====== Scan contre les webshells ======

===== Information =====

Certaines failles d'applications web peuvent permettre à quelqu'un de motivé d'injecter un fichier sur votre serveur, [[https://blog.malwarebytes.com/101/2013/06/a-guide-to-website-security/|de type webshell, c99, r57, ou autre outil de script kiddies]]. Ces scripts permettent de gagner le contrôle total d'un serveur et sont donc à détecter au plus vite.

[[https://www.rfxn.com/projects/linux-malware-detect/|Linux Malware Detector]] permet de scanner à la recherche de ces scripts.

===== Installation =====

<sxh bash;>
# Téléchargement
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

# Extraction
tar -zxvf maldetect-current.tar.gz

# Changer de dossier pour la copie extraite
cd maldetect-1.5

# Installation
./install.sh
</sxh>

===== Configuration =====

La configuration peut être changée dans le fichier ''/usr/local/maldetect/conf.maldet''.

===== Utilisation =====

<sxh bash;>
# Mise à jour de Malware Detector
maldet -d

# Mise à jour des définitions
maldet -u

# Scan complet d'un dossier
maldet -a /tmp

# Scan des fichiers modifiés des 2 derniers jours sur un dossier
maldet -r /tmp 2

# Aide complète
maldet -h
</sxh>

===== Moteur ClamAV =====

Le scan est assez long de base avec Malware Detector. Mais le moteur de ClamAV peut être utilisé si installé, pour un scan plus rapide.

Installer clamav :

<sxh bash;>
apt install clamav
</sxh>

Vérifier dans le fichier de configuration que la ligne suivante est correcte. Elle doit être présente avec cette valeur par défaut :

<sxh text; Title: /usr/local/maldetect/conf.maldet>
clamav_scan=1
</sxh>

===== Sources =====

[[http://www.2daygeek.com/install-linux-malware-detect-lmd-on-ubuntu-centos-debian-fedora-mint-rhel-opensuse/#|2daygeek.com]] - [[https://www.ismay.ca/2012/07/installing-linux-malware-detect/|ismay.ca]] - [[https://community.centminmod.com/threads/maldet-linux-malware-detect-addon-discussion.846/|community.centminmod.com]]