maldet

Security
OLYMPUS DIGITAL CAMERA
この記事は約4分で読めます。

maldet(Linux Malware Detect、LMD、Maldetectとも)は、R-FX Networks開発のオープンソースのマルウェア検出ツール。

主にサーバーサイドのマルウェアスキャンに使用されます。

サーバー向けなので、kaliに入れる人はまず居ないはず。多分

インストール

まずは、 ” maldet ” の存在を確認してみます。

which maldet

ありません!と怒られました。

いつもの ” sudo apt install ” を「ダメ元」で行ってみましたが、これではインストール出来ませんでした。

やっぱりダメだったか。

ダウンロード

と言うわけで、公式ページからダウンロードしてきます。

wget https://www.rfxn.com/downloads/maldetect-current.tar.gz

無事ダウンロード出来ました。

解凍

これを解凍します。

tar -xzf maldetect-current.tar.gz

生成物の確認

” ls ” コマンドにて、ホームディレクトリ内に、ダウンロードしてきた ” maldetect-current.tar.gz ” と、それを解凍した ” maldetect-1.6.6 ” があるのが確認できます。

つまりバージョンは(この時点では)1.6.6です。

ディレクトリの移動とインストール

まずホーム下の、解凍後のディレクトリに移動します。

cd maldetect-1.6.6

このディレクトリ内には、インストール用ファイルの ” install.sh ” が確認できます。

インストール実行

下記コマンドで実行します。

sudo sh install.sh

名称について

名称が多数あって少し複雑ですのでここで整理してみます。

正式名称Linux Malware Detect
略称LMD
ファイル名maldetect
コマンド名maldet

アップデート作業

ツールのバージョンのアップデートオプション

sudo maldet -d

データベース(定義ファイル)のアップデートオプション

sudo maldet -u

実行

スキャンの実行

sudo maldet -a <ディレクトリのフルパス>

最後の3行に、レポートの表示の仕方と、隔離が有効となっていないので有効化の方法と隔離の方法が記載されています。

なお、この最終行にある数字がスキャンIDとなります。(上図の例では ” 250302-1355.26546 ” )

これが今回のスキャンに特有のIDとなり、結果呼び出しの際はこれを使用します。

スキャン結果確認

sudo maldet –report <スキャンID>

結果表示は下図。

malwareとして引っかかっているものは、先程ダウンロードしたmaldetect関連のものですので、誤検出 (false positive) と思われます。

マルウェアの隔離

とりあえず隔離の指示通り、

sudo maldet -q <スキャンID>

としてみました。

隔離されたマルウェア達。

隔離の有効化設定

設定ファイル ” conf.maldet ” を変更してデフォルトの隔離無効から、隔離有効に変更します。

設定ファイルの位置は/usr/local/maldetect-1.6.6/files/にあります。

適当なテキストエディタでこれを開いて編集します。

例としてnanoで開く場合、

nano /usr/local/maldetect-1.6.6/files/conf.maldet

” quarantine_hits ” の行まで矢印キーでカーソルを動かします。

デフォルトでは quarantine_hits= ” 0 ” (警告のみ)となっています。

これを ” 1 ” (警告と隔離)に変更します。

” Ctrl + O ” と ” Enter ” で確定させ、 ” Ctrl +X ” で終了。

catコマンドで開いて確認すると ” 1 ” になっています。

ヘルプ

ヘルプ表示も ” sudo ” を付加しないと表示してくれません。何だかケチ。

sudo maldet -h

まとめ

” maldet ” はサーバー側のマルウェア検知ソフトとして設計されています。

デフォルトではサーバー上のwebサイト領域のディレクトリ(/home/<ユーザ名/public_html>を1日1回スキャンする設定になってます。

スキャン時には、他のアンチウイルスソフトである ” clamav ” もエンジンとして使用するので、 ” clamav ” もインストールしておいた方がスキャン時間が早い様です。

このツールの使い方を調べてみると、結果的にあまりkaliでは使わなさそうなツールということが判明しましたが、折角調べたので覚えとして投稿しました。

コメント

タイトルとURLをコピーしました