Как установить антивирус maldet на свой VPS сервер. Вообще, зачем нужен антивирус на сервере, тем более если мы заказываем VPS у какого-нибудь хостера, например Rusonyx? Давайте рассмотрим ситуацию, которая встречается довольно часто? В далеком 2010 Вы заказали сервер, поставили на него joomla 1.5 , выставили на файлы и папки права 777 и сделали свой мега ресурс. Позже вышли новые версии Joomla, но Вы решили не обновлять её, а оставить всё как есть, ведь всё работает. И в 2014 Вам приходит письмо счастья: Здравствуйте! Уважаемый Вася Пупкин, Мы блокируем Ваш ресурс. Вас сервер рассылает спам, да и вообще, на нем много вирусов. …………………. Что делать, ведь всё же работало и вирусов никогда не было?
Наверно во всём виноват хостинг, которому я верой и правдой плачу 400 рублей в месяц. Это такие большие деньги, что компания должна всё чинить сама, а она ещё и заблокировала меня. Так думает подавляющие большинство и в этом их проблема. Так будет повторяться каждый раз, пока администратор, или владелец сервера не устранит причину и не пересмотрит свой взгляд на сервер.
1) Может ли быть виноват хостер? – Да, может, в том случае если это шарашкина контора которая не имеет постоянный штат системных администраторов и поддержки, у которой нет документов, и вообще они простые ресселеры. Скорее всего такой хостинг не следит за уязвимостями и с большой долей вероятности ПО настроено кривыми руками сыном брата жены.
2) Если хостинг не виноват, тогда кто? – Сам владелец! В 99.9% случаев — в заражении сервера владелец должен винить только себя! Несвоевременное обновление ПО, простые пароли, пренебрежение правами доступа….
3) Как ускорить заражение своего сервера? 3.1 Поставьте пароли на своей сервер одинаковые для всех модулей: админка_сайта/ftp/ssh/mail/phpmyadmin
3.2 Сделайте их максимально простыми, например: 1223456, qwerty, qwerty1234, asdfgh и последний тренд 2014 года: «qazwsx123» – такие пароли сразу же поставят вас под удар
3.3 Поставьте joomla 1.5 на Ваш сервер. Ставьте не с официального сайта разработчика, а с warez сайта с набором модулей.
3.4 Усугубите ситуацию выставив права на все файлы и папки 777.
3.5 Не используйте стандартный защищенный phpmyadmin, а скачайте «легкую версию» в корневую директорию сайта.
3.6 Создайте в корневой директории файл phpinfo.php
Ладно, пункт 3 в серьез воспринимать не стоит, но это так, для совсем новичков. Что же делать когда к нам пришло письмо «Счастья»? Идти и лечить сервер! Первое, что нам нужно сделать, это просканировать сервер на наличие вредоносного ПО. Для этого нам понадобится антивирусный северный сканер. ПО Понятным причинам Каспийский, NOD32 и подобные нам не подойдут. В Linux есть два популярных антивирусных сканера: Maldet(maldetect) и ClamAV. Их обычно используют совместно, или учат Maldet работать с базами ClamAV. Но это уже другая история и я о ней расскажу отдельно. Сейчас я рассмотрю установку и работу со сканером Maldetect на хостинге Rusonyx (Root VPS Ultra 4Гб ОЗУ). Я не просто так указал количество ОЗУ. Если её мало мы можем запросто положить сервер, хотя есть настройки которые решают эту проблему.
И так, приступим:
1) заходим на сайт и переходим в директорию /root/
cd /root/
2) Загружаем
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
3)Раз архивируем наш скаченный архив:
tar -xzf maldetect-current.tar.gz
4) После разтаривания у нас создалась папка в которую нужно зайти:
cd maldetect-*
5) Запускаем установку сканера:
sh ./install.sh
6) Обновим версию установленного сканера и базу
maldet --update-ver maldet —update
Небольшой гайд:
- Измените `quar_clean=1` на `quar_clean=0` в `/usr/local/maldetect/conf.maldet` что бы при сканировании зараженные файлы не переименовывались.
- – Обновить базу и версию можно быстрее `maldet -u` и `maldet -d` или уж совсем коротко `maldet -u -d`
- – запустить конкретную директорию на сканирование можно так: `maldet -a /home/admin/web/default.domain/` – посмотреть отчет можно так: `maldet –report 092814-1630.26314` После выполнения maldet -a , когда закончится канирование Вы увидите: `maldet(26314): {scan} scan completed on /home/admin/web/default.domain/: files 9, malware hits 0, cleaned hits 0` `maldet(26314): {scan} scan report saved, to view run: maldet –report 092814-1630.26314`
В следующих статьях расскажу о ClamAV и как настроить его базы для работы с Maldetect