Die fiesen Malware Dinger auf dem Server in Schach halten

Auf dem Rootserver gibt es ab- und zu mal Panik, weil wieder mal eine Sicherheitslücke in einer Applikation (meist Joomla) oder in einem unscheinbaren plugin ausgenutzt wurde. Meist liegen das Eindringdatum und das aktive ausnutzen als Botserver, Spamschleuder, what ever sehr weit auseinander.

Das manuelle Auffinden der kompromittierten Datei, bzw. des Webs ist nicht ganz ohne. Man muss evtl. ganz schön kramen.

Da wir auf unserem Server eigentlich nur Bekannte haben, ist der Versuch verständlich ein betroffenes Web zu "reparieren" und keine Rücksicherung zu machen.

Doch hier muss man sich im Klaren sein, dass es die durchaus hohe Wahrscheinlichkeit gibt, dass man die Bereinigung nicht vollständig geschafft hat.

Nun bin ich vor knapp einem halben Jahr auf maldet gestoßen. Das kleine tool scannt seit dem inkrementell alle WEB Dateien und schickt gefundene verseuchte Dateien in die Quarantäne.

Benutzt wird der ohnehin installierte clamav Virenscanner. Maldet bringt seine eigenen Signaturen mit, die automatisch aktuell gehalten werden.

Einmal habe ich schon durch maldet einen Einbruch erkannt, bevor der Erfolg an zahlende Auftraggeber weitergegeben wurde.

https://www.rfxn.com/projects/linux-malware-detect/ Installiert habe ich es in /usr/local/bin, nach Anleitung im Paket.

Für Jessie muss man noch die init.d Datei ein wenig anpassen.

#!/usr/bin/env bash
### BEGIN INIT INFO
# Provides: maldet
# Required-Start:
# Required-Stop:
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Description: Linux Malware Detect file monitoring
# processname: maldet
# chkconfig: 345 70 30
### END INIT INFO

Ein grep -b1 'scan report saved' /usr/local/maldetect/logs/event_log

ergibt z.B.

5446-Dec 16 00:06:13 rootgemeinschaft maldet(23642): {scan} scan completed on /var/www/: files 47554, malware hits 0, cleaned hits 0, time 3068s
5586:Dec 16 00:06:13 rootgemeinschaft maldet(23642): {scan} scan report saved, to view run: maldet --report 151215-2315.23642
5707-Dec 16 06:30:12 rootgemeinschaft maldet(26094): {update} checking for available updates...

Und hier noch ein logratotate Eintrag

cat /etc/logrotate.d/maldet 
/usr/local/maldetect/logs/event_log {
        weekly
        missingok
        rotate 4
        compress
        delaycompress
        notifempty
        create 640 root adm
}
/usr/local/maldetect/logs/clamscan_log {
        weekly
        missingok
        rotate 4
        compress
        delaycompress
        notifempty
        create 640 root adm
        postrotate /sbin/service clamscan restart
        endscript
}
/usr/local/maldetect/logs/inotify_log {
        weekly
        missingok
        rotate 4
        compress
        delaycompress
        notifempty
        create 640 root adm
        postrotate /sbin/service maldet restart
        endscript
}

Comments

Display comments as (Linear | Threaded)

[..]... meist Joomla...[...] ? Kannst du diese Aussage mal mit einer seriösen Quelle belegen ?

#1 Normy on 2015-12-03 12:33 (Reply)

Ohh, ein Joomla Fan. Die letzten 4 verseuchten Webs waren alle Joomla Webs. Der Kern wird ja ziemlich aktuell gehalten, auch die Plugins, die offiziell sind. Nur gibt es Admins, die nicht regelmäßig updaten. Alte Versionen verwenden, und/oder Plugins installieren, die eben nicht "offiziell" sind. Kannst ja gerne mal selber gucken, ich mache nicht deine Arbeit: https://vel.joomla.org/index.php/live-vel In meinem Serendipity habe ich noch keine Malware gehabt. Das liegt u.a. an der geringeren Verbreitung und daran, dass Joomla oft von technischen Laien betreut werden.

#1.1 bed on 2015-12-03 12:47 (Reply)

Ganz vergessen - da dein Artikel vor Rechtschreibfehlern nur so strotzt - vielleicht kannst du die Rechtschreibprüfung einschalten, dann wirkt es nicht ganz so peinlich.

#2 Normy on 2015-12-03 12:35 (Reply)

So viele sehe ich nicht. Englische Begriffe sind manchmal nicht so einfach ins Deutsche zu integrieren.

#2.1 bed on 2015-12-03 12:49 (Reply)

ich denke es ging dem Vorredner mehr um die Groß/-Kleinschreibpatzer. Die Art des Vorredner-Kommentars muss aber auch nicht sein. Ansonsten netter Tip. Gucke mir das Tool gleich mal an.

#2.1.1 rr on 2015-12-06 21:09 (Reply)

Ok, manchmal wird beim Erstellen des Artikels zuviel an der Satzstellung gebastelt, da bleibt so manches auf der Strecke. Ein Hinweis noch: maldet hat bei Jessie ein Problem, wenn es im Hintergrund läuft, es erkennt die Clamav Instanz nicht richtig. Ich habe es pragmatisch gefixt, indem ich maldet mit der nativen Engine laufen lasse. Erhöht zwar den Load des Servers etwas, das ist es mir aber wert.

#2.1.1.1 bed on 2015-12-08 16:07 (Reply)

Name
Email
Homepage
In reply to
Comment: E-Mail addresses will not be displayed and will only be used for E-Mail notifications.

To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly.

Enter the string from the spam-prevention image above:
Standard emoticons like :-) and ;-) are converted to images.
BBCode format allowed
: Remember Information? Subscribe to this entry

Die fiesen Malware Dinger auf dem Server in Schach halten

Zockertown: Nerten News

Wednesday, 2. December 2015

Die fiesen Malware Dinger auf dem Server in Schach halten

Blog abonnieren

Getaggte Artikel

Lizenz der Artikel