Cài đặt Malware Detect (maldet) và ClamAV engine để scan malware trên VPS

Linux Malware Detect (Maldet) là một phần mềm tìm và diệt mã độc dành trên hệ thống máy chủ Linux, được phát hành dưới dạng mã nguồn mở GNU GPLv2, được thiết kế chuyên biệt để dò tìm các mối đe dọa malware trên máy chủ . Nó sử dụng dữ liệu mẫu từ các nhà cung cấp dịch vụ Web Hosting để trích xuất các dạng mã độc, từ đó tạo ra những ký hiệu nhận dạng chung. Những ký hiệu nhận dạng này sẽ được đưa vào các phần mềm quét virus chuyên dụng như ClamAV, nhúng vào tiến trình quét thông thường để tìm ra các mã độc ẩn trong những đoạn mã thông thường của một Website.

Việc cài đặt server chạy wordpress như EasyEngine (Ubuntu) hay Centos Web Panel (Centos) để dựng website là môi trường lý tưởng cho các hacker tìm kiếm các lỗi zero-day để cài malware vào máy chủ VPS của bạn. Từ đó ngoài việc xăm soi vào dữ liệu của bạn, hacker có thể lợi dụng máy chủ hoặc website của bạn để tạo ra các website tấn công người dùng hay spam hoặc tạo ra các botnet DDOS máy chủ khác.

Trong bài viết này mình sẽ hướng dẫn các bạn cài đặt Maldet trên VPS/Server của bạn. Bạn cần login vào VPS qua SSH với quyền root. Quá trình cài đặt rất nhanh và dễ dàng.

1. Cài đặt Linux Malware Detect

Ta bắt đầu cài đặt bằng các câu lệnh sau

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar -xvf maldetect-current.tar.gz

truy cập vào thư mục maldetech-(phiên bản) bằng câu lệnh cd, sau đó chạy cài đặt bằng

./install.sh

2. Cài đặt ClamAV

Để Scan Mailware hiệu quả hơn, bạn nên cài thêm ClamAV. Sau khi cài đặt ClamAV, khi scan bằng Maldet, Maldet sẽ sử dụng ClamAV làm engine scan nhằm tăng tốc độ và hiệu quả scan.

– Cài đặt ClamAV trên Ubuntu, Debian:
sudo apt-get install clamav clamav-daemon -y
– Cài đặt ClamAV trên Centos:
yum install -y clamav-server clamav-server-systemd clamav-scanner-systemd clamav-data clamav-update clamav-filesystem clamav clamav-devel clamav-lib
– Chạy câu lệnh sau để cập nhật ClamAV
freshclam

3. Cấu hình Maldet chạy

Chạy câu lệnh sau để sửa file cấu hình của Maldet
cd /usr/local/maldetect/
nano conf.maldet

Bấm Cltr + W để tìm các dòng sau và sửa
– email_alert=1: Bật chức năng thông báo qua email.
– email_addr=”your@email.com”: Nhập email của bạn.
– scan_clamscan=”1″: Sử dụng clamAV làm scan engine nếu trên VPS có cài đặt ClamAV.
– quarantine_hits=1: Trong quá trình scan, nếu phát hiện malware, LMD sẽ move file nhiễm sang thư mục cách ly của LMD.
– quarantine_clean=1: LMD sẽ clean nếu phát hiện malware.

Sau đó bấm Cltr + X để thoát, chọn Y ghi đè và bắt đầu chạy Maldet

4. Các câu lệnh Maldet

– Câu lệnh phổ biến khi chạy là quét tất cả các file
maldet -a /thư mục cần quét/
Nếu là Easy Engine thì đó là /var/www
Nếu là Centos Web Panel là /home/

– Nhưng nếu chỉ muốn check các file có đuôi PHP thì dùng câu lệnh sau
maldet -a /var/www/html/*.php

– Hoặc quét các file mới thay đổi trong vòng x ngày
maldet -r /var/www/html/ x
x là số nguyên là số ngày file mới thay đổi

– Thỉnh thoảng ngoài việc update ClamAV như câu lệnh trên thì cần update Maldet bằng câu lệnh này
maldet -u

– Nếu bạn chạy xong quên mất ko xem bao cáo thì câu lệnh sau xem toàn bộ báo cáo
maldet -e list
Sau đó xem chi tiết 1 báo cáo bằng câu lệnh
maldet --report 14715-1421.3219
14715-1421.3219 là id của báo cáo, thay bằng id báo cáo bạn cần xem

Cài đặt Malware Detect (maldet) và ClamAV engine để scan malware trên VPS
Cài đặt Malware Detect (maldet) và ClamAV engine để scan malware trên VPS

– Cuối cùng xóa hết các file đã bị cách ly (quarantined) của Maldet
rm -rf /usr/local/maldetect/quarantine/*

5. Nếu bạn gặp phải lỗi khi start clamav hoặc chạy freshclam báo như sau

Starting Clam AntiVirus Daemon: ERROR: Can’t get information about user clamav.

Thì hãy làm những bước sau để khởi động lại clamav

Hãy chắc chắn 2 thư mục /var/lib/clamav & /var/log/clamav được gán đúng user và group.

chown -R clam:clam /var/lib/clamav
chown -R clam:clam /var/log/clamav

Mở file /etc/freshclam.conf và chắc chắn rằng dòng sau được viết đủ như sau, nếu thiếu hãy bổ sung

DatabaseDirectory /var/lib/clamav
DatabaseOwner clam

Và cả trong file /etc/clamd.conf này cũng phải được ghi đủ
DatabaseDirectory /var/lib/clamav
User clam

Sau đó thử khởi động lại clamav và chạy freshclam
service clamd restart
freshclam

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *