Cara Install Linux Malware Detect LMD pada CentOS

Tahukah anda? walaupun seketat apapun firewall anda.
anda wajib memonitoring server anda, terutama memantau semua isi file dan folder pada server anda

tentu sangat percuma jika kita hanya menambal dan memonitoring pada sisi firewall akan tetapi kita tidak mengetahui isi dari server.

lho mas? user, folder, dan file saya banyak loh. bagaimana bisa memantaunya satu persatu?

tidak jauh berbeda dengan sistem operasi “jendela”. linux memiliki scanner handal seperti LMD (Linux Malware Detect) salah satunya.

Linux Malware Detect (LMD) adalah scanner malware untuk Linux yang dirilis di bawah lisensi GNU GPLv2, LMD dirancang di sekitar ancaman yang dihadapi dalam lingkungan shared host.

untuk lebih lengkapnya anda bisa mengunjungi https://www.rfxn.com/projects/linux-malware-detect/

Cara Install Linux Malware Detect LMD pada CentOS

disini saya akan berbagi bagaimana menginstall LMD pada server ataupun VPS anda, caranya adalah

Langkah 1: Dowload Linux Malware Detect (LMD)

root@gemaroprek [/tmp]# cd /tmp
root@gemaroprek [/tmp]# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Langkah 2: Install LMD

root@gemaroprek [/tmp]# tar xfz maldetect-current.tar.gz
root@gemaroprek [/tmp]# cd maldetect-*
root@gemaroprek [/tmp]# ./install.sh

Contoh Hasil Instalasi

Linux Malware Detect v1.4.2
            (C) 2002-2013, R-fx Networks 
            (C) 2013, Ryan MacDonald 
inotifywait (C) 2007, Rohan McGovern 
This program may be freely redistributed under the terms of the GNU GPL v2

installation completed to /usr/local/maldetect
config file: /usr/local/maldetect/conf.maldet
exec file: /usr/local/maldetect/maldet
exec link: /usr/local/sbin/maldet
exec link: /usr/local/sbin/lmd
cron.daily: /etc/cron.daily/maldet

maldet(3092): {sigup} performing signature update check...
maldet(3092): {sigup} local signature set is version 201205035915
maldet(3092): {sigup} new signature set (2012071115632) available
maldet(3092): {sigup} downloaded http://www.rfxn.com/downloads/md5.dat
maldet(3092): {sigup} downloaded http://www.rfxn.com/downloads/hex.dat
maldet(3092): {sigup} downloaded http://www.rfxn.com/downloads/rfxn.ndb
maldet(3092): {sigup} downloaded http://www.rfxn.com/downloads/rfxn.hdb
maldet(3092): {sigup} downloaded http://www.rfxn.com/downloads/maldet-clean.tgz
maldet(3092): {sigup} signature set update completed

Konfigurasi LMD

Secara default semua pilihan sepenuhnya diberi komentar dalam file konfigurasi, jadi mengkonfigurasinya sesuai dengan kebutuhan Anda. Tapi sebelum melakukan perubahan mari kita lihat beberapa rincian pada masing-masing pilihan di bawah ini.

  • email_alert: Jika Anda ingin menerima email pemberitahuan, maka harus di set ke 1.
  • email_subj: Mengatur subjek email Anda di sini.
  • EMAIL_ADDR: Tambahkan alamat email Anda untuk menerima pemberitahuan adanya malware.
  • quar_hits: Aksi default karantina untuk hits malware, itu harus ditetapkan 1.
  • quar_clean: Membersihkan file yang terdeteksi malware, harus di set ke 1.
  • quar_susp: default suspend tindakan untuk pengguna dengan hits, silahkan atur sesuai kebutuhan Anda.
  • quar_susp_minuid: Minimum userid yang bisa disuspend.

silahkan buka file /usr/local/maldetect/conf.maldet dan atur konfigurasi sesuai kebutuhan anda

root@gemaroprek [/tmp]# vi /usr/local/maldetect/conf.maldet

Contoh Konfigurasi

# [ EMAIL ALERTS ]
##
# The default email alert toggle
# [0 = disabled, 1 = enabled]
email_alert=1

# The subject line for email alerts
email_subj="maldet alert from $(hostname)"

# The destination addresses for email alerts
# [ values are comma (,) spaced ]
email_addr="support@gemaroprek.com"

# Ignore e-mail alerts for reports in which all hits have been cleaned.
# This is ideal on very busy servers where cleaned hits can drown out
# other more actionable reports.
email_ignore_clean=0

##
# [ QUARANTINE OPTIONS ]
##
# The default quarantine action for malware hits
# [0 = alert only, 1 = move to quarantine & alert]
quar_hits=1

# Try to clean string based malware injections
# [NOTE: quar_hits=1 required]
# [0 = disabled, 1 = clean]
quar_clean=1

# The default suspend action for users wih hits
# Cpanel suspend or set shell /bin/false on non-Cpanel
# [NOTE: quar_hits=1 required]
# [0 = disabled, 1 = suspend account]
quar_susp=0
# minimum userid that can be suspended
quar_susp_minuid=500

Cara pemakaian dan Scan

Sangat saya anjurkan anda memggunakan background dengan perintah screen
sehingga anda tidak perlu menunggu berjam-jam untuk scanning, biarkan background yang bekerja

root@gemaroprek [/tmp]# screen
root@gemaroprek [/tmp]# maldet --scan-all /home

perintah diatas adalah untuk scan seluruh file pada folder /home

# maldet --quarantine SCANID

atau

root@gemaroprek [/tmp]# maldet --clean SCANID

Gunakan perintah diatas jika anda melakukan scan tetapi gagal untuk mengaktifkan opsi karantina. jangan khawatir, anda hanya perlu menggunakan perintah diatas untuk mengaktifkan dan karantina semua malware hasil scan sebelumnya.

Membuat jadwal scanning

root@gemaroprek [/tmp]# vi /etc/cron.daily/maldet

perintah diatas adalah untuk mengkonfigurasi scan, hapus malmware secara otomatis, dll
silahkan konfigurasi sesuai kebutuhan anda

cara membuat cron manual

# rm /etc/cron.daily/maldet
# crontab -e

isi dengan

32 3 * * * /usr/local/maldetect/maldet -d -u ; /usr/local/maldetect/maldet -a /home/?/public_html

cara uninstall maldet

maldet -k

dan hapus manual folder /usr/local/maldetect dan /etc/cron.daily/maldet