maldet

Security
OLYMPUS DIGITAL CAMERA
2025.04.14
この記事は約5分で読めます。

maldet(Linux Malware Detect、LMD、Maldetectとも)は、R-FX Networks開発のオープンソースのマルウェア検出ツール。

主にサーバーサイドのマルウェアスキャンに使用されます。

サーバー向けなので、kaliに入れる人はまず居ないはず。多分

インストール

まずは、 ” maldet ” の存在を確認してみます。

which maldet

which maldet

ありません!と怒られました。

いつもの ” sudo apt install ” を「ダメ元」で行ってみましたが、これではインストール出来ませんでした。

sudo apt install

やっぱりダメだったか。

ダウンロード

と言うわけで、公式ページからダウンロードしてきます。

wget https://www.rfxn.com/downloads/maldetect-current.tar.gz

wget

無事ダウンロード出来ました。

解凍

これを解凍します。

tar -xzf maldetect-current.tar.gz

tar

生成物の確認

” ls ” コマンドにて、ホームディレクトリ内に、ダウンロードしてきた ” maldetect-current.tar.gz ” と、それを解凍した ” maldetect-1.6.6 ” があるのが確認できます。

ls

つまりバージョンは(この時点では)1.6.6です。

ディレクトリの移動とインストール

まずホーム下の、解凍後のディレクトリに移動します。

cd maldetect-1.6.6

cd

このディレクトリ内には、インストール用ファイルの ” install.sh ” が確認できます。

インストール実行

下記コマンドで実行します。

sudo sh install.sh

sudo sh

” sh ” はBourneシェル(Bシェル)を起動するコマンド:インストールのスクリプトがBシェルで記述されている為、それに対応するシェルを使用している

名称について

名称が多数あって少し複雑ですのでここで整理してみます。

正式名称Linux Malware Detect
略称LMD
ファイル名maldetect
コマンド名maldet

アップデート作業

ツールのバージョンのアップデートオプション

sudo maldet -d

sudo maldet -d

データベース(定義ファイル)のアップデートオプション

sudo maldet -u

sudo maldet -u

実行

スキャンの実行

sudo maldet -a <ディレクトリのフルパス>

sudo maldet -a

最後の3行に、レポートの表示の仕方と、隔離が有効となっていないので有効化の方法と隔離の方法が記載されています。

なお、この最終行にある数字がスキャンIDとなります。(上図の例では ” 250302-1355.26546 ” )

これが今回のスキャンに特有のIDとなり、結果呼び出しの際はこれを使用します。

スキャン結果確認

sudo maldet –report <スキャンID>

sudo maldet --report

結果表示は下図。

maldet report

malwareとして引っかかっているものは、先程ダウンロードしたmaldetect関連のものですので、誤検出 (false positive) と思われます。

マルウェアの隔離

とりあえず隔離の指示通り、

sudo maldet -q <スキャンID>

としてみました。

sudo maldet -q

隔離されたマルウェア達。

sudo maldet -q resolt

隔離の有効化設定

設定ファイル ” conf.maldet ” を変更してデフォルトの隔離無効から、隔離有効に変更します。

設定ファイルの位置は/usr/local/maldetect-1.6.6/files/にあります。

ls

適当なテキストエディタでこれを開いて編集します。

例としてnanoで開く場合、

nano /usr/local/maldetect-1.6.6/files/conf.maldet

” quarantine_hits ” の行まで矢印キーでカーソルを動かします。

デフォルトでは quarantine_hits= ” 0 ” (警告のみ)となっています。

conf.maldet

これを ” 1 ” (警告と隔離)に変更します。

conf.maldet1

” Ctrl + O ” と ” Enter ” で確定させ、 ” Ctrl +X ” で終了。

catコマンドで開いて確認すると ” 1 ” になっています。

cat

ヘルプ

ヘルプ表示も ” sudo ” を付加しないと表示してくれません。何だかケチ。

sudo maldet -h

sudo maldet -h
sudo maldet -h2
sudo maldet -h3
sudo maldet -h4

まとめ

” maldet ” はサーバー側のマルウェア検知ソフトとして設計されています。

デフォルトではサーバー上のwebサイト領域のディレクトリ(/home/<ユーザ名/public_html>を1日1回スキャンする設定になってます。

スキャン時には、他のアンチウイルスソフトである ” clamav ” もエンジンとして使用するので、 ” clamav ” もインストールしておいた方がスキャン時間が早い様です。

このツールの使い方を調べてみると、結果的にあまりkaliでは使わなさそうなツールということが判明しましたが、折角調べたので覚えとして投稿しました。

本投稿の環境はRaspberryPi5のkali-Linuxで行っています。

コメント

タイトルとURLをコピーしました