Maldet uygulaması Linux için malware algılama yazılımıdır. Ücretsiz olan bu yazılım Linux için kötü amaçlı yazılımları sunucunuzda tespit etmenize olanak sağlar. R-fx Networks tarafından yazılmış olan Linux Malware Detect yazılımı ile ilgili daha detaylı bilgilere http://www.rfxn.com/projects/linux-malware-detect/ adresinden ulaşabilirsiniz.Lafı fazla uzatmadan programın kurulumu ve kullanımı ile alakalı sizlere bilgi vermek istiyorum.
Kurulum
Kurulum için aşağıdaki komutları çalıştırmanız yeterlidir.
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar zxvf maldetect-current.tar.gz
cd maldetect-*
sh install.sh
Kurulum bu komutlarla sorunsuz tamamlandıktan sonra yazılımın kullanımı ile ilgili örneklere geçmeden önce bir uyarıda bulunmak gerekir. Linux Malware Detect, kısa adı ile maldet tarama işlemi yaparken sabit diskinizde oldukça fazla I/O tüketmektedir. Yavaş veya yoğun işlem olan sabit disklerde işlem yaparken sisteminizde ciddi performans sorunları oluşturabilir.
Kullanım
maldet --help tüm maldet parametrelerini ekrana basacaktır.
Hack edilmiş veya backdoor bulaşmış bir web sitesini taramak için örnek komut uygulaması yapalım. cPanel bir sunucuda verinomi örnek alan adının cPanel kullanıcısı verinomi ise;
maldet -a /home/verinomi/public_html
komutu ile ilgili web sayfasının dosyalarında malware taraması başlatabilirsiniz.Tarama işlemine başladığınızda maldet size dosya sayısını göstermektedir.
maldet(9174): {scan} 653/14045 files scanned: 0 hits 0 cleaned
İşlem devam ederken alınmış bu örnekte 14045 adet dosya içerisinde henüz 653 dosyanın tarandığını görebilirsiniz. Bulunan zararlı bir içerik varsa hits, temizlenen içerik varsa cleaned kısmında ayrıca görüntülenecektir.
Bu işlemin sonucunda yine tarama bitince maldet raporlama ve temizleme için size kodları ekrana basacaktır. Bununla ilgili örnekler alt kısımda yer almaktadır.
maldet(9174): {scan} scan completed on /root/: files 14045, malware hits 1, cleaned hits
Yukarıdaki satırdan çıkartacağımız anlam 1 adet zararlı içeriğin tespit edildiğidir.
maldet(9709): {scan} scan report saved, to view run: maldet --report 081513-2051.9709
Yukarıdaki satırdan çıkartacağımız anlam, zararlı içerik ile ilgili rapor, isim ve diğer bilgileri görmek için konsolumuza maldet --report 081513-2051.9709 komutunu yazmamız gerektiğidir. Bu komut da yer alan rakamsal değer her taramada sistem tarafından otomatik olarak üretilmektedir.
maldet(9709): {scan} quarantine is disabled! set quar_hits=1 in conf.maldet or to quarantine results run: maldet -q 081513-2051.9709
Yukarıdaki satırdan çıkartmamız gereken anlam ise raporda yer alan tüm dosyaları temizlemek veya silmek yada karantina altına almak için maldet -q 081513-2051.9709 komutunu konsoldan çalıştırmamız gerektiğidir.
Bu örnek anlatımdan sonra bazı ayarlar ile ilgili de sizlere maldet hakkında bilgi vereceğiz.
maldet --report list
komutu daha önce yapmış olduğunuz tarama işlemlerini ekrana basar.
maldet --monitor
komutu sürekli olarak tarama işlemi yapar (Ör: maldet --monitor /home sürekli olarak /home dizinine yüklenen dosyaları tarar kapatmak için maldet -k komutunu kullanmanız yeterlidir bu işlem background da çalışmaya devam edeceğinden yavaş veya yoğun sabit disklerde çok ciddi performans sorunları oluşturabilir.)
maldet -a /home/?/public_html
komutunda kullanılan soru işareti yıldız yerine geçmekte ve /home klasörü içerisindeki tüm klasörlerin içerisinde bulunan public_html klasörlerini taramanıza olanak sağlamaktadır. Bu sayede daha az dosyayı daha hızlı tarayarak tüm sunucunuzda malware taraması yapmış olacaksınız.
maldet -b : Uzun sürecek tarama işlemlerini background da gerçekleştirir. Böylece tarama başlatıp SSH bağlantısını kapatabilirsiniz. (Ör: maldet -b -a /home/)
maldet -u : Maldet virüs veri tabanını güncelleştirecektir.
maldet -r : Sadece belirli bir gündeki eklenen değişen dosyaları taramaktadır (Ör: maldet -r /home/?/public_html 2 komutu 2 günlük dosyaları taramaktadır.)
maldet --restore : Temizlenen veya karantinaya alınan dosyaları geri yükler. Virüs temizlerken yazılımlarınıza zarar vermesi durumunda tarama numarası ile restore yapılır (Ör: maldet --restore 081513-2051.9709)
maldet -p : Tüm karantinaya alınan dosyaları, logları ve açık oturumları siler.
Maldet yazılımını kendinize göre özelleştirmek için conf dosyasını açarak içerisindeki bilgileri de düzenlemeniz mümkündür.
nano -w /usr/local/maldetect/conf.maldet
nano editörü ile yukarıda yazan dizini ve komutu olduğu gibi konsola yazarsanız maldet conf dosyasını editleyebilirsiniz.Maldet konfigürasyon dosyasını editlerken monitor olarakçalıştırdığınızda bulduğu virüsleri size e-posta göndermesini, otomatik karantinaya almasını, tarama ile ilgili olarak işlem detaylarını değiştirmenize olanak sağlamaktadır.
cPanel sunucular üzerinde çalıştırılan maldet yazılımında dilerseniz konfigürasyon dosyasındaki quar_susp değerini 1 yaparak virüs bulunan hesapların otomatik olarak suspend edilmesinide sağlayabilirsiniz.