Maldet Kurulumu ve Kullanımı

Maldet uygulaması Linux için malware algılama yazılımıdır. Ücretsiz olan bu yazılım Linux için kötü amaçlı yazılımları sunucunuzda tespit etmenize olanak sağlar. R-fx Networks tarafından yazılmış olan Linux Malware Detect yazılımı ile ilgili daha detaylı bilgilere http://www.rfxn.com/projects/linux-malware-detect/ adresinden ulaşabilirsiniz. Linux Malware Detect yazılımı kullanımı ile ilgili tüm sorularınızı çekinmeden yorum kısmından bizlere iletebileceğinizi unutmayın.


Kurulum;

Kurulum için kullanmanız gereken komutlar alt kısımda bilginize sunulmuştur:

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar zxvf maldetect-current.tar.gz
cd maldetect-*
sh install.sh

Kurulum bu komutlarla sorunsuz tamamlandıktan sonra yazılımın kullanımı ile ilgili örneklere geçmeden evvel bir uyarıda bulunmamız gerekir. Linux Malware Detect kısa adı ile maldet tarama işlemi yaparken sabit diskinizde oldukça fazla i/o tüketmektedir. Yavaş veya yoğun işlem olan sabit disklerde işlem yaparken sisteminizde ciddi performans sorunları oluşturabilir.

Komutlar:

maldet --help tüm maldet parametrelerini ekrana basacaktır.

Örnek tarama; Örneğin, hack edilmiş veya backdoor bulaşmış bir web sitesini taramak için örnek komut uygulaması yapalım. cPanel bir sunucuda wmaraci.com örnek alan adının cPanel kullanıcısı wmaraci ise:

maldet -a /home/wmaraci/public_html

komutu ile ilgili web sayfasının dosyalarında malware taraması başlatabilirsiniz.

Tarama işlemine başladığınızda maldet size dosya sayısını göstermektedir.

maldet(9174): {scan} 653/14045 files scanned: 0 hits 0 cleaned


maldet(9174): {scan} 653/14045 files scanned: 0 hits 0 cleaned

işlem devam ederken alınmış bu örnekte 14045 adet dosya içerisinde henüz 653 dosyanın tarandıpını görebilirsiniz. Herhangi bulunan zararlı bir içerikvarsa hits, temizlenen içerik varsa cleaned kısmında ayrıca görüntülenecektir.

Bu işlemin sonucunda yine tarama bitince maldet raporlama ve temizleme için size kodları ekrana basacaktır. Bununla ilgili örnekler alt kısımda yer almaktadır.

maldet(9174): {scan} scan completed on /root/: files 14045, malware hits 1, cleaned hits

Yukarıdaki satırdan çıkartacağımız anlam 1 adet zararlı içeriğin tespit edildiğidir.

maldet(9709): {scan} scan report saved, to view run: maldet --report 081513-2051.9709

Yukarıdaki satırdan çıkartacağımız anlam, zararlı içerik ile ilgili rapor, isim ve diğer bilereri görmek için konsolumuza maldet --report 081513-2051.9709 komutunu yazmamız gerektiğidir. Bu komut da yer alan rakamsal değer her taramada sistem tarafından otomatik olarak üretilmektedir.

maldet(9709): {scan} quarantine is disabled! set quar_hits=1 in conf.maldet or to quarantine results run: maldet -q 081513-2051.9709

Yukarıdaki satırdan çıkartmamız gereken anlam ise raporda yer alan tüm dosyaları temizlemek veya silmek yada karantina altına almak için maldet -q 081513-2051.9709 komutunu konsoldan çalıştırmamız gerektiğidir.

Bu örnek anlatımdan sonra bazı ayarlar ile ilgili de sizlere maldet hakkında bilgi vereceğiz.

maldet --report list komutu daha önce yapmış olduğunuz tarama işlemlerini ekrana basar.

maldet --monitor komutu sürekli olarak tarama işlemi yapar (Ör: maldet --monitor /home sürekli olarak /home dizinine yüklenen dosyaları tarar kapatmak için maldet -k komutunu kullanmanız yeterlidir bu işlem background da çalışmaya devam edeceğinden yavaş veya yoğun sabit disklerde çok ciddi performans sorunları oluşturabilir.)

maldet -a /home/?/public_html komutunda kullanılan soru işareti yıldız yerine geçmekte ve /home klasörü içerisindeki tüm klasörlerin içerisinde bulunan public_html klasörlerini taramanıza olanak sağlamaktadır. Bu sayede daha az dosyayı daha hızlı tarayarak tüm sunucunuzda malware taraması yapmış olacaksınız.

maldet -b parametresi uzun sürecek tarama işlemlerini background da gerçekleştirir. Böylece tarama başlatıp SSH bağlantısını kapatabilirsiniz. (Ör: maldet -a -b /home/)

maldet -u maldet virüs veri tabanını güncelleştirecektir.

maldet -r parametresi sadece belirli bir gündeki eklenen değişen dosyaları taramaktadır (Ör: maldet -r /home/?/public_html 2 komutu 2 günlük dosyaları taramaktadır.)

maldet --restore komutu, temizlenen veya karantinaya alınan dosyaları geri yükler. Virüs temizlerken yazılımlarınıza zarar vermesi durumunda tarama numarası ile restore yapılır (Ör: maldet --restore 081513-2051.9709)

maldet -p tüm karantinaya alınan dosyaları, logları ve açık oturumları siler.

Maldet yazılımını kendinize göre özelleştirmek için conf dosyasını açarak içerisindeki bilgileri de düzenlemeniz mümkündür.

nano -w /usr/local/maldetect/conf.maldet

nano editörü ile yukarıda yazan dizini ve komutu olduğu gibi konsola yazarsanız maldet conf dosyasını editleyebilirsiniz.

Maldet konfigürasyon dosyasını editlerken monitor olarak çalıştırdığınızda bulduğu virüsleri size e-posta göndermesini, otomatik karantinaya almasını, tarama ile ilgili olarak işlem detaylarını değiştirmenize olanak sağlamaktadır.

cPanel sunucular üzerinde çalıştırılan maldet yazılımında dilerseniz konfigürasyon dosyasındaki quar_susp değerini 1 yaparak virüs bulunan hesapların otomatik olarak suspend edilmesinide sağlayabilirsiniz.

Merhabalar,
Öncelikle vermiş olduğunuz bilgiler için teşekkürler.

Örneğin maldet -a -b /home/ komutunu verdik ve arka planda tarama yapılması için bıraktık. 1 gün sonra tarama bitmiş olacak. SSH kapatıldığı için bunu takip edemeyeceğiz. Biz taramanın bittiğini nasıl anlayabiliriz veya bulunan zararlı dosyaları hangi komutla görebiliriz. Bu konuda da bilgi verebilirseniz çok makbule geçecek.