maldetect

maldetectとClamAVを導入する

以下の記事に、LMD（Linux Malware Detectionあるいはmaldetect）とClamAVを導入する手順が解説されている。

• Linuxサーバーで「maldetect」「ClamAV」を使ってマルウェアを自動検出するには - TechRepublic Japan

導入すると、cronで毎日自動的にmaldetectのスキャンが実行される。手動スキャンはいつでも可能。

後日注記：僕は、趣味で使うDebianマシンにmaldetectとClamAVを導入しています。

設定

以下は/usr/local/maldetect/conf.maldetの例。（Linuxサーバーで「maldetect」「ClamAV」を使ってマルウェアを自動検出するには - TechRepublic Japanより自分用の引用コピー。）

email_alert=1
email_addr="メールアドレス"
email_subj="Malware was found. $HOSTNAME : $(date +%Y-%m-%d)"
quarantine_hits=1
quarantine_clean=1
quarantine_suspend_user=0
scan_clamscan=1

電子メールアラートが必要なければemail_alert=0とする。

後日注記：quarantine_suspend_user=1は要注意。このオプションを1にすると、マルウェアが見つかったユーザのアカウントの停止させる。僕はこのオプションを1にした上でサンプルウイルスを検出させたため、ユーザーが停止されてアカウントにログインできなくなってしまった。

inotifyでリアルタイムスキャン

maldetectを使うのであれば、inotify-toolsを導入しましょう。

ファイルやディレクトリを監視できるカーネルのinotify機能を使えるため、リアルタイムスキャンが可能になります。

• Linuxのアンチウィルスソフト『Linux Malware Detect(LMD)』をCentOS 7にインストールしてリアルタイムスキャン+検疫をさせる | 俺的備忘録 〜なんかいろいろ〜

ClamAV

ClamAVを参照のこと。