Для обеспечения антивирусной защиты сервера с операционной системой Linux (в данной статье речь пойдет о большинстве вариантов дистрибутивов) существуют программные продукты, которые могут работать автономно или быть встроенными в панель управления сервера. Мы рассмотрим установку и настройку автономного антивирусного сканера Linux Malware Detect (Maldet).
Возможности и функционал:
Maldet является антивирусным сканером, обладающий такими функциями:
1. Сканировать весь сервер (или отдельные папки) на наличие подозрительных файлов;
2. Лечить зараженные файлы и/или отправлять их в карантин. Это важная функция, обеспечивающая нераспространение вируса по серверу;
3. Проверять только те файлы, которые были созданы определенное время назад. Эта возможность позволяет эффективно использовать антивирус, не нагружая сервер, при ежедневных проверках по расписанию;
4. Осуществлять мониторинг определенных папок на постоянной основе, а также корректно обрабатывать исключения, заранее описанных администратором.
Установка
Выполним команды для установки Maldet на сервер:
Перейдем в папку установки:
cd /usr/local/src/
Скачаем установочные скрипты на сервер из официального сайта:
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
Разархивируем полученный архив
tar -zxvf maldetect-current.tar.gz
перейдем в папку с установочными скриптами и запустим установку Maldet
cd maldetect-*/
bash install.sh
Программа (исполняемый файл) размещен установочным скриптом в папке /usr/local/maldetect/maldet и на этот файл создана symlink в папке /usr/local/sbin/maldet.
Кроме того, сразу же создается задание в планировщике /etc/cron.daily/maldet для ежедневных антивирусных проверок. Если ежедневные проверки на сервере не нужны, можно этот файл переместить или удалить.
Как использовать Maldet.
Настоятельно рекомендуем перед началом проверки сервера на вирусы, особенно, если включена опция "лечения" (описано ниже), выполнить создание снимка (актуально для услуг виртуального сервера).
Рассмотрим базовые, самые необходимые команды в работе с антивирусом Maldet.
1. Обновить базы вирусных сигнатур (хотя, сразу после установки антивируса, все обновлено)
maldet -u
2. Запустить сканирование определенной директории
maldet -a /home/admin/web
После завершения сканирования, антивирус предоставит отчет и уникальный ID этого отчета, который можно использовать позже в полезных функциях.
maldet(27233): {scan} scan report saved, to view run: maldet --report 125478-0205.34521
3. Переместить в карантин все найденные подозрительные файлы
maldet -q 125478-0205.34521
4. Вылечить перемещенные в карантин зараженные файлы
maldet -n 125478-0205.34521
При успешном "лечении", файл будет автоматически перемещен с карантина
Следует обратить внимание, что антивирус не всегда корректно может "вылечить" файл от вредоносного кода. Использовать данную функцию следует осторожно.
5. Восстановить все помещенные в карантин файлы конкретного отчета
maldet -s 125478-0205.34521
или восстановить только один файл
maldet -s /home/admin/web/mysite.com/p[ublic_html/index.php
6. Также Вы можете просмотреть список созданных ранее отчетов
maldet -e list
или открыть один из отчетов
maldet -e 125478-0205.34521
Настройка работы антивируса Maldet
Все необходимые настройки находятся в одном файле /usr/local/maldetect/conf.maldet, тематически структурированы. есть описание каждого параметра. Кроме того, команда
maldet -h
выведет подсказки работы программы
В конфигурационном файле в разделе General Options можно указать, отправлять ли администратору сообщения с отчетом на email после завершения сканирования.
Важная опция, включать которую необходимо обдумано (по умолчанию - отключено)
quarantine_clean
Она позволяет во время сканирования "вылечить" зараженные объекты. Изменения в файлах после лечения не подлежат откату.
Также в этом же конфигурационном файле есть опции, позволяющие тонко настроить работу сканера: например, указать исключения при сканировании для файлов или папок, какие папки включить в постоянный мониторинг или нужна ли проверка только папок пользователей сервера.
Maldet - легкий и простой в управлении антивирусный сканер, позволяющий быстро и эффективно проверить сервер на наличие вредоносного кода.
В целом, мы рекомендуем использовать Maldet в качестве именно сканера для обнаружения потенциально возможных угроз на сервере.