Gerade als Betreiber eines Webservers sollte man regelmäßig prüfen, ob unter den gehosteten Internetseiten nicht auch eine mit Malware behaftete/verseuchte Seite vorhanden ist. Dazu bietet sich das Tool Malwaredetect an, was die Websites auf Malware prüft.
Was ist Malware?
Malware ist Schadsoftware, die dazu eingesetzt wird, um unerwünschte bzw. meist sogar schädliche Aktionen auszuführen. In unserem Fall könnte beispielsweise Spam versendet oder von dieser Website aus bspw. andere Hosts gescannt werden.
Die Installation
Zunächst muss die Software heruntergeladen und installiert werden.
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar xvfz maldetect-current.tar.gz
cd maldetect-[versionsnummer]/
./install.sh
Danach ist die Installation von ClamAV noch nötig, da wir MalwareDetect das Arbeiten mit ClamAV ermöglichen wollen.
apt-get -y install clamav
Die Konfiguration
Die Konfiguration ist in der Konfigurationsdatei /usr/local/maldetect/ conf.maldet vorzunehmen. Die wichtigsten Parameter sind:
email_alert=1
email_addr=gacanepa@localhost
quar_hits=1
quar_clean=1
quar_susp=1
clam_av=1
Danach laden wir uns einige Test-Viren aus dem Internet und legen sie in einem Ordner ab, der von MalwareDetect gescannt werden soll.
cd /var/www/html
wget http://www.eicar.org/download/eicar.com
wget http://www.eicar.org/download/eicar.com.txt
wget http://www.eicar.org/download/eicar_com.zip
wget http://www.eicar.org/download/eicarcom2.zip
Der Scanvorgang
Nun müssen wir einen Scanvorgang starten und MalwareDetect seine Arbeit machen lassen. Wir können einen ganze Pfad angeben worin alle Dateien und Verzeichnisse gescannt werden oder wir können auch spezielle Dateitypen angeben. In der zweiten Zeile würde bspw. nach Zip-Dateien gesucht werden.
maldet --scan-all /var/www/
maldet --scan-all /var/www/*.zip
Nach dem Scan kann der Report angeschaut werden. Entweder mit der Report-ID, die ausgegeben wird am Ende des Scans oder per Email, die versendet wurde.
maldet --report 169017-2051.2668