Linux Malware Detect — веб-антивирус для серверов 

Что умеет

• Поиск угроз по базе MD5 и распознавание типа угрозы (например, php.cmdshell.nan.296.HEX) по HEX-базе.
• Статистический анализ файлов на наличие обфусцированных зловредов и инъекций.
• Обнаружение установленного в системе ClamAV для использования его в качестве сканера.
• Ручное и автоматическое (по крону) обновление сигнатур.
• Ручное и автоматическое обновление версии самого скрипта.
• Возможность сканирования недавно добавленных/измененных файлов (например за последние 2 дня).
• Опция загрузки обнаруженных потенциальных угроз на официальный сайт для анализа.
• Система отчетов.
• Очистка файлов от вредоносных инъекций.
• Крон-заготовки для запуска регулярного сканирования юзерспейсов или других директорий.
• Наборы исключений по расширениям, сигнатурам и путям.
• Возможность отправки результатов сканирования на e-mail.
• Мониторинг в реальном времени созданных/модифицированных/измененных файлов при помощи inotify_watch: мониторинг выбранных пользователей, каталогов или файлов.
• … и прочее.

Как это работает

Источники сигнатур:

1. Срез данных сети. Разработчик LMD является администратором хостинга на 35.000 сайтов, данные ежедневно анализируется и обрабатываются. Основной источник сигнатур.
2. Данные сообщества собранные с антималвар-сайтов.
3. ClamAV, взаимообмен сигнатурами.
4. Данные, присылаемые пользователями.

Что это дает

• Позволяет следить за безопасностью ваших сайтов на VDS и DS.
• Хостерам — ежедневное сканирование и рассылка предупреждений клиентам позволит повысить лояльность клиентов, которые, зачастую, очень далеки от знания кодинга и основ безопасности.
• Если ваш сайт или сайт клиента будет взломан — вы узнаете об этом либо сразу (если включен мониторинг в реальном времени), либо в течении периода, выбранного для cron-сканирования. Ведь «предупрежден — значит вооружен»: зараженные сайты чаще всего становятся источниками рассылки спама со всеми вытекающими (например, блеклистинг IP в DNSBL).

Типичные примеры обнаружений

malware detect scan report for servername:
SCAN ID: 090913-1000.17637
TIME: Sep 9 16:04:40 +0300
PATH: /var/www
RANGE: 2 days
TOTAL FILES: 151224
TOTAL HITS: 5
TOTAL CLEANED: 0

{HEX}php.cmdshell.unclassed.344 : www/user1/data/www/example.com/wp-content/plugins/7ja1i/nxeogyqbd3h.php
{HEX}php.cmdshell.cih.215 : /var/www/user1/data/www/example.com/xyiznwsk/info.php
{CAV}PHP.Trojan.Spambot : www/user1/data/www/example.com/wwp-content/plugins/customize-admin/bannerTQIz.php
{HEX}php.nested.base64.513 : /var/www/user1/data/www/example.com/engine/modules/topnews.php
{HEX}base64.inject.unclassed.6 : /var/www/user1/data/www/example.com/wp-content/plugins/wpematico/app/settings_page.php 
{HEX}gzbase64.inject.unclassed.14 : /var/www/user1/data/director/example.com/wp-content/themes/zenith/404.php

Установка

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

tar -zxvf maldetect-current.tar.gz

sh ./install.sh

Настройка

На заметку:

find="$find"

find="ionice -c 3 $find"

clamscan="$clamscan"

clamscan="ionice -c 3 $clamscan"

Типичные команды

# maldet -a /home/user1/exapmle.com

maldet(24128): {scan} scan completed on example.com: files 4, malware hits 0, cleaned hits 0
maldet(24128): {scan} scan report saved, to view run: maldet --report 091713-1715.24128

#maldet --report 091713-1715.24128

#maldet -u

#maldet -d

#maldet -r /home/user1/ 2

#maldet -c /home/user1/file.php

#maldet -q 091713-1715.24128

#maldet -n, --clean 091713-1715.24128