kali ini saya akan membahas tentang bagaimana cara melindungi server vps dedicated atau hosting dari serangan malware. langsung aja berikut tata cara melindungi server vps dedicated atau hosting dari serangan malware tersebut.
dalam tutor kali ini saya akan menggunakan maldetect untuk melindungi server dari serangan malware walau sifatnya tidak sempurna tetapi dapat meminimalisir serangan tersebut. pertama jalankan script di bawah ini melalui console linux anda
$ wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
$ tar xvfvz maldetect-current.tar.gz
$ cd maldetect-1.4.2
$ sudo ./install.sh
Linux Malware Detect v1.4.1
(C) 2002-2011, R-fx Networks
(C) 2011, Ryan MacDonald
inotifywait (C) 2007, Rohan McGovern
This program may be freely redistributed under the terms of the GNU GPL
installation completed to /usr/local/maldetect
config file: /usr/local/maldetect/conf.maldet
exec file: /usr/local/maldetect/maldet
exec link: /usr/local/sbin/maldet
exec link: /usr/local/sbin/lmd
cron.daily: /etc/cron.daily/maldet
maldet(6073): {sigup} performing signature update check...
maldet(6073): {sigup} local signature set is version 201205035915
maldet(6073): {sigup} new signature set (2013031328301) available
maldet(6073): {sigup} downloaded http://www.rfxn.com/downloads/md5.dat
maldet(6073): {sigup} downloaded http://www.rfxn.com/downloads/hex.dat
maldet(6073): {sigup} downloaded http://www.rfxn.com/downloads/rfxn.ndb
maldet(6073): {sigup} downloaded http://www.rfxn.com/downloads/rfxn.hdb
maldet(6073): {sigup} downloaded http://www.rfxn.com/downloads/maldet-clean.tgz
maldet(6073): {sigup} signature set update completed
maldet(6073): {sigup} 10849 signatures (8981 MD5 / 1868 HEX)
Setelah muncul pesan seperti diatas berarti anda telah berhasil memasang Maldetect di server anda. skarang bagaimana cara menjalankannya? berikut ini saya akan lampirkan bagaimana cara scan dan juga mengirim log ke email anda.
Untuk memulai scanning malware secara manual, jalankan maldet dengan folder target untuk memindai.
$ sudo maldet --scan-all /home
maldet(27752): {scan} signatures loaded: 10849 (8981 MD5 / 1868 HEX)
maldet(27752): {scan} building file list for /home, this might take awhile...
maldet(27752): {scan} file list completed, found 20586 files...
maldet(27752): {scan} 20586/20586 files scanned: 1 hits 0 cleaned
maldet(27752): {scan} scan completed on /home: files 20586, malware hits 1, cleaned hits 0
maldet(27752): {scan} scan report saved, to view run: maldet --report 032813-1606.27752
maldet(27752): {scan} quarantine is disabled! set quar_hits=1 in conf.maldet or to quarantine results run: maldet -q 032813-1606.27752
Setelah pemindaian, Anda dapat memeriksa malware scan laporan dengan menjalankan perintah berikut dengan laporan ID scan.
$ sudo maldet --report 032813-1606.27752
malware detect scan report for my_host:
SCAN ID: 032813-1606.27752
TIME: Mar 28 16:33:36 -0700
PATH: /home
TOTAL FILES: 20586
TOTAL HITS: 1
TOTAL CLEANED: 0
NOTE: quarantine is disabled! set quar_hits=1 in conf.maldet or to quarantine results run: maldet -q 032813-1606.27752
FILE HIT LIST:
{MD5}gzbase64.inject.unclassed.1110 : /home/xmodulo/maldetect-1.4.2/files/clean/gzbase64.inject.unclassed
===============================================
Linux Malware Detect v1.4.2 < proj@rfxn.com >
Untuk mengkarantina file yang terinfeksi, jalankan perintah berikut dengan laporan ID scan. File yang terinfeksi kemudian akan dikarantina untuk membersihkan.
$ sudo maldet -q 032813-1606.27752
maldet(14738): {quar} malware quarantined from '/home/xmodulo/maldetect-1.4.2/files/clean/gzbase64.inject.unclassed' to '/usr/local/maldetect/quarantine/gzbase64.inject.unclassed.10045'
maldet(14738): {clean} restoring /usr/local/maldetect/quarantine/gzbase64.inject.unclassed.10045 for cleaning attempt
maldet(14738): {clean} trying to clean /home/xmodulo/maldetect-1.4.2/files/clean/gzbase64.inject.unclassed with gzbase64.inject.unclassed rule
maldet(14738): {clean} rescanning /home/xmodulo/maldetect-1.4.2/files/clean/gzbase64.inject.unclassed for malware hits
maldet(14738): {clean} clean successful on /home/xmodulo/maldetect-1.4.2/files/clean/gzbase64.inject.unclassed
Jika Anda ingin untuk secara aktif memantau direktori spesifik untuk infeksi malware, Anda dapat menjalankan maldet sebagai daemon sebagai berikut.
$ sudo maldet -m /var,/home/xmodulo
maldet(5330): {mon} set inotify max_user_instances to 128
maldet(5330): {mon} set inotify max_user_watches to 61440
maldet(5330): {mon} added /var to inotify monitoring array
maldet(5330): {mon} added /home/xmodulo to inotify monitoring array
maldet(5330): {mon} starting inotify process on 1 paths, this might take awhile...
maldet(5330): {mon} inotify startup successful (pid: 5409)
maldet(5330): {mon} inotify monitoring log: /usr/local/maldetect/inotify/inotify_log
Jika Anda ingin memiliki maldet memberitahukan Anda tentang terdeteksi malware melalui email, Anda dapat mengubah konfigurasi maldet sebagai berikut.
$ sudo vi /usr/local/maldetect/conf.maldet
email_alert=1
email_subj="Malware detected by maldet"
email_addr="alert@xmodulo.com"
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgqwwO7X_3w3zm3s5MWqOC2NtQbDDdAOHPSxtMHNt3fSRkjRV7O7IEOZF5-yywGSW6ptXHzxVH9eh_ke6-_He91lRr7KjEd2iR8AwXHuQp8PS0aF7vvRN1jhNWGLgUcZ7NF3wEvCSLxvFE/s1600/youtube.png")
