マルウェアをスキャンする「Linux Malware Detect」をインストール

2020-10-01

Contents

1. 「Linux Malware Detect」について
2. ClamAVをインストールする
3. maldetectのインストール
4. マルウエアをスキャンする

「Linux Malware Detect」について

マルウエアをスキャンして検疫できるツールの「Linux Malware Detect」を紹介します。Malware は、GNU GPLv2ライセンスの下で開発されたLinux用マルウエア検出ツールです。

Malware は、ClamAVと連携してウイルススキャンもできます。その場合は、ClamAVをインストールする必要があります。
但しClamAVはデーモンで常駐起動する必要がないので、yumでインストールして定義ファイルをアップデートできるまでセットアップすればいいです。

使用しているOSは、CentOS 7となります。

ClamAVをインストールする

epelのレポジトリをインストールしてから、yumで「ClamAV」をインストールします

$ sudo yum install epel-release
$ sudo  yum install clamav clamav-data clamav-devel clamav-filesystem clamav-update clamd

インストール後は、定義ファイルを最新にします

$ sudo freshclam
ClamAV update process started at Wed Sep 23 10:18:01 2020
daily.cld database is up to date (version: 25935, sigs: 4321090, f-level: 63, builder: raynman)
main.cvd database is up to date (version: 59, sigs: 4564902, f-level: 60, builder: sigmgr)
bytecode.cvd database is up to date (version: 331, sigs: 94, f-level: 63, builder: anvilleg)

ClamAVのセットアップは、これで終了です。

maldetectのインストール

rpmのパッケージをyumコマンドでインストールします

$ sudo yum install http://repo.iotti.biz/CentOS/7/noarch/lux-release-7-1.noarch.rpm
$ sudo yum install maldetect

インストール後は、設定ファイルを編集してウイルスがある場合は設定したメールアドレスにメールが飛ぶように設定しています。
設定ファイルは主に変更する箇所を列挙しています

# vim /etc/maldetect/conf.maldet
email_alert=1
email_addr=メールアドレス
quarantine_hits=1
quarantine_clean=1
quarantine_suspend_user=1
scan_clamscan=1

「email_alert」で、メールでアラートを通知する機能を有効化しています
「email_addr」は、アラートメールを通知するメールアドレスを設定する
「quarantine_hits」で、マルウェア検知時のデフォルト動作を指定します。「0」の場合はアラートのみ、「1」の場合は隔離とアラート
「quarantine_clean」で、文字列ベースのマルウェアに関する記述を削除。「0」で無効、「1」で有効
「quarantine_suspend_user」で、マルウェアとして検知されたファイル所有者アカウントを停止する。「0」で無効、「1」で有効
「scan_clamscan」で、スキャン時にClamAVのバイナリを用いるように定義。

「maldetect」の定義ファイルのアップーデートします

$ sudo maldet --update

マルウエアをスキャンする

マルウエアを実際にスキャンしてみます。

マルウエアをあるかどうかウイルススキャンしてみますが、下記のように「maldet(22179): {scan} must use absolute path, provided relative path …」とエラーになりました。
相対パスだと駄目らしいのでスキャン対象のディレクトリは絶対パスで指定する必要があるみたいです


# maldet  --scan-all ./example.jp/
Linux Malware Detect v1.6
            (C) 2002-2017, R-fx Networks <proj@rfxn.com>
            (C) 2017, Ryan MacDonald <ryan@rfxn.com>
This program may be freely redistributed under the terms of the GNU GPL v2

maldet(22179): {scan} must use absolute path, provided relative path "./example.jp/"

実際に絶対パスでしていしてウイルススキャンをおこないます

# maldet --scan-all /home/admin/example.jp/html/
Linux Malware Detect v1.6
            (C) 2002-2017, R-fx Networks <proj@rfxn.com>
            (C) 2017, Ryan MacDonald <ryan@rfxn.com>
This program may be freely redistributed under the terms of the GNU GPL v2

maldet(23675): {scan} signatures loaded: 17046 (14228 MD5 | 2035 HEX | 783 YARA | 0 USER)
maldet(23675): {scan} building file list for /home/admin/example.jp/html/, this might take awhile...
maldet(23675): {scan} setting nice scheduler priorities for all operations: cpunice 19 , ionice 6
maldet(23675): {scan} file list completed in 0s, found 465 files...
maldet(23675): {scan} found clamav binary at /bin/clamscan, using clamav scanner engine...
maldet(23675): {scan} scan of /home/admin/example.jp/html/ (465 files) in progress...
maldet(23675): {scan} processing scan results for hits: 12 hits 0 cleaned
maldet(23675): {scan} scan completed on /home/admin/example.jp/html/: files 465, malware hits 12, cleaned hits 0, time 101s
maldet(23675): {scan} scan report saved, to view run: maldet --report 200925-1047.23675
maldet(23675): {scan} quarantine is disabled! set quarantine_hits=1 in conf.maldet or to quarantine results run: maldet --report 200925-1047.23675
maldet(23675): {alert} sent scan report to admin@exapmle.com

最後の行付近で「maldet –report 200925-1047.23675」とあるので、レポートをみてみます

# maldet --report 200925-1047.23675
HOST:      www01
SCAN ID:   200925-1047.23675
STARTED:   Sep 25 2020 10:47:28 +0900
COMPLETED: Sep 25 2020 10:49:09 +0900
ELAPSED:   101s [find: 0s]

PATH:          /home/admin/example.jp/html/
TOTAL FILES:   465
TOTAL HITS:    12
TOTAL CLEANED: 0

WARNING: Automatic quarantine is currently disabled, detected threats are still accessible to users!
To enable, set quarantine_hits=1 and/or to quarantine hits from this scan run:
/usr/sbin/maldet -q 200925-1047.23675

FILE HIT LIST:
{CAV}Win.Exploit.CVE_2017_11930-6389655-0 : /home/admin/example.jp/html/test/browser-chrome.rules
{CAV}Html.Exploit.CVE_2011_0065-1 : /home/admin/example.jp/html/test/browser-firefox.rules
{CAV}Html.Exploit.CVE_2013_1308-1 : /home/admin/example.jp/html/test/browser-ie.rules
{CAV}Win.Exploit.CVE_2012_1889-3 : /home/admin/example.jp/html/test/browser-plugins.rules
{CAV}Html.Trojan.Blackhole-65 : /home/admin/example.jp/html/test/exploit-kit.rules
{CAV}Html.Exploit.CVE_2015_0346-1 : /home/admin/example.jp/html/test/file-flash.rules
{CAV}Win.Exploit.CVE_2018_15995-6783090-2 : /home/admin/example.jp/html/test/file-other.rules
{CAV}Pdf.Exploit.CVE_2016_1092-2 : /home/admin/example.jp/html/test/file-pdf.rules
{CAV}Xml.Dropper.PowMet-7374885-1 : /home/admin/example.jp/html/test/indicator-compromise.rules
{HEX}php.malware.magento.594 : /home/admin/example.jp/html/test/malware-cnc.rules
{CAV}Js.Coinminer.Moonify-6508852-2 : /home/admin/example.jp/html/test/pua-other.rules
{CAV}Xml.Exploit.CVE_2020_1147-8805206-0 : /home/admin/example.jp/html/test/server-webapp.rules
===============================================
Linux Malware Detect v1.6 < proj@rfxn.com >