恶意软件 – 如何检测和删除

Maldet 是一款适用于 Linux 服务器的免费流行恶意软件扫描软件,可用于扫描整个服务器以查找潜在的恶意文件。 正确配置和监控,它甚至可以用于在检测到恶意软件时禁用或完全删除它。 但是,只有在您确定不会在扫描中发现误报时,才应配置文件的删除。

如何安装 Maldet

要在您的 linux 服务器上安装 Maldet,请将以下内容复制并粘贴到命令行中。 然后将预先安排 Maldet 每天运行。

pushd /usr/local/src/
rm -vrf /usr/local/src/maldetect-*
rm -vrf /usr/local/src/linux-malware-detect*
wget https://www.rfxn.com/downloads/maldetect-current.tar.gz
tar -zxvf maldetect-current.tar.gz
cd maldetect-*
sh ./install.sh
maldet --update-ver
#sed patch - commands added to address current problem with maldet overriding values in the conf file
sed -i 's/quarantine_hits="1"/quarantine_hits="0"/' /usr/local/maldetect/conf.maldet
sed -i 's/quarantine_clean="1"/quarantine_clean="0"/' /usr/local/maldetect/conf.maldet
sed -i 's/email_alert="1"/email_alert="0"/' /usr/local/maldetect/conf.maldet
sed -i 's/email_addr="[email protected]"/email_addr=""/' /usr/local/maldetect/conf.maldet
#end sed patch
maldet --update
if [ -e /usr/local/cpanel/3rdparty/bin/clamscan ]
then
ln -s /usr/local/cpanel/3rdparty/bin/clamscan /usr/bin/clamscan
ln -s /usr/local/cpanel/3rdparty/bin/freshclam /usr/bin/freshclam
if [ ! -d /var/lib/clamav ]
then mkdir /var/lib/clamav
fi
ln -s /usr/local/cpanel/3rdparty/share/clamav/main.cld /var/lib/clamav/main.cld
ln -s /usr/local/cpanel/3rdparty/share/clamav/daily.cld /var/lib/clamav/daily.cld
ln -s /usr/local/cpanel/3rdparty/share/clamav/bytecode.cld /var/lib/clamav/bytecode.cld
else
echo -e "ne[31mClamAV does not appear to be installed through cPanel.nThe ClamAV definitions will not be used.e[39mn"
fi
Popd

扫描恶意软件

完成安装后,您将需要配置扫描过程。 maldet 的配置位于 /usr/本地/恶意检测/conf.maldet. 您将需要使用您喜欢的文本编辑器(例如 vim 或 nano)打开文件:

vim /usr/local/maldetect/conf.maldet
编辑文件后,您需要在 “” 在线上 电子邮件地址=, 像这样 email_addr=“[email protected]

您还可以设置扫描以通过更改行来隔离它发现的恶意文件 隔离命中=“0” “1”,它应该看起来像 隔离命中=“1”. 我建议不要使用此选项,因为它可能会错误地获取合法代码。 如果扫描错误地将合法文件放入隔离区,您需要使用以下命令模板将其移回原位,将 SCANID 替换为 maldet 报告的正确扫描 ID:

Maldet --restore {SCANID}
一旦您使用隔离区运行扫描一段时间,并且您确信没有拾取安全文件,您可能希望在相同配置中打开隔离文件的删除 /usr/本地/恶意检测/conf.maldet 在线 隔离清洁=“0”“1” ,它应该看起来像 隔离清洁=“1”. 我个人会避免使用此配置选项,因为它总是会错误地选择新的编辑并破坏您的辛勤工作。

正在寻找针对服务器和网站的预配置保护? 查看我们广泛的安全产品,这些产品一定能满足您的任何安全问题!