Trong bài viết này, mình xin hướng dẫn các bạn cài đặt và sử dụng bộ đôi công cụ Linux Malware Detect (MalDet hoặc LMD) và ClamAV (Antivirus Engine) để quét các loại malware khỏi VPS/Server.

Linux Malware Detect (Maldet) là một phần mềm tìm và diệt mã độc dành trên hệ thống máy chủ Linux, được phát hành dưới dạng mã nguồn mở GNU GPLv2, được thiết kế chuyên biệt để dò tìm các mối đe dọa trên môi trường Web Hosting/VPS. Nó sử dụng dữ liệu mẫu từ các nhà cung cấp dịch vụ Web Hosting để trích xuất các dạng mã độc, từ đó tạo ra những ký hiệu nhận dạng chung.

ClamAV là một phần mềm quét virus chuyên dụng chứa bộ ký hiệu nhận dạng các dạng mã độc được nhúng vào tiến trình quét của Maldet để tìm ra các mã độc ẩn trong những đoạn mã thông thường của một Website.

Cài đặt Linux Malware Detect

Cài đặt LMD bằng lệnh yum. Phiên bản mới nhất hiện nay là maldetect-1.5

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

tar -xvf maldetect-current.tar.gz

cd maldetect-1.5

./install.sh

Cài đặt ClamAV

Cài đặt repo epel:

yum install epel-release

Cài đặt ClamAV bằng lệnh yum:

yum install clamd

Cấu hình Linux Malware Detect

Toàn bộ cấu hình của LMD được lưu trong file /usr/local/maldetect/conf.maldet. Chúng ta sẽ cần điều chỉnh một vài tham số như sau:

email_alert=1

email_addr=support.team@123host.vn

quarantine_hits=0

quarantine_clean=0

quarantine_suspend_user=0

clam_av=1

Trong đó:

• email_alert=1: Bật chức năng thông báo qua email.
• email_addr= “your@email.com “: Nhập email của bạn.
• quarantine _hits=0: Trong quá trình scan, nếu phát hiện malware, LMD sẽ không move file nhiễm sang thư mục cách ly của LMD.
• quarantine _clean=0: LMD sẽ không tự clean nếu phát hiện malware.
• quarantine_suspend_user=0: Tắt chức năng vô hiệu hóa người dùng nếu LMD phát hiện user đó nhiễm mã độc.
• clam_av=1: Sử dụng clamAV làm scan engine nếu trên VPS có cài đặt ClamAV.

Lưu ý: tùy chọn quarantine _clean và quarantine_suspend_user yêu cầu quarantine _hits được kích hoạt (=1)

Sử dụng Linux Malware Detect

Để scan một thư mục cụ thể trên VPS, bạn có thể sử dụng lệnh sau:

maldet --scan-all /home/domain.com/public_html

Bạn tùy thay /home/domain.com/public_html bằng đường dẫn folder website của bạn.

Để xem report bạn sử dụng lệnh sau:

maldet --report 14715-1421.3219 với SCANID tương ứng.

Update LMD bằng lệnh:

maldet -u

Sau khi quét xong, bạn nên chạy lệnh sau để tìm thêm các file bị nhiễm mã độc do Linux Malware Detect chỉ quét chính xác khoảng 70%

find /home/domain.com/public_html -iname "*.php" -type f -exec grep -qi "eval(" '{}' \; -print

Bạn tùy thay /home/domain.com/public_html bằng đường dẫn folder website của bạn.

Chúc các bạn thành công!