): {scan} setting nice scheduler priorities for all operations: cpunice 19 , ionice 6
    maldet(2124): {scan} file list completed in 0s, found 35582 files…
    maldet(2124): {scan} found clamav binary at /usr/bin/clamscan, using clamav scanner engine…
    maldet(2124): {scan} scan of /home (35582 files) in progress…
    maldet(2124): {scan} clamscan returned an error, check /usr/local/maldetect/logs/clamscan_log for more details!

    maldet(2124): {scan} scan completed on /home: files 35582, malware hits 0, cleaned hits 0, time 2s
    maldet(2124): {scan} scan report saved, to view run: maldet –report 160711-0912.2124

    1. Luân Trần Admin

      Bạn check log xem có thông tin gì không: /usr/local/maldetect/logs/clamscan_log

      1. vé máy bay 8 comment

        mình check thì nó báo vậy nè

        Jul 11 09:22:53 vultr clamscan start
        Jul 11 09:22:53 vultr executed: /bin/nice -n 19 /usr/bin/ionice -c2 -n 6 /usr/bin/clamscan –max-filesize=5M –max-scansize=5M -d /usr/local/maldetect/tmp/.runtime.user.2837.hdb -$
        LibClamAV Warning: **************************************************
        LibClamAV Warning: *** The virus database is older than 7 days! ***
        LibClamAV Warning: *** Please update it as soon as possible. ***
        LibClamAV Warning: **************************************************
        LibClamAV Error: Can’t load /var/lib/clamav/main.cvd: Can’t verify database integrity
        LibClamAV Error: cli_loaddbdir(): error loading database /var/lib/clamav/main.cvd
        ERROR: Can’t verify database integrity
        Jul 11 09:22:54 vultr clamscan end
        Jul 11 09:22:54 vultr clamscan end
        Jul 11 09:23:11 vultr clamscan start
        Jul 11 09:23:11 vultr executed: /bin/nice -n 19 /usr/bin/ionice -c2 -n 6 /usr/bin/clamscan –max-filesize=5M –max-scansize=5M -d /usr/local/maldetect/tmp/.runtime.user.3047.hdb -$
        LibClamAV Warning: **************************************************
        LibClamAV Warning: *** The virus database is older than 7 days! ***
        LibClamAV Warning: *** Please update it as soon as possible. ***
        LibClamAV Warning: **************************************************
        LibClamAV Error: Can’t load /var/lib/clamav/main.cvd: Can’t verify database integrity
        LibClamAV Error: cli_loaddbdir(): error loading database /var/lib/clamav/main.cvd
        ERROR: Can’t verify database integrity
        Jul 11 09:23:11 vultr clamscan end
        Jul 11 09:23:11 vultr clamscan end

          1. Thịnh Lê 8 comment

            bạn chạy lệnh freshclam để update main.cvd nhé. sau đó chạy lệnh maldet –scan-all /home/domain.com/public_html bình thường nhé. Không có hack gì đâu bạn

  15. Tenno 3 comment

    Mình muốn config để tự động scan theo thời gian cài đặt hoặc off đi thì làm thế nào Luân nhỉ?

  16. kieuqtoan 27 comment

    Có gì đó không ổn anh ạ
    Em có 12 cái web mà nó quét chỉ báo:

    TOTAL FILES: 435
    TOTAL HITS: 0
    TOTAL CLEANED: 0

    Trong có 32s

  17. perheart 1 comment

    Hi,
    Mình đã cài thành công tuy nhiên khi chạy thì bị báo lỗi
    “could not find required binary wget, aborting.”
    đã cài thêm wget tuy nhiên vẫn bị thế, ko biết lỗi do dâu 🙂
    Thank thím

  18. Chi Can Nguyen 8 comment

    Không biết mình cài đặt có sai chổ nào không nữa, quét thì 3k file mà ko phát hiện được gì trong khi mình mới up con shell r57.php lên .. 🙁 có config sai gì ko nhỉ

  19. The 2 comment

    Hi a Luân,
    Em cài maldetect mà nó bị thế này:

    [root@wellness-nyc1 home]# tar -xvf maldetect-current.tar.gz
    maldetect-1.5
    [root@wellness-nyc1 home]# cd maldetect-1.5
    -bash: cd: maldetect-1.5: No such file or directory

    Làm sao sửa anh?

  20. Phan Phieu 9 comment

    Bài viết rất hữu ích vì vps mình đang bị virus nhưng cài vẫn chưa được, mình thấy lỗi như sau:
    ————
    [root@vultr ~]# tar -xvf maldetect-current.tar.gz
    maldetect-1.5
    [root@vultr ~]# cd maldetect-1.5
    -bash: cd: maldetect-1.5: No such file or directory
    ————
    Khắc phục như thế nào hả bạn?
    Xin cám ơn!

      1. Phan Phiêu 9 comment

        Mình mkdir maldetect thì nó báo là file đã tồn tại, nhưng sao không cd được?
        ————-
        [root@vultr ~]# mkdir maldetect-1.5
        mkdir: cannot create directory `maldetect-1.5′: File exists
        [root@vultr ~]# cd maldetect-1.5
        -bash: cd: maldetect-1.5: No such file or directory
        [root@vultr ~]#
        ————-

  21. Hùng 15 comment

    Mình tìm thấy file php nó chứa script mã độc, nhưng dùng lệnh rm -rf /usr/local/maldetect/quarantine/* nó ko xoá được các file đó.

    Vậy cho mình hỏi mình xoá thủ công hay có cách nào tìm rồi thì tự động xoá nó luôn?

  22. maldetect-1.5 2 comment

    đến bước này mình khong cai duoc nưa
    tar -xvf maldetect-current.tar.gz
    maldetect-1.5
    cd: maldetect-1.4.2: No such file or directory
    hoăc
    cd maldetect-1.5: command not found

    Thanks you