Tahukah anda? walaupun seketat apapun firewall anda.
anda wajib memonitoring server anda, terutama memantau semua isi file dan folder pada server anda
tentu sangat percuma jika kita hanya menambal dan memonitoring pada sisi firewall akan tetapi kita tidak mengetahui isi dari server.
lho mas? user, folder, dan file saya banyak loh. bagaimana bisa memantaunya satu persatu?
tidak jauh berbeda dengan sistem operasi “jendela”. linux memiliki scanner handal seperti LMD (Linux Malware Detect) salah satunya.
Linux Malware Detect (LMD) adalah scanner malware untuk Linux yang dirilis di bawah lisensi GNU GPLv2, LMD dirancang di sekitar ancaman yang dihadapi dalam lingkungan shared host.
untuk lebih lengkapnya anda bisa mengunjungi https://www.rfxn.com/projects/linux-malware-detect/
Cara Install Linux Malware Detect LMD pada CentOS
disini saya akan berbagi bagaimana menginstall LMD pada server ataupun VPS anda, caranya adalah
Langkah 1: Dowload Linux Malware Detect (LMD)
root@gemaroprek [/tmp]# cd /tmp root@gemaroprek [/tmp]# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
Langkah 2: Install LMD
root@gemaroprek [/tmp]# tar xfz maldetect-current.tar.gz root@gemaroprek [/tmp]# cd maldetect-* root@gemaroprek [/tmp]# ./install.sh
Contoh Hasil Instalasi
Linux Malware Detect v1.4.2 (C) 2002-2013, R-fx Networks(C) 2013, Ryan MacDonald inotifywait (C) 2007, Rohan McGovern This program may be freely redistributed under the terms of the GNU GPL v2 installation completed to /usr/local/maldetect config file: /usr/local/maldetect/conf.maldet exec file: /usr/local/maldetect/maldet exec link: /usr/local/sbin/maldet exec link: /usr/local/sbin/lmd cron.daily: /etc/cron.daily/maldet maldet(3092): {sigup} performing signature update check... maldet(3092): {sigup} local signature set is version 201205035915 maldet(3092): {sigup} new signature set (2012071115632) available maldet(3092): {sigup} downloaded http://www.rfxn.com/downloads/md5.dat maldet(3092): {sigup} downloaded http://www.rfxn.com/downloads/hex.dat maldet(3092): {sigup} downloaded http://www.rfxn.com/downloads/rfxn.ndb maldet(3092): {sigup} downloaded http://www.rfxn.com/downloads/rfxn.hdb maldet(3092): {sigup} downloaded http://www.rfxn.com/downloads/maldet-clean.tgz maldet(3092): {sigup} signature set update completed
Konfigurasi LMD
Secara default semua pilihan sepenuhnya diberi komentar dalam file konfigurasi, jadi mengkonfigurasinya sesuai dengan kebutuhan Anda. Tapi sebelum melakukan perubahan mari kita lihat beberapa rincian pada masing-masing pilihan di bawah ini.
- email_alert: Jika Anda ingin menerima email pemberitahuan, maka harus di set ke 1.
- email_subj: Mengatur subjek email Anda di sini.
- EMAIL_ADDR: Tambahkan alamat email Anda untuk menerima pemberitahuan adanya malware.
- quar_hits: Aksi default karantina untuk hits malware, itu harus ditetapkan 1.
- quar_clean: Membersihkan file yang terdeteksi malware, harus di set ke 1.
- quar_susp: default suspend tindakan untuk pengguna dengan hits, silahkan atur sesuai kebutuhan Anda.
- quar_susp_minuid: Minimum userid yang bisa disuspend.
silahkan buka file /usr/local/maldetect/conf.maldet dan atur konfigurasi sesuai kebutuhan anda
root@gemaroprek [/tmp]# vi /usr/local/maldetect/conf.maldet
Contoh Konfigurasi
# [ EMAIL ALERTS ] ## # The default email alert toggle # [0 = disabled, 1 = enabled] email_alert=1 # The subject line for email alerts email_subj="maldet alert from $(hostname)" # The destination addresses for email alerts # [ values are comma (,) spaced ] email_addr="support@gemaroprek.com" # Ignore e-mail alerts for reports in which all hits have been cleaned. # This is ideal on very busy servers where cleaned hits can drown out # other more actionable reports. email_ignore_clean=0 ## # [ QUARANTINE OPTIONS ] ## # The default quarantine action for malware hits # [0 = alert only, 1 = move to quarantine & alert] quar_hits=1 # Try to clean string based malware injections # [NOTE: quar_hits=1 required] # [0 = disabled, 1 = clean] quar_clean=1 # The default suspend action for users wih hits # Cpanel suspend or set shell /bin/false on non-Cpanel # [NOTE: quar_hits=1 required] # [0 = disabled, 1 = suspend account] quar_susp=0 # minimum userid that can be suspended quar_susp_minuid=500
Cara pemakaian dan Scan
Sangat saya anjurkan anda memggunakan background dengan perintah screen
sehingga anda tidak perlu menunggu berjam-jam untuk scanning, biarkan background yang bekerja
root@gemaroprek [/tmp]# screen root@gemaroprek [/tmp]# maldet --scan-all /home
perintah diatas adalah untuk scan seluruh file pada folder /home
# maldet --quarantine SCANID
atau
root@gemaroprek [/tmp]# maldet --clean SCANID
Gunakan perintah diatas jika anda melakukan scan tetapi gagal untuk mengaktifkan opsi karantina. jangan khawatir, anda hanya perlu menggunakan perintah diatas untuk mengaktifkan dan karantina semua malware hasil scan sebelumnya.
Membuat jadwal scanning
root@gemaroprek [/tmp]# vi /etc/cron.daily/maldet
perintah diatas adalah untuk mengkonfigurasi scan, hapus malmware secara otomatis, dll
silahkan konfigurasi sesuai kebutuhan anda
cara membuat cron manual
# rm /etc/cron.daily/maldet # crontab -e
isi dengan
32 3 * * * /usr/local/maldetect/maldet -d -u ; /usr/local/maldetect/maldet -a /home/?/public_html
cara uninstall maldet
maldet -k
dan hapus manual folder /usr/local/maldetect dan /etc/cron.daily/maldet