maldet : détecter et éliminer les fichiers infectés d’un site
Autant il existe pléthore d’antivirus pour les particuliers et les entreprises, et même d’anti-spywares capables de détecter des logiciels parfois moins dangereux mais tout aussi intrusifs, autant il est plus difficile de trouver un outil capable de détecter les fichiers vérolés au sein d’un site web.
On parle bien ici d’analyse de fichiers depuis le serveur web Linux, pas d’un scan depuis l’extérieur qui irait lire le contenu HTML des pages et tenter de trouver un code malveillant.
maldet (malware detect) est un excellent outil qui a été conçu dans ce but. Utilisant le moteur de ClamAV (si disponible) pour de meilleures performances, il scanne les fichiers HTML et/ou PHP et tente d’y détecter du code malveillant. Sa base de détection reconnait des signatures propres à certains malwares mais est également capable d’une analyse heuristique afin de détecter du code ayant de fortes similitudes avec du code malveillant.
Installation
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
unzip maldetect-current.tar.gz
cd maldetect-1.5
./install.sh
# Recommandé pour de meilleures performances :
apt-get install clamav
service clamav-daemon startUtilisation
maldet --scan-all /chemin/d/acces/Exemple
Lancement du scan :
root@serveur:~/maldetect-1.5# maldet --scan-all /var/www/vhosts/abcd.fr/httpdocs
Linux Malware Detect v1.5
(C) 2002-2016, R-fx Networks <proj@rfxn.com>
(C) 2016, Ryan MacDonald <ryan@rfxn.com>
This program may be freely redistributed under the terms of the GNU GPL v2
maldet(18949): {scan} signatures loaded: 11296 (9345 MD5 / 1951 HEX / 0 USER)
maldet(18949): {scan} building file list for "/var/www/vhosts/abcd.fr/httpdocs", this might take awhile...
maldet(18949): {scan} setting nice scheduler priorities for all operations: cpunice 19 , ionice 6
maldet(18949): {scan} file list completed in 1s, found 3613 files...
maldet(18949): {scan} found clamav binary at /usr/bin/clamscan, using clamav scanner engine...
maldet(18949): {scan} scan of "/var/www/vhosts/abcd.fr/httpdocs" (3613 files) in progress...
maldet(18949): {scan} processing scan results for hits: 4 hits 0 cleaned
maldet(18949): {scan} scan completed on "/var/www/vhosts/abcd.fr/httpdocs": files 3613, malware hits 4, cleaned hits 0, time 24s
maldet(18949): {scan} scan report saved, to view run: maldet --report 170303-0010.18949
maldet(18949): {scan} quarantine is disabled! set quarantine_hits=1 in conf.maldet or to quarantine results run: maldet -q 170303-0010.18949
Voir la liste des fichiers infectés :
root@serveur:~/maldetect-1.5# maldet --report 170303-0010.18949
FILE HIT LIST:
{HEX}php.generic.malware.441 : /var/www/vhosts/abcd.fr/httpdocs/wp-config.php
{HEX}php.base64.v23au.186 : /var/www/vhosts/abcd.fr/httpdocs/wp-content/uploads/2017/01/dump97.php
{HEX}php.base64.v23au.186 : /var/www/vhosts/abcd.fr/httpdocs/wp-content/plugins/kk-cpt/inc/proxy92.php
{CAV}Win.Trojan.Locky-30621 : /var/www/vhosts/abcd.fr/httpdocs/319047502.eml
Supprimer les fichiers infectés :
root@serveur:~/maldetect-1.5# maldet -q 170303-0010.18949
Site officiel : https://www.rfxn.com/projects/linux-malware-detect/