Bonjour les admins Linux.

Vous avez peut-être été confrontés à des Emails qui sont émis à votre insu depuis votre serveur.

Dans la plupart des cas il s’agit de scripts PHP qui ont été injectés par des rats du web.

Ces scripts sont à ranger dans la catégorie des « Malwares ».

Il existe un logiciel Open Source ( oui, c’est ça, gratuit! ) qui peut vous en débarrasser d’une bonne partie.
Je pense à « Linux Malware Detect (LMD) ».

Installation de maldet

Téléchargement du logiciel

# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Décompression

# tar -zxvf maldetect-current.tar.gz

Se déplacer dans le dossier d’installation

(Le nom du dosier peut varier selon la version téléchargée..)

# cd maldetect-1.5

Lancement de l’installation

# ./install.sh

Rapports par Email

Si un malware est trouvé, vous trouverez dans vos Emails le matin un message comme celui-ci:

De: root <root@example.com>
A:  vous@example.com
CC:
Objet: maldet alert from server01

malware detect scan report for server01:
SCAN ID: 090215-0200.18141
TIME: sept.  2 04:41:50 +0200
PATH: /var/www
TOTAL FILES: 40341
TOTAL HITS: 1
TOTAL CLEANED: 0

FILE HIT LIST:
{HEX}php.base64.v23au.184 : /var/www/exemple/wp-content/plugins/wysija-newsletters/add-ons/search18.php => /usr/local/maldetect/quarantine/search18.php.9480
===============================================
Linux Malware Detect v1.4.2 < proj@rfxn.com >

Qu’est-ce qu’il veut nous dire ?
Dans cet exemple, LMD nous dit qu’il a trouvé un vilain script nommé « search18.php » planqué dans un sous-dossier de l’extension « Wisija Newsletter » de WordPress.
Et il l’a mis en quarantaire dans le dossier /usr/local/maldetect/quarantine/

 

Lancer une analyse manuellement

Exemple: Analyse d’un dossier « /home/fanfan » :

root@srvrul-1:~/maldet/maldetect-1.6.2# maldet -a /home/fanfan/
Linux Malware Detect v1.6.2
 (C) 2002-2017, R-fx Networks <proj@rfxn.com>
 (C) 2017, Ryan MacDonald <ryan@rfxn.com>
This program may be freely redistributed under the terms of the GNU GPL v2

maldet(18135): {scan} signatures loaded: 15218 (12485 MD5 | 1954 HEX | 779 YARA | 0 USER)
maldet(18135): {scan} building file list for /home/fanfan/, this might take awhile...
maldet(18135): {scan} setting nice scheduler priorities for all operations: cpunice 19 , ionice 6
maldet(18135): {scan} file list completed in 0s, found 192 files...
maldet(18135): {scan} scan of /home/fanfan/ (192 files) in progress...
maldet(18135): {scan} 192/192 files scanned: 0 hits 0 cleaned

maldet(18135): {scan} scan completed on /home/fanfan/: files 192, malware hits 0, cleaned hits 0, time 89s
maldet(18135): {scan} scan report saved, to view run: maldet --report 170921-0952.18135
root@srvrul-1:~/maldet/maldetect-1.6.2#

 

 

Vous pouvez trouvez LMD sur:

https://www.rfxn.com/projects/linux-malware-detect/

Et si vous avez besoin d’aide pour le mettre en service, contactez-nous

 

Leave a Reply

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Blue Captcha Image
Refresh

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.