Linux Malware Detect (LMD/maldet)

  • Hallo,


    am 19.09.2015 wurde vom LMD (Linux Malware Detect) ein Update ausgerollt, was zu enigen Problemen führt. Wir analysieren das im Moment, in Kürze gibt's hier weitere Infos dazu.
    Betroffen sind insbesondere der Scan von Uploads via PHP sowie z.T. ClamAV-Daemon (der u.a. zum Scannen von E-Mails verwendet wird, was also zu Problemen bei SMTP führen kann).


    Wer maldet nicht installiert hat, ist hiervon nicht betroffen (wird von LiveConfig nicht automatisch mit installiert).


    Viele Grüße


    -Klaus Keppler

  • Problem 1: wer maldet zum Scannen von PHP-Uploads (mittels Suhosin) nutzt, sollte unbedingt prüfen, ob in der Datei /usr/local/maldet/conf.maldet die Variable "scan_user_access" auf "1" gesetzt ist.
    Auf unseren Systemen wurde die offenbar durch das große maldet-Update vom 19.09. auf "0" zurückgesetzt, wodurch suhosin alle PHP-Uploads abgeleht hatte. :-/
    Also: auf "1" setzen, danach ca. 10 Minuten warten oder den Befehl "maldet --mkpubpaths" ausführen.


    Problem 2: wer maldet zusammen mit ClamAV installiert hat, hat(te) eventuell kaputte Symlinks im ClamAV-Signatur-Verzeichnis herumliegen. Bitte ggf prüfen ob in /var/lib/clamav/ alles passt.
    Der Fehler ist bei GitHub beschrieben.
    Ggf die kaputten Links löschen, danach clamav-daemon neu starten.


    Viele Grüße


    -Klaus Keppler

  • Mit LiveConfig v2.0.0 wurde der Upload-Scan verbessert (insbes. drastisch beschleunigt). Der Scan findet nun ausschließlich mittels ClamAV (clamdscan) statt. Da LMD/maldet seine Signaturen in /var/lib/clamav ablegt, werden diese somit automatisch berücksichtigt.
    Der Scan von Uploads wurde somit (je nach Leistung des Hostsystems) etwa um den Faktor 50 beschleunigt. :)

  • is there any chance that the scanner does not work on nginx server?


    I tested upload the infected file он the Apache and nginx, and on apache it was blocked, but on nginx the same file is upload.


    on both server,
    PHP Version 5.5.30 - from your repository.


    Additional .ini files parsed /opt/php-5.5/etc/conf.d/curl.ini, /opt/php-5.5/etc/conf.d/ftp.ini, /opt/php-5.5/etc/conf.d/gd.ini, /opt/php-5.5/etc/conf.d/gettext.ini, /opt/php-5.5/etc/conf.d/imap.ini, /opt/php-5.5/etc/conf.d/intl.ini, /opt/php-5.5/etc/conf.d/mcrypt.ini, /opt/php-5.5/etc/conf.d/mysql.ini, /opt/php-5.5/etc/conf.d/mysqli.ini, /opt/php-5.5/etc/conf.d/opcache.ini, /opt/php-5.5/etc/conf.d/pdo.ini, /opt/php-5.5/etc/conf.d/pdo_mysql.ini, /opt/php-5.5/etc/conf.d/pdo_sqlite.ini, /opt/php-5.5/etc/conf.d/soap.ini, /opt/php-5.5/etc/conf.d/sockets.ini, /opt/php-5.5/etc/conf.d/sqlite3.ini, /opt/php-5.5/etc/conf.d/suhosin.ini,




    apache server
    apache 2.4.10-10+deb8u3
    clamav:0.98.7+dfsg-0+deb8u1
    debian 8.2
    php 5.5.30 your repository
    suhosin
    suhosin.upload.verification_script /usr/lib/liveconfig/uploadscan.sh /usr/lib/liveconfig/uploadscan.sh
    Client: LiveConfig 2.0.0-r3952


    when uploading got this message in /var/log/clamav/clamav.log :
    Thu Dec 10 09:14:58 2015 -> fd[10]: {HEX}php.base64.v23au.185.UNOFFICIAL(acdb2411b5ca1468d7104dc5a2a9b146:155256) FOUND




    nginx server
    nginx Version:1.8.0 (1.8.0-1~jessie)
    Client: LiveConfig 2.0.0-r3952
    clamav:0.98.7+dfsg-0+deb8u1
    debian 8.2
    php 5.5.30 your repository
    suhosin
    suhosin.upload.verification_script /usr/lib/liveconfig/uploadscan.sh /usr/lib/liveconfig/uploadscan.sh
    Client: LiveConfig 2.0.0-r3952


    when uploading there are no message, file is upload normaly

  • Are Apache and NGINX running on the same machine, or are these different servers?
    If different: please check if "clamav-daemon" is running on the NGINX host.


    Basically it should work independently of the web server software, because upload scanning is handled by PHP itself (suhosin extension).

  • Are Apache and NGINX running on the same machine, or are these different servers?
    If different: please check if "clamav-daemon" is running on the NGINX host.


    Basically it should work independently of the web server software, because upload scanning is handled by PHP itself (suhosin extension).


    its different servers/machines, yes clamav-daemon is running.


    when I on nginx machines run
    clamdscan --fdpass --infected --no-summary session.php
    got:
    session.php: {HEX}php.base64.v23au.185.UNOFFICIAL FOUND


    but when uploading trought web session.php normaly upload file.

  • Thank you for the feedback. We've found it: the uploadscan.sh script is run from NGINX without valid PATH environment variable.


    Edit /usr/lib/liveconfig/uploadscan.sh and insert the following line before FILE="$1":

    Code
    PATH="/usr/bin:/bin"


    That's all. Restart of NGINX or FastCGI/PHP is not required.


    We're including this line in all future releases.



  • thank you works now for me.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!