پارس جوم :: انجمن های تخصصی جوملا - امنیت در سرور و سرورهای مجازی

ذخیره سازی اطلاعات در فضای ابری

Tue, 23 Jul 2019 11:20:00 +0000

ذخیره سازی اطلاعات در فضای ابری
یافتن فضای کافی برای ذخیره ی حجم انبوه اطلاعات در کامپیوتر ، چالش مهمی برای کاربران کامپیوتر محسوب می شود. برخی بر روی دیسکهای هارد بزرگتر سرمایه گذاری می کنند .

برخی از حافظه های جانبی مانند CD استفاده می کنند. برخی از کاربران بخت برگشته نیز ممکن است تمام فایلهای باارزش قدیمی خود را پاک کنند تا بتوانند فضای کافی برای ذخیره ی فایلهای جدید داشته باشند. برخی نیز گزینه ی اعتماد به یک ترند در حال رشد ، یعنی ذخیره سازی در سرور ابری و سرور مجازی، را انتخاب می کنند.

با آنکه با شنیدن نام ذخیره سازی ابری ممکن است مسائلی مربوط به جبهه های هوایی و طوفان و ... به ذهن بیاید،اما در واقع ذخیره سازی ابری به معنی یک سیستم ذخیره ی خارجی است که توسط یک شخص ثالث اداره و نگه داری می شود. در این روش ، شما به جای آنکه اطلاعات خود را بر روی هارد کامپیوتر خود و یا یک حافظه جانبی ذخیره کنید ، آن را در یک database جداگانه ذخیره می کنید. و ارتباط بین کامپیوتر شما و این database از طریق اینترنت برقرار می شود.

ذخیره سازی ابری به لحاظ ظاهری چند مزیت نسبت به روش ذخیره سازی سنتی اطلاعات دارد. به عنوان مثال، اگسیستم ذخیره سازی ابری به صدها سرور متکی است . از آنجا که گاهی کامپیوترها به سرویس و یا تعمیر نیاز دارند ، باید اطلاعات بر روی چند دستگاه مختلف ذخیره شوند. به این کار ' تکرار اطلاعات' یا (redundancy) می گویند. بدون ' تکرار اطلاعات ' ، سیستم ذخیره ابری نمی تواند به کاربران تضمین دهد که هرگاه بخواهند به اطلاعات خود دسترسی داشته باشند. اغلب سیستمها اطلاعات را بر روی سرورها و هاست های مختفی که هر کدام منبع انرژی متفاوتی دارند ، ذخیره می کنند. بدین ترتیب حتی در صورت قطع برق یک سرور ، کاربران می توانند به اطلاعات خود دسترسی داشته باشند.ر اطلاعات خود را در سرور ابری و سرور مجازی ذخیره کنید، می توانید از هر نقطه ای که اتصال اینترنت در اختیار داشته باشید ، به آن اطلاعات دسترسی پیدا کنید. برای ذخیره سازی و بازیابی اطلاعات خود نیازی به همراه داشتن ابزار ، حافظه ی جانبی و یا استفاده از همان کامپیوتر اصلی خود ندارید. در صورت استفاده از یک سیستم ذخیره سازی مناسب، حتی می توانید امکان دسترسی دیگران را به این اطلاعات فراهم کنید و بدین ترتیب می توانید یک پروژه ی شخصی را به یک کار مشارکتی تبدیل کنید.

بنابراین ذخیره سازی ابری مفید و مناسب است و انعطاف پذیری شما را افزایش می دهد . اما این سیستم چگونه کار می کند؟

مبانی اولیه ذخیره سازی ابری
صدها مدل مختلف سیستم ذخیره سازی ابری وجود دارد. بعضی از این انواع مخصوص ذخیره ی یک مورد خاص ، مثلاً عکسهای دیجیتال یا پیامهای ایمیل هستند. در انواع دیگر می توان اشکال مختلف اطلاعات دیجیتال را ذخیره کرد. بعضی از سیستمهای ذخیره ی ابری کوچکند ، اما برخی چنان بزرگند که دستگاههای فیزیکی آنها فضای یک انبار را به طور کامل پر می کنند. به فضایی که در حقیقت محل انجام ذخیره سازی ابری است ، data center می گویند.

در ساده ترین سطح، سیستم ذخیره سازی ابری به یک سرور با دسترسی به اینترنت نیاز دارد. کاربر ( مثلاً کاربری که مشترک سیستم ذخیره سازی ابری شده است) یک کپی از فایلهای مورد نظر را از طریق اینترنت برای سرور می فرستد و این سرور اطلاعات این فایلها را ضبط می کند. هر وقت که کاربر قصد بازیابی آن اطلاعات را داشته باشد، از طریق یک رابط تحت وب به سرور دسترسی پیدا می کند. پس از دسترسی، یا سرور اطلاعات را مجدداً برای کاربر ارسال می کند و یا اینکه به کاربر اجازه می دهد که اطلاعات خود را بر روی همان سرور تغییر بدهد.

سیستم ذخیره سازی ابری به صدها سرور متکی است . از آنجا که گاهی کامپیوترها به سرویس و یا تعمیر نیاز دارند ، باید اطلاعات بر روی چند دستگاه مختلف ذخیره شوند. به این کار ' تکرار اطلاعات' یا (redundancy) می گویند. بدون ' تکرار اطلاعات ' ، سیستم ذخیره ابری نمی تواند به کاربران تضمین دهد که هرگاه بخواهند به اطلاعات خود دسترسی داشته باشند. اغلب سیستمها اطلاعات را بر روی سرورها و هاست های مختفی که هر کدام منبع انرژی متفاوتی دارند ، ذخیره می کنند. بدین ترتیب حتی در صورت قطع برق یک سرور ، کاربران می توانند به اطلاعات خود دسترسی داشته باشند.

کاربران سیستم ذخیره سازی ابری نگران اتمام فضای ذخیره سازی نیستند. آنها از سیستم ذخیره سازی ابری به عنوان راهی برای ایجاد نسخه پشتیبان اطلاعات استفاده می کنند. اگر اتفاقی برای سیستم کامپیوتری کاربر بیفتد ، اطلاعات در یک فضای خارجی حفظ می شوند.

نمونه هایی از ذخیره سازی ابری
صدها عرضه کننده ی سیستم ذخیره ابری در دنیای وب وجود دارد و به نظر می رسد که این تعداد هر روز بیشتر می شود. به نظر می رسد که هر روزه هم تعداد شرکتهای رقیب برای عرضه ی خدمات ذخیره سازی ابری و هم حجم ذخیره سازی ارائه شده از سوی هر شرکت ، افزایش می یابد.

ممکن است با نام تعدادی از شرکتهای عرضه کننده ی سرویس ذخیره سازی ابری آشنا باشد ، اما ندانید که این شرکتها این سرویس را نیز ارائه می کنند. اسامی تعدادی از شرکتهای مشهور که برخی از اشکال سرویس ذخیره سازی ابری را ارائه می کنند، عبارتند از :

• Google Docsامکان آپلود فایلهای doc ، صفحه گسترده و اسلاید را در سرور گوگل به کاربر می دهد. همچنین کاربر حتی می تواند اسناد را منتشر کند ، به گونه ای که دیگران می توانند آنها را بخوانند و حتی ویرایش کنند ، که به این معنی است که Google Docs یک نمونه از رایانش ابری نیز هست.

• سرویسهای ایمیل مانند Gmail ، Hotmail و Yahoo!Mail پیامهای ایمیل را در سرورهای خود ذخیره می کنند . کاربران از طریق کامپیوترهای مختلف و یا هر وسیله ی دیگری که به اینترنت وصل می شود ، می توانند به ایمیل خود دسترسی داشته باشند.

• سایتهایی همچون ّFlicker و Picasa میلیونها عکس دیجیتال را در خود ذخیره دارند. کاربران می توانند با آپلود مستقیم عکسهای خود در سرور ابری و سرور مجازی خدمات رسان این سایتها ، به صورت آنلاین برای خود آلبوم دیجیتال درست کنند.

• YouTube هاست میلیونها فایل ویدیوئی آپلود شده توسط کاربران است.

• شرکتهای هاستینگ مانند StartLogic ،HosrMonster و GoDaddy فایلها و اطلاعات لازم برای وب سایت های کاربران را ذخیره می کنند.

• سایتهای شبکه های اجتماعی نظیر Facebook و MySpace به کاربران اجازه می دهند که تصاویر و یا سایر محتواها را در این شبکه ها قرار دهند. تمام این محتواها در سرورهای سایتهای مربوطه ذخیره می شوند.

• سرویسهایی مانند Xdrive ، MediaMax و StrongSpace فضای لازم برای ذخیره ی انواع داده های دیجیتال را در اختیار کاربران قرار می دهند.

برخی از سرویسهایی که به آنها اشاره شد ، رایگان هستند. گروهی برای ذخیره ی یک حجم مشخص مبلغ ثابتی دریافت می کنند و تعدادی نیز بر حسب میزان ذخیره ی مورد نیاز کاربران هزینه های بیشتری دریافت می کنند. در مجموع ،با ورود شرکتهای بیشتر به این صنعت ، قیمت ذخیره سازی آنلاین کاهش یافته است. حتی تعدادی از شرکتهایی که در قبال ذخیره ی اطلاعات دیجیتال مبلغی دریافت می کردند، حداقل مقدار مشخصی از این کار را به صورت رایگان انجام می دهند .

آیا میزان تقاضای ذخیره سازی اطلاعات موجود در بازار بقدری هست که تمام این شرکتها به این بازار وارد شوند؟ برخی تصور می کنند اگر فضایی برای ذخیره سازی وجود داشته باشد ، کسی آن را پر خواهد کرد. برخی دیگر نیز تصور می کردند که این صنعت برخلاف آنچه که در انفجار حباب dot-com در سال 2000 رخ داد ، محکوم به شکست است. باید صبرکرد و دید.

مشکلات ذخیره سازی ابری
بزرگترین نگرانیهای موجود در ذخیره سازی ابری ، پایایی و امنیت هستند . بعید است که کاربران بدون داشتن تضمین برای آنکه هر زمان که بخواهند بتوانند به اطلاعاتشان دسترسی داشته باشند و کس دیگری هم به اطلاعات آنها دسترسی نداشته باشد ، فایلها و اطلاعات خود را در اختیار یک شرکت دیگر بگذارند.

اغلب سیستمها برای حفظ امنیت داده ها از ترکیب چند تکنولوژی با هم استفاده می کنند. تکنولوژیهایی مانند :

• رمزگذاری ، که به معنی استفاده از یک الگوریتم پیچیده برای رمزگذاری اطلاعات است. برای رمزگشایی فایلهای رمزگذاری شده ، کاربر نباز به داشتن کلید رمز دارد. با اینکه امکان کرک اطلاعات رمزگذاری شده وجود دارد ، اما بیشتر هکرها قدرت پردازشی لازم برای شکستن رمز فایلهای رمزگذاری شده را ندارند.

• استفاده از فرایند تأیید هویت ، که نیاز به ساختن نام کاربری و کلمه عبور دارد .

• استفاه از شیوه های صدور مجوز ، که در آن مشتری لیستی از کسانی که اجازه ی دسترسی به اطلاعات ذخیره شده در سرور ابری را دارند ، تهیه می کند. بسیاری از شرکتها چند لایه سطح دسترسی مجاز دارند. به عنوان مثال، ممکن است یک کارمند جزء دسترسی بسیار محدودی داشته باشد ، اما مسئول منابع انسانی شرکت دسترسی گسترده ای به فایلهای ذخیره شده داشته باشد.

حتی با وجود این اقدامات امنیتی ، خیلی ها در مورد آسیب پذیری اطلاعاتی که در یک مرکز ذخیره ی جدا از سازمان خود ذخیره می کنند ، نگرانند. همیشه این امکان وجود دارد که یک هکر راهی برای دستیابی به این اطلاعات پیدا کند. این امکان هم وجود دارد که هکرها دستگاهی را که این اطلاعات بر روی آن ذخیره شده اند ، را به سرقت ببرند. ممکن است یک کارمند ناراضی با استفاده از رمز کاربری مجاز خود ، اطلاعات را تغییر دهد یا نابود کند. شرکتهای ذخیره سازی ابری برای به حداقل رساندن احتمال سرقت و یا تخریب اطلاعات ، مبالغ هنگفتی را صرف انجام اقدامات امنیتی می کنند.

نگرانی دیگری که در مورد ذخیره سازی ابری وجود دارد ، پایایی ، درست به اندازه ی مسئله ی امنیت ، اهمیت دارد . یک سیستم ذخیره سازی ابری بی ثبات ، می تواند مشکل ساز شود. هیچ کس تمایلی به ذخیره ی اطلاعات خود در سیستمی که احتمال نابودی آن می رود ، ندارد ؛ همچنین هیچ کس به شرکتی که ثبات مالی ندارد، اعتماد نمی کند. با اینکه بیشتر سیستمهای ذخیره سازی ابری سعی کرده اند که با استفاده از تکنیک redundancy ، این مشکل را برطرف کنند ، اما هنوز هم این احتمال وجود دارد که کل سیستم از کار بیفتد و کاربر هیچ راهی برای دسترسی به اطلاعات ذخیره شده نداشته باشد.

شهرت و وجهه ی عمومی سیستمهای ذخیره سازی ابری می تواند سبب نابودی یا حیات آنها شود. هدف اصلی هر شرکت آن است که امن ترین و مطمئن ترین سرویسهای ممکن را به مشتریان خود ارائه کند. اگر شرکتی نتواند این انتظارات اولیه ی مشتریان را برآورده کند ، شانس چندانی برای ادامه ی کار نخواهد داشت.

دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.

مسدود کردن آی پی های کشورهای مختلف توسط فایروال سرور CSF

Fri, 16 Dec 2016 11:38:50 +0000

درود
برای جلوگیری از دسترسی آی پی های برخی کشورها به سرور خود میتوانید با استفاده از فایروال csf و وارد کردن کد اختصاصی اون کشورها در تنظیمات فایروال تمامی رنج آی پی های اون کشور را مسدود کنید.
عنوان این مطلب Country Codes required for CC_DENY/ALLOW in CSF Firewall می باشد و در قسمت CC_DENY/ALLOW در تنظیمات فایروال میتوانید کد کشورهای مورد نظر برای مسدود سازی را وارد کنید و با کاما جدا کنید.
از منو کشویی در تنظیمات فایروال Country Code Lists and Settings را انتخاب کنید و در فیلد CC_DENY مانند زیر وارد کنید :

کد: 

AD,AM,AZ,BA,BY,MD,RU,SI,TM,UA,KZ,KG

در ادامه لیست کد کشورها را نیز میتوانید مشاهده کنید :

کد: 

Country Codes required for CC_DENY/ALLOW in CSF Firewall

To block or allow website access to certain countries, following country codes are used in the CC_DENY or CC_ALLOW option in CSf Firewall.

AD Andorra

AE United Arab Emirates

AF Afghanistan

AG Antigua and Barbuda

AI Anguilla

AL Albania

AM Armenia

AN Netherlands Antilles

AO Angola

AQ Antarctica

AR Argentina

AS American Samoa

AT Austria

AU Australia

AW Aruba

AZ Azerbaijan

BA Bosnia and Herzegovina

BB Barbados

BD Bangladesh

BE Belgium

BF Burkina Faso

BG Bulgaria

BH Bahrain

BI Burundi

BJ Benin

BM Bermuda

BN Brunei Darussalam

BO Bolivia

BR Brazil

BS Bahamas

BT Bhutan

BV Bouvet Island

BW Botswana

BY Belarus

BZ Belize

CA Canada

CC Cocos (Keeling) Islands

CF Central African Republic

CG Congo

CH Switzerland

CI Cote D'Ivoire (Ivory Coast)

CK Cook Islands

CL Chile

CM Cameroon

CN China

CO Colombia

CR Costa Rica

CS Czechoslovakia (former)

CU Cuba

CV Cape Verde

CX Christmas Island

CY Cyprus

CZ Czech Republic

DE Germany

DJ Djibouti

DK Denmark

DM Dominica

DO Dominican Republic

DZ Algeria

EC Ecuador

EE Estonia

EG Egypt

EH Western Sahara

ER Eritrea

ES Spain

ET Ethiopia

FI Finland

FJ Fiji

FK Falkland Islands (Malvinas)

FM Micronesia

FO Faroe Islands

FR France

FX France, Metropolitan

GA Gabon

GB Great Britain (UK)

GD Grenada

GE Georgia

GF French Guiana

GH Ghana

GI Gibraltar

GL Greenland

GM Gambia

GN Guinea

GP Guadeloupe

GQ Equatorial Guinea

GR Greece

GS S. Georgia and S. Sandwich Isls.

GT Guatemala

GU Guam

GW Guinea-Bissau

GY Guyana

HK Hong Kong

HM Heard and McDonald Islands

HN Honduras

HR Croatia (Hrvatska)

HT Haiti

HU Hungary

ID Indonesia

IE Ireland

IL Israel

IN India

IO British Indian Ocean Territory

IQ Iraq

IR Iran

IS Iceland

IT Italy

JM Jamaica

JO Jordan

JP Japan

KE Kenya

KG Kyrgyzstan

KH Cambodia

KI Kiribati

KM Comoros

KN Saint Kitts and Nevis

KP Korea (North)

KR Korea (South)

KW Kuwait

KY Cayman Islands

KZ Kazakhstan

LA Laos

LB Lebanon

LC Saint Lucia

LI Liechtenstein

LK Sri Lanka

LR Liberia

LS Lesotho

LT Lithuania

LU Luxembourg

LV Latvia

LY Libya

MA Morocco

MC Monaco

MD Moldova

MG Madagascar

MH Marshall Islands

MK Macedonia

ML Mali

MM Myanmar

MN Mongolia

MO Macau

MP Northern Mariana Islands

MQ Martinique

MR Mauritania

MS Montserrat

MT Malta

MU Mauritius

MV Maldives

MW Malawi

MX Mexico

MY Malaysia

MZ Mozambique

NA Namibia

NC New Caledonia

NE Niger

NF Norfolk Island

NG Nigeria

NI Nicaragua

NL Netherlands

NO Norway

NP Nepal

NR Nauru

NT Neutral Zone

NU Niue

NZ New Zealand (Aotearoa)

OM Oman

PA Panama

PE Peru

PF French Polynesia

PG Papua New Guinea

PH Philippines

PK Pakistan

PL Poland

PM St. Pierre and Miquelon

PN Pitcairn

PR Puerto Rico

PT Portugal

PW Palau

PY Paraguay

QA Qatar

RE Reunion

RO Romania

RU Russian Federation

RW Rwanda

SA Saudi Arabia

Sb Solomon Islands

SC Seychelles

SD Sudan

SE Sweden

SG Singapore

SH St. Helena

SI Slovenia

SJ Svalbard and Jan Mayen Islands

SK Slovak Republic

SL Sierra Leone

SM San Marino

SN Senegal

SO Somalia

SR Suriname

ST Sao Tome and Principe

SU USSR (former)

SV El Salvador

SY Syria

SZ Swaziland

TC Turks and Caicos Islands

TD Chad

TF French Southern Territories

TG Togo

TH Thailand

TJ Tajikistan

TK Tokelau

TM Turkmenistan

TN Tunisia

TO Tonga

TP East Timor

TR Turkey

TT Trinidad and Tobago

TV Tuvalu

TW Taiwan

TZ Tanzania

UA Ukraine

UG Uganda

UK United Kingdom

UM US Minor Outlying Islands

US United States

UY Uruguay

UZ Uzbekistan

VA Vatican City State (Holy See)

VC Saint Vincent and the Grenadines

VE Venezuela

VG Virgin Islands (British)

VI Virgin Islands (U.S.)

VN Viet Nam

VU Vanuatu

WF Wallis and Futuna Islands

WS Samoa

YE Yemen

YT Mayotte

YU Yugoslavia

ZA South Africa

ZM Zambia

ZR Zaire

ZW Zimbabwe

COM US Commercial

EDU US Educational

GOV US Government

INT International

MIL US Military

NET Network

ORG Non-Profit Organization

ARPA Old style Arpanet

NATO Nato field

در چند هفته گذشته شاهد حملات متعددی از کشورهایی که به آنها بلوک شرق گفته میشود بودیم که با استفاده از ربات پسورد یاب به ادمین تمام سایت ها حمله کرده بودند و میلیون ها پسورد را برای ورود تست میکردند.
همچنین چندین بار حملات دی داس را داشتیم که چاره ای جزاین نیست که آی پی های کشورهایی رو که از اونجا حمله صورت میگیره مسدود کنیم.
برای سایت های جوملایی من قبلا در انجمن توضیح دادم و کامپوننت آر اس فایروال اوریجینال را نیز برای دوستان قرار دادم تا بتوانند درصورتی که از سرورهای دیگری بجز پارس جوم هاست استفاده میکنند بتونند خودشون دسترسی کشورهارو محدود کنند.برای دانلود کامپوننت به تاپیک زیر مراجعه کنید :

دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.

موفق و پیروز باشید

نصب Rootkit Hunter برای شناسایی مخرب ها و بکدورها

Fri, 22 Nov 2013 20:17:11 +0000

درود
Rootkit Hunter یک اسکنر رایگان است برای اسکن فایل های سیستمی سرور جهت شناسایی backdoors و rootkits و exploits که میتوانید آن را نصب و سیستم عامل سرور را اسکن کنید.

این اسکنر با سیستم عال های زیر سازگار است :

کد: 

RHEL 6.3/6.2/6.1/6/5.8, CentOS 6.3/6.2/6.1/6/5.8 and Fedora 12,13,14,15,16,17

ابتدا توسط دستور زیر چک کنید از چه سیستم عاملی استفاده میکنید :

کد: 

cat /etc/redhat-release

یتوانید به دو صورت نصب کنید یا بصورت خودکار یا بصورت معمولی.در یکی از سایت ها دیدم برای نصب خودکار دستوری را قرار داده که من هم برای شما قرار میدهم.

برای نصب خودکار از دستور زیر در ssh استفاده کنید :

کد: 

wget http://solidshellsecurity.com/_public/scripts/rkhunter_install.sh -v && chmod u+x rkhunter_install.sh && ./rkhunter_install.sh --email EMAILHERE --time h

بجای EMAILHERE ایمیل خود را وارد کنید.بعد از اتمام نصب میتوانید با دستور زیر سیستم خود را اسکن کنید :

کد: 

# rkhunter --check

جهت مشاهده هلپ اسکنر میتوانید از دستور زیر استفاده کنید :

کد: 

# rkhunter --help

مسیر پوشه وقایع یا لاگ این اسکنر بعد از اولین اسکن در مسیر زیر می باشد :

کد: 

/var/log/rkhunter.log

جهت بروز رسانی (آپدیت) این اسکنر از دستور زیر استفاده کنید :

کد: 

sudo rkhunter --update

توجه داشته باشید این اسکنر سیستم رو اسکن میکنه و اکانت های کاربران هاستینگ شما را اسکن نمیکند.

در انتها هم لیستی از مخرب هایی که این اسکنر میتونه شناسایی کند را قرار میدهم :

کد: 

55808 Trojan - Variant A

ADM W0rm

AjaKit

aPa Kit

Apache Worm

Ambient (ark) Rootkit

Balaur Rootkit

BeastKit

beX2

BOBKit

CiNIK Worm (Slapper.B variant)

Danny-Boy's Abuse Kit

Devil RootKit

Dica

Dreams Rootkit

Duarawkz Rootkit

Flea Linux Rootkit

FreeBSD Rootkit

Fuck`it Rootkit

GasKit

Heroin LKM

HjC Rootkit

ignoKit

ImperalsS-FBRK

Irix Rootkit

Kitko

Knark

Li0n Worm

Lockit / LJK2

mod_rootme (Apache backdoor)

MRK

Ni0 Rootkit

NSDAP (RootKit for SunOS)

Optic Kit (Tux)

Oz Rootkit

Portacelo

R3dstorm Toolkit

RH-Sharpe's rootkit

RSHA's rootkit

Scalper Worm

Shutdown

SHV4 Rootkit

SHV5 Rootkit

Sin Rootkit

Slapper

Sneakin Rootkit

Suckit

SunOS Rootkit

Superkit

TBD (Telnet BackDoor)

TeLeKiT

T0rn Rootkit

Trojanit Kit

URK (Universal RootKit)

VcKit

Volc Rootkit

X-Org SunOS Rootkit

zaRwT.KiT Rootkit

and... some known/unknown sniffers, backdoors like:

Anti Anti-sniffer

LuCe LKM

THC Backdoor

برای حذف این اسکنر هم میتونید از دستور زیر استفاده کنید :

کد: 

sudo apt-get remove rkhunter

شناسایی فایل های آلوده و مخرب های کد شده در سرور با Linux Malware Detect

Fri, 08 Nov 2013 11:30:55 +0000

درود
بسیاری از فایل های مخرب و مورد استفاده برای نفوذ به سایت سرور جهت عدم شناسایی کد شده هستند و نفوذگر معمولا این فایل هارو کد میکند.
بسیاری از این فایل ها توسط آنتی ویروس غیرقابل شناسایی هستند اما LMD یا Linux Malware Detect بسیاری از این فایل ها را شناسایی کرده و قرنطینه و یا حذف میکند.

Linux Malware Detect یک پلاگین رایگان برای سرورهای لینوکس هست که براحتی قابل نصب و استفاده می باشد.

دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.

ابتدا از همه سایت های موجود روی سرور بک آپ گرفته و سپس اقدام به نصب و استفاده Linux Malware Detect بکنید.

ویژگیها :

کد: 

Features:

- MD5 file hash detection for quick threat identification

- HEX based pattern matching for identifying threat variants

- statistical analysis component for detection of obfuscated threats (e.g: base64)

- integrated detection of ClamAV to use as scanner engine for improved performance

- integrated signature update feature with -u|–update

- integrated version update feature with -d|–update-ver

- scan-recent option to scan only files that have been added/changed in X days

- scan-all option for full path based scanning

- checkout option to upload suspected malware to rfxn.com for review / hashing

- full reporting system to view current and previous scan results

- quarantine queue that stores threats in a safe fashion with no permissions

- quarantine batching option to quarantine the results of a current or past scans

- quarantine restore option to restore files to original path, owner and perms

- quarantine suspend account option to Cpanel suspend or shell revoke users

- cleaner rules to attempt removal of malware injected strings

- cleaner batching option to attempt cleaning of previous scan reports

- cleaner rules to remove base64 and gzinflate(base64 injected malware

- daily cron based scanning of all changes in last 24h in user homedirs

- daily cron script compatible with stock RH style systems, Cpanel & Ensim

- kernel based inotify real time file scanning of created/modified/moved files

- kernel inotify monitor that can take path data from STDIN or FILE

- kernel inotify monitor convenience feature to monitor system users

- kernel inotify monitor can be restricted to a configurable user html root

- kernel inotify monitor with dynamic sysctl limits for optimal performance

- kernel inotify alerting through daily and/or optional weekly reports

- e-mail alert reporting after every scan execution (manual & daily)

- path, extension and signature based ignore options

- background scanner option for unattended scan operations

- verbose logging & output of all actions

فایل های مخرب قابل شناسایی با Linux Malware Detect :

کد: 

Detected Threats:

LMD 1.4.0 has a total of 7,241 (5393 MD5 / 1848 HEX) signatures (before updates), below is a listing of the top 60 threats by prevalence detected by LMD:

base64.inject.unclassed     perl.ircbot.xscan

bin.dccserv.irsexxy         perl.mailer.yellsoft

bin.fakeproc.Xnuxer         perl.shell.cbLorD

bin.ircbot.nbot             perl.shell.cgitelnet

bin.ircbot.php3             php.cmdshell.c100

bin.ircbot.unclassed        php.cmdshell.c99

bin.pktflood.ABC123         php.cmdshell.cih

bin.pktflood.osf            php.cmdshell.egyspider

bin.trojan.linuxsmalli      php.cmdshell.fx29

c.ircbot.tsunami            php.cmdshell.ItsmYarD

exp.linux.rstb              php.cmdshell.Ketemu

exp.linux.unclassed         php.cmdshell.N3tshell

exp.setuid0.unclassed       php.cmdshell.r57

gzbase64.inject             php.cmdshell.unclassed

html.phishing.auc61         php.defash.buno

html.phishing.hsbc          php.exe.globals

perl.connback.DataCha0s     php.include.remote

perl.connback.N2            php.ircbot.InsideTeam

perl.cpanel.cpwrap          php.ircbot.lolwut

perl.ircbot.atrixteam       php.ircbot.sniper

perl.ircbot.bRuNo           php.ircbot.vj_denie

perl.ircbot.Clx             php.mailer.10hack

perl.ircbot.devil           php.mailer.bombam

perl.ircbot.fx29            php.mailer.PostMan

perl.ircbot.magnum          php.phishing.AliKay

perl.ircbot.oldwolf         php.phishing.mrbrain

perl.ircbot.putr4XtReme     php.phishing.ReZulT

perl.ircbot.rafflesia       php.pktflood.oey

perl.ircbot.UberCracker     php.shell.rc99

perl.ircbot.xdh             php.shell.shellcomm

برای نصب از طریق ssh از دستورات زیر استفاده کنید.

کد: 

cd /tmp

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

tar xfz maldetect-current.tar.gz

cd maldetect-*

./install.sh

بعد از نصب میتوانید از کامندهای (دستورات) مختلف موجود برای این پلاگین برای اسکن و مانیتورینگ و قرنطینه و ارسال گزارشات به ایمیل و غیره استفاده کنید.

در لینک توضیحات میتونید همه این دستورات را مشاهده و استفاده کنید :

دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.

در لینک بالا تمامی دستورات و توضیحات موجود است و من نیز در تگ کد در زیر قرار دادم تا بتونید با کپی و پیست در یک فایل متنی استفاده کنید.

کد: 

Linux Malware Detect v1.4.1

            (C) 2002-2013, R-fx Networks 

            (C) 2013, Ryan MacDonald 

inotifywait (C) 2007, Rohan McGovern 

This program may be freely redistributed under the terms of the GNU GPL v2

::::::::::::::::::::::::::::::::::

:: CONTENTS ::

.: 1 [ DESCRIPTION ]

.: 2 [ FEATURES ]

.: 3 [ THREAT SOURCE DATA ]

.: 4 [ RELEASE UPDATES ]

.: 4.1 [ SIGNATURE UPDATES ]

.: 5 [ DETECTED THREATS ]

.: 6 [ THREAT SHARING ]

.: 7 [ CONFIGURATION ]

.: 8 [ IGNORE OPTIONS ]

.: 9 [ CLI USAGE ]

.: 10 [ CRON DAILY ]

.: 11 [ INOTIFY MONITORING ]

.: 12 [ MODSECURITY2 UPLOAD SCANNING ]

.: 13 [ CLEANER RULES ]

::::::::::::::::::::::::::::::::::

.: 1 [ DESCRIPTION ]

Linux Malware Detect (LMD) is a malware scanner for Linux released under the 

GNU GPLv2 license, that is designed around the threats faced in shared hosted 

environments. It uses threat data from network edge intrusion detection 

systems to extract malware that is actively being used in attacks and 

generates signatures for detection. In addition, threat data is also derived 

from user submissions with the LMD checkout feature and from malware 

community resources. The signatures that LMD uses are MD5 file hashes and HEX 

pattern matches, they are also easily exported to any number of detection 

tools such as ClamAV.

The driving force behind LMD is that there is currently limited availability 

of open source/restriction free tools for Linux systems that focus on malware 

detection and more important that get it right. Many of the AV products that 

perform malware detection on Linux have a very poor track record of detecting 

threats, especially those targeted at shared hosted environments.

The threat landscape in shared hosted environments is unique from that of the 

standard AV products detection suite in that they are detecting primarily OS 

level trojans, rootkits and traditional file-infecting viruses but missing 

the ever increasing variety of malware on the user account level which serves 

as an attack platform.

Using the CYMRU malware hash registry, which provides malware detection data 

for 30 major AV packages, we can demonstrate this short coming in current 

threat detection. The following is an analysis of the core MD5 hashes (5,393) 

in LMD 1.4.1 and the percentage of major AV products that currently detect 

the hashes.

KNOWN MALWARE:      1029

% AV DETECT (AVG):  48

% AV DETECT (LOW):  58

% AV DETECT (HIGH): 80

UNKNOWN MALWARE:    4364

What this information means, is that of the of the 5,393 hashes, 81% or 4,364 

malware items are NOT detected / known by the top 30 major AV packages. The 1,029 

malware items that are known / detected have an average of a 48% detection 

rate among major AV packages with a low / high margin of detection at 58 and 

80 percent respective. This clearly demonstrates the lacking capacity in currently

available tools and why it is important that something fill the void, especially

in the Linux shared hosted environment.

.: 2 [ FEATURES ]

- MD5 file hash detection for quick threat identification

- HEX based pattern matching for identifying threat variants

- statistical analysis component for detection of obfuscated threats (e.g: base64)

- integrated detection of ClamAV to use as scanner engine for improved performance

- integrated signature update feature with -u|--update

- integrated version update feature with -d|--update-ver

- scan-recent option to scan only files that have been added/changed in X days

- scan-all option for full path based scanning

- checkout option to upload suspected malware to rfxn.com for review / hashing

- full reporting system to view current and previous scan results

- quarantine queue that stores threats in a safe fashion with no permissions

- quarantine batching option to quarantine the results of a current or past scans

- quarantine restore option to restore files to original path, owner and perms

- quarantine suspend account option to Cpanel suspend or shell revoke users

- cleaner rules to attempt removal of malware injected strings

- cleaner batching option to attempt cleaning of previous scan reports

- cleaner rules to remove base64 and gzinflate(base64 injected malware

- daily cron based scanning of all changes in last 24h in user homedirs

- daily cron script compatible with stock RH style systems, Cpanel & Ensim

- kernel based inotify real time file scanning of created/modified/moved files

- kernel inotify monitor that can take path data from STDIN or FILE

- kernel inotify monitor convenience feature to monitor system users

- kernel inotify monitor can be restricted to a configurable user html root

- kernel inotify monitor with dynamic sysctl limits for optimal performance

- kernel inotify alerting through daily and/or optional weekly reports

- HTTP upload scanning through mod_security2 inspectFile hook

- e-mail alert reporting after every scan execution (manual & daily)

- path, extension and signature based ignore options

- background scanner option for unattended scan operations

- verbose logging & output of all actions

.: 3 [ THREAT SOURCE DATA ]

The defining difference with LMD is that it doesn't just detect malware based 

on signatures/hashes that someone else generated but rather it is an 

encompassing project that actively tracks in the wild threats and generates 

signatures based on those real world threats that are currently circulating.

There are four main sources for malware data that is used to generate LMD 

signatures:

- Network Edge IPS: The network I manage hosts over 35,000 web sites and as 

such receives a large amount of daily abuse, all of which is logged by our 

network edge IPS. The IPS events are processed to extract malware url's, 

decode POST payload and base64/gzip encoded abuse data and ultimately that 

malware is retrieved, reviewed, classified and then signatures generated as 

appropriate. The vast majority of LMD signatures have been derived from IPS 

extracted data.

- Community Data: Data is aggregated from multiple community malware websites 

such as clean-mx and malwaredomainlist then processed to retrieve new 

malware, review, classify and then generate signatures.

- ClamAV: The HEX & MD5 detection signatures from ClamAV are monitored for 

relevant updates that apply to the target user group of LMD and added to the 

project as appropriate. To date there has been roughly 400 signatures ported 

from ClamAV while the LMD project has contributed back to ClamAV by 

submitting over 1,100 signatures and continues to do so on an ongoing basis.

- User Submission: LMD has a checkout feature that allows users to submit 

suspected malware for review, this has grown into a very popular feature and 

generates on average about 30-50 submissions per week.

.: 4 [ RELEASE UPDATES ]

Updates to the release version of LMD are not automatically installed but can

be installed using the --update-ver option. There is good reasons that this is

not done automatically and I really dont feel like listing them so just think

about it a bit.

The latest changes in the release version can always be viewed at:

http://www.rfxn.com/appdocs/CHANGELOG.maldetect

.: 4.1 [ SIGNATURE UPDATES ]

The LMD signatures are updated typically once per day or more frequently

depending on incoming threat data from the LMD checkout feature, IPS malware

extraction and other sources. The updating of signatures in LMD installations

is performed daily through the default cron.daily script with the --update

option, which can be run manually at any time.

An RSS & XML data source is available for tracking malware threat updates:

RSS Recent Signatures: http://www.rfxn.com/api/lmd

XML Recent Signatures: http://www.rfxn.com/api/lmd?id=recent

XML All Signatures:    http://www.rfxn.com/api/lmd?id=all

.: 5 [ DETECTED THREATS ]

LMD 1.4.1 has a total of 7,241 (5393 MD5 / 1848 HEX) signatures (before updates),

below is a listing of the top 60 threats by prevalence detected by LMD.

base64.inject.unclassed    bin.dccserv.irsexxy      bin.fakeproc.Xnuxer

bin.ircbot.nbot            bin.ircbot.php3          bin.ircbot.unclassed

bin.pktflood.ABC123        bin.pktflood.osf         bin.trojan.linuxsmalli

c.ircbot.tsunami           exp.linux.rstb           exp.linux.unclassed

exp.setuid0.unclassed      gzbase64.inject          html.phishing.auc61

html.phishing.hsbc         perl.connback.DataCha0s  perl.connback.N2

perl.cpanel.cpwrap         perl.mailer.yellsoft     perl.ircbot.atrixteam

perl.ircbot.bRuNo          perl.ircbot.Clx          perl.ircbot.devil

perl.ircbot.fx29           perl.ircbot.magnum       perl.ircbot.oldwolf

perl.ircbot.putr4XtReme    perl.ircbot.rafflesia    perl.ircbot.UberCracker

perl.ircbot.xdh            perl.ircbot.xscan        perl.shell.cbLorD

perl.shell.cgitelnet       php.cmdshell.c100        php.cmdshell.c99

php.cmdshell.cih           php.cmdshell.egyspider   php.cmdshell.fx29

php.cmdshell.ItsmYarD      php.cmdshell.Ketemu      php.cmdshell.N3tshell

php.cmdshell.r57           php.cmdshell.unclassed   php.defash.buno

php.exe.globals            php.include.remote       php.ircbot.InsideTeam

php.ircbot.lolwut          php.ircbot.sniper        php.ircbot.vj_denie

php.mailer.10hack          php.mailer.bombam        php.mailer.PostMan

php.phishing.AliKay        php.phishing.mrbrain     php.phishing.ReZulT

php.pktflood.oey           php.shell.rc99           php.shell.shellcomm

.: 6 [ THREAT SHARING ]

I am a firm believer in not reinventing the wheel, for my own sanity or that

of others. As such all unique theat data is submitted to CYMRU & ClamAV so

that the open source and anti-malware community at large can grow from this

project.

.: 7 [ CONFIGURATION ]

The configuration of LMD is handled through /usr/local/maldetect/conf.maldet

and all options are well commented for ease of configuration.

By default LMD has the auto-qurantine of files disabled, this will mean that

YOU WILL NEED TO ACT on any threats detected or pass the SCANID to the '-q'

option to batch quarantine the results. To change this please set quar_hits=1

in conf.maldet.

.: 8 [ IGNORE OPTIONS ]

There are four ignore files available and they break down as follows:

/usr/local/maldetect/ignore_paths

A line spaced file for paths that are to be execluded from search results

 Sample ignore entry:

 /home/user/public_html/cgi-bin

/usr/local/maldetect/ignore_file_ext

A line spaced file for file extensions to be excluded from search results

 Sample ignore entry:

 .js

 .css

/usr/local/maldetect/ignore_sigs

A line spaced file for signatures that should be removed from file scanning

 Sample ignore entry:

 base64.inject.unclassed

/usr/local/maldetect/ignore_inotify

A line spaced file for regexp paths that are excluded from inotify monitoring

 Sample ignore entry:

 ^/home/user$

 ^/var/tmp/#sql_.*\.MYD$

.: 9 [ CLI USAGE ]

Once LMD is installed it can be run through the 'maldet' command, the '--help'

option gives a detailed summary of usage options:

    -b, --background

      Execute operations in the background, ideal for large scans

      e.g: maldet -b -r /home/?/public_html 7

    -u, --update

       Update malware detection signatures from rfxn.com

    -d, --update-ver

       Update the installed version from rfxn.com

    -m, --monitor USERS|PATHS|FILE

       Run maldet with inotify kernel level file create/modify monitoring

       If USERS is specified, monitor user homedirs for UID's > 500

       If FILE is specified, paths will be extracted from file, line spaced

       If PATHS are specified, must be comma spaced list, NO WILDCARDS!

       e.g: maldet --monitor users

       e.g: maldet --monitor /root/monitor_paths

       e.g: maldet --monitor /home/mike,/home/ashton

    -k, --kill

       Terminate inotify monitoring service

    -r, --scan-recent PATH DAYS

       Scan files created/modified in the last X days (default: 7d, wildcard: ?)

       e.g: maldet -r /home/?/public_html 2

    -a, --scan-all PATH

       Scan all files in path (default: /home, wildcard: ?)

       e.g: maldet -a /home/?/public_html

    -c, --checkout FILE

       Upload suspected malware to rfxn.com for review & hashing into signatures

    -l, --log

       View maldet log file events

    -e, --report SCANID email

       View scan report of most recent scan or of a specific SCANID and optionally

       e-mail the report to a supplied e-mail address

       e.g: maldet --report

       e.g: maldet --report list

       e.g: maldet --report 050910-1534.21135

       e.g: maldet --report SCANID user@domain.com

    -s, --restore FILE|SCANID

       Restore file from quarantine queue to orginal path or restore all items from

       a specific SCANID

       e.g: maldet --restore /usr/local/maldetect/quarantine/config.php.23754

       e.g: maldet --restore 050910-1534.21135

    -q, --quarantine SCANID

       Quarantine all malware from report SCANID

       e.g: maldet --quarantine 050910-1534.21135

    -n, --clean SCANID

       Try to clean & restore malware hits from report SCANID

       e.g: maldet --clean 050910-1534.21135

    -U, --user USER

       Set execution under specified user, ideal for restoring from user quarantine or

       to view user reports.

       e.g: maldet --user nobody --report

       e.g: maldet --user nobody --restore 050910-1534.21135

    -co, --config-option VAR1=VALUE,VAR2=VALUE,VAR3=VALUE

       Set or redefine the value of conf.maldet config options

       e.g: maldet --config-option email_addr=you@domain.com,quar_hits=1

    -p, --purge

       Clear logs, quarantine queue, session and temporary data.

.: 10 [ CRON DAILY ]

The cronjob installed by LMD is located at /etc/cron.daily/maldet and is used

to perform a daily update of signatures, keep the session, temp and quarantine

data to no more than 14d old and run a daily scan of recent file system changes.

The daily scan supports Ensim virtual roots or standard Linux /home*/user paths,

such as Cpanel. The default is to just scan the web roots daily, which breaks

down as /home*/*/public_html or on Ensim /home/virtual/*/fst/var/www/html and

/home/virtual/*/fst/home/*/public_html.

If you are running monitor mode, the daily scans will be skipped and instead a

daily report will be issued for all monitoring events. If you need to scan

additional paths, you should review the cronjob and edit it accordingly.

.: 11 [ INOTIFY MONITORING ]

The inotify monitoring feature is designed to monitor users in real-time for

file creation/modify/move operations. This option requires a kernel that

supports inotify_watch (CONFIG_INOTIFY) which is found in kernels 2.6.13+

and CentOS/RHEL 5 by default. If you are running CentOS 4 you should consider

an inbox upgrade with: http://www.rfxn.com/upgrade-centos-4-8-to-5-3/

There are three modes that the monitor can be executed with and they relate

to what will be monitored, they are USERS|PATHS|FILES. 

       e.g: maldet --monitor users

       e.g: maldet --monitor /root/monitor_paths

       e.g: maldet --monitor /home/mike,/home/ashton

The options break down as follows:

USERS -  The users option will take the homedirs of all system users that are

         above inotify_minuid and monitor them. If inotify_webdir is set then

         the users webdir, if it exists, will only be monitored.

PATHS -  A comma spaced list of paths to monitor

FILE  -  A line spaced file list of paths to monitor

Once you start maldet in monitor mode, it will preprocess the paths based on

the option specified followed by starting the inotify process. The starting of

the inotify process can be a time consuming task as it needs to setup a monitor

hook for every file under the monitored paths. Although the startup process can

impact the load temporarily, once the process has started it maintains all of

its resources inside kernel memory and has a very small userspace footprint in

memory or cpu usage.

The scanner component of the monitor watches for notifications from the inotify

process and batches items to be scanned, by default, every 30 seconds. If you

need tighter control of the scanning timer, you can edit inotify_stime in

conf.maldet.

The alerting of file hits under monitor mode is handled through a daily report

instead of sending an email on every hit. The cron.daily job installed by LMD

will call an --alert-daily flag and send an alert for the last days hits. There

is also an --alert-weekly option that can be used, simply edit the cron at

/etc/cron.daily/maldet and change the --alert-daily to --alert-weekly.

Terminating the inotify monitoring is done by passing the '-k|--kill-monitor'

option to maldet, it will touch a file handle monitored by maldet and on the

next waking cycle of the monitor service, it will terminate itself and all

inotify processes.

.: 12 [ MODSECURITY2 UPLOAD SCANNING ]

The support for HTTP upload scanning is provided through mod_security2's inspectFile hook.

This feature allows for a validation script to be used in permitting or denying an upload. 

The convenience script to faciliate this is called modsec.sh and is located in the

/usr/local/maldetect installation path. The default setup is to run a standard maldet scan

with no clamav support, no cleaner rule executions and quarantining enabled; these options

are set in the interest of performance vs accuracy which is a fair tradeoff. 

The scan options can be modified in the modsec.sh file if so desired, the default

scan options are as follows:

--config-option quar_hits=1,quar_clean=0,clamav_scan=0 --modsec -a "$file"

There is a tangible performance difference in disabling clamav scanning in this usage

scenario. The native LMD scanner engine is much faster than the clamav scanner engine

in single file scans by a wide margin. A single file scan using clamav takes roughly

3sec on average while the LMD scanner engine takes 0.5sec or less.

To enable upload scanning with mod_security2 you must set enable the public_scan option

in conf.maldet (public_scan=1) then add the following rules to your mod_security2 

configuration. These rules are best placed in your modsec2.user.conf file on cpanel servers

or at the top of the appropraite rules file for your setup.

/usr/local/apache/conf/modsec2.user.conf (or similar mod_security2 rules file):

SecRequestBodyAccess On

SecRule FILES_TMPNAMES "@inspectFile /usr/local/maldetect/modsec.sh" \

                "log,auditlog,deny,severity:2,phase:2,t:none"

A restart of the HTTPd service is required following these changes.

When an upload takes place that is determined to be malware, it will be rejected and an

entry will appear in the mod_security2 SecAuditLog file. On cpanel servers and most

configurations this is the modsec_audit.log located under /usr/local/apache/logs or 

/var/log/httpd.

The log entry will appear similar to the following:

Message: Access denied with code 406 (phase 2). File "/tmp/20111120-....-file" rejected by

the approver script "/usr/local/maldetect/modsec.sh": 0 maldet: {HEX}php.cmdshell.r57.317

/tmp/20111120-....-file [file "/usr/local/apache/conf/modsec2.user.conf"] [line "3"]

[severity "CRITICAL"]

The default alerting options will apply and an e-mail will be sent when hits are found. This

can be changed in the modsec.sh script by editing the --config-option values.

To disable alerts append email_alert=0 to the --config-option values:

--config-option quar_hits=1,quar_clean=0,clamav_scan=0,email_alert=0

To change the e-mail address for alerts on upload hits, append email_addr=you@domain.com

to the --config-option values:

--config-option quar_hits=1,quar_clean=0,clamav_scan=0,email_addr=you@domain.com

The nature of uploads is such that they are performed either under the user that the HTTP

service is running as or under that of a system user in an suexec style setup (i.e: phpsuexec).

This required a change to the way LMD stores session, temporary and quarantine data to allow

for non-root users to perform scans.

Given that the maldetect installation path is owned by user root, we either need to set a pub

path world writable (777) or populate the pub path with user owned paths. It was undesirable

to set any path world writable and as such a feature to populate path data was created. This

feature is controlled with the --mkpubpaths flag and is executed from cron every 10 minutes,

it will only execute if the public_scan variable is enabled in conf.maldet. As such, it is

important to make sure the public_scan variable is set to enabled (1) in conf.maldet and it is

advised to run 'maldet --mkpubpaths' manually to prepopulate the user paths. There after, the

cron will ensure new users have paths created no later than 10 minutes after creation.

All non-root scans, such as those performed under mod_security2, will be stored under the

/usr/local/maldetect/pub/username directory tree. The quarantine paths are relative to the user

that exectues the scan, so user nobody would be under pub/nobody/quar/. The actual paths

for where files are quarantined and the user which executed the scan, can be verified in the

e-mail reports for upload hits.

To restore files quarantined under non-root users, you must pass the -U|--user option to LMD,

for example if user nobody quarantined a file you would like to restore, it can be restored as

follows:

maldet --user nobody /usr/local/maldetect/pub/nobody/quar/20111120-file-SFwTeu.22408

Or, as always the scan ID can be used to restore

maldet --user nobody 112011-0032.13771

.: 13 [ CLEANER RULES ]

The cleaner function looks for signature-named rules under the clean/ path,

these rules can consist of any command that is designed to clean a file of

malware. A cleaner rule must result in a file being able to pass a scan

without tripping a HIT otherwise it will classify the clean action as FAILED.

Let us assume for a moment we have malware that we want to clean and it trips

with the signature "{HEX}php.cmdshell.r57.89". The actual signature string in

this is "php.cmdshell.r57", the "{HEX}" just defines the format and ".89" is

the variant number. So, to create a clean rule for php.cmdshell.r57 we would

add a file 'clean/php.cmdshell.r57' and this would be executed against any

file that hits on the signature of the same name.

The actual contents of the rule should be a single line command that will be

executed against the hit file, for example the execution looks something like:

YOUR_COMMAND MALWARE_FILE

So, for a string based malware injection you could easily throw in a 'sed -i'

into the rule file with the appropriate pattern to strip the string(s) from

the file. Once the clean command has run, a rescan will be performed on the

file and if it causes causes a hit, the clean will be marked as FAILED. A

successful clean ALWAYS results in the file being restored if possible to

its original path, owner and mode.

An important note is that the cleaner function is a subfunction of the

quarantine, so if the quarantine is disabled then by default, malware hits

will not have clean attempts made. There are two ways around this, apart from

the obvious of turning on quarantine and rescanning (which is a waste of time).

The best way is to enable the quarantine and then use the -q|--quarantine flag

to batch through the scan results, which will quarantine and clean files. The

second is to use the -n|--clean flag which will try to clean files in place,

be that in the quarantine or the files original path, wherever it can be found.

e.g: maldet -q SCANID

e.g: maldet --clean SCANID

129.121.132.46

برای مثال برای اسکن پوشه public_html همه سایت های موجود برروی سرور میتونید از دستور زیر از طریق اس اس اچ استفاده کنید :

کد: 

maldet -a /home/?/public_html

برای فعال کردن مانیتورینگ این پلاگین برای همه یوزرها از دستور زیر استفاده کنید :

کد: 

maldet --monitor users

دستور بالا مانیتورینگ را برای همه یوزرها فعال میکند.اگر میخواهید مانیتورینگ رو فقط برای یوزر یا یوزرهای دلخواه فعال کنید میتوانید از دستور زیر استفاده کنید :

کد: 

maldet --monitor /home/ganji,/home/parsjoom

مسیر فایل کانفینگ برای ایجاد تغییرات و تنظیمات :

کد: 

/usr/local/maldetect/conf.maldet

اگر میخواهید فایل هایی که در چند روز گذشته تغییر داده شده اند و یا دستکاری شده اند اطلاع پیدا کنید از دستور زیر برای اسکن از طریق اس اس اچ استفاده کنید :

کد: 

maldet -r /home/?/public_html 2

بجای عدد دو در بالا عدد دلخواه را وارد کنید .

این پلاگین بعد از هراسکن گزارش اسکن را در فایل لاگ با شماره ای ذخیره میکند و برای ارسال لاگ اسکن به ایمیل دیخواه میتوانید از دستور زیر استفاده کنید:

کد: 

maldet --report SCANID user@domain.com

بجای اسکن آی دی باید آی دی که بعد از اسکن کامل در putty به شما نمایش داده میشود را وارد کنید و برای کپی کردن ای دی از پوتی فقط کافیست ای دی را سلکت کنید و کلیک راست موس را بفشارید تا کلیبورد شما کپی شود.
بجای ایمیل هم ایمیل دلخواه را وارد کنید

شما میتوانید با مطالعه راهنمای پلاگین Linux Malware Detect ازتمامی امکانات و دستورات این پلاگین مطلع شوید.
برخی ایرادهایی که به این پلاگین گرفته میشود حذف برخی از فایل های سالم است که آلوده شناخته نشده است اما در صورتی هم که چنین مشکلی وجود داشته باشد باز هم این پلاگین بسیار کاربردی و ضروری است.
شما میتوانید یوزرها رو ابتدا اسکن کنید و فایل هایی که در لاگ برای شما ارسال میشود را چک کنید و درصورتی که فایل مشکوکی دیدید حذف و بقیه را دست نخورده باقی بزارید.