LMD (Linux恶意软件检测)，inotify进程未找到Ubuntu 14.04 LTS

Question

我正在使用Linux恶意软件检测，这真是太棒了。我每天运行4次最近的maldet脚本，但是我想启动监视器，因为它是一个共享的主机服务器。

如果运行maldet -m /home，将得到以下错误：

maldet(19604): {mon} no inotify process found, check /usr/local/maldetect/inotify/inotify_log for errors.

问题是日志文件是空的，所以我不知道如何得到更多。

任何帮助都是非常感谢的！

Answer 1

我用Plesk和CL linux (基于centos的)第一次回答同样的问题，所以对我温柔一点吧:)

我的解决方案不是很专业，但是如果您需要在监视器模式下运行maldet，这是一个解决方案(可能基于此的其他解决方案可以给您更好的解决方案)。

所以我做了nano /usr/local/maldetect/maldet，找到了包含$nice的行(它是在第1318行附近唯一包含搜索项$nice的行)。

在那里，有两个原因它没有运行

1. 由于某些原因，在运行以下命令之前，/proc/sys/fs/inotify/max_user_watches被设置为0 :(因此，我在$notice之前添加了行 回显100000 > /proc/sys/fs/inotify/max_user_watches 100000也可能更低，如果太低，就会出现这样的错误 4月15日13:38:38 plesk2 inotifywait889842:设置手表。注意:自从-r发布以来，这可能需要一段时间！4月15日13:38:38 plesk2 inotifywait889842:未能观看/var/www/vhost/domain.com/httpdocs；达到inotify手表的上限！ 在/var/log/messages中(像这样搜索它们：grep inotify /var/log/messages)。
2. 由于一些奇怪的原因(更了解bash的人请告诉我们)，$nice行执行的命令是 /bin/尼斯/usr/local/maldetect/sess/inotify.paths.864367 10 /usr/local/maldetect/inotify/inotifywait -d -r -o /usr/local/maldetect/inotify/inotify_log --从文件-n --不包括(^/var/tmp/mysql.sock$|^/tmp/mysql.sock$|^/var/cache/buagent/md0.cache.data$|^/var/tmp/#sql_.*.MYD$|^/tmp/#sql_.*.MYD$) -timefmt %d %b %H:%M：%S -格式%w%f %e %T -m -e创建，移动，修改 bash或sh对--exclude (^/var/tmp/mysql.sock$|^/tmp/mysql.sock$|^/var/cache/buagent/md0.cache.data$|^/var/tmp/#sql_.*\.MYD$|^/tmp/#sql_.*\.MYD$)部分不满意，所以我刚刚从该行中删除了$exclude (我知道这很糟糕，但如果我找到它，我会回发)。 so线 $nice -n $inotify_nice $inotify -d -r -o $inotify_log --从文件$inotify_fpaths $exclude --timefmt "%d %b %H:%M:%S“格式"%w%f %e %T”-m -e创建、移动、修改>> /dev/null 2>&1 & 被更改为 $nice -n $inotify_nice $inotify -d -r -o $inotify_log --从文件$inotify_fpaths --timefmt "%d %b %H:%M:%S“格式"%w%f %e %T”-m -e创建、移动、修改>> /dev/null 2>&1 & 它起了作用

另外，对于plesk用户，我发现这个帮助非常充分。

mysql -ss -uadmin -p`cat /etc/psa/.psa.shadow` psa -e "select www_root from hosting;" > /usr/local/maldetect/maldetfilelist

然后，您可以从以下几个方面开始LMD：

maldet -m /usr/local/maldetect/maldetfilelist

上面的内容在这里找到：http://www.coredump.id.au/linux-malware-detect-debian-and-plesk/

如果您想要查看bash正在执行的内容，请将它放在您想要的行之前(在我们的例子中是$nice行)：

set -x
$nice -n $inotify_nice $inotify -s -d -r -o $inotify_log --fromfile $inotify_fpaths --timefmt "%d %b %H:%M:%S" --format "%w%f %e %T" -m -e create,move,modify >> /dev/null 2>&1 & set +x

这里的神奇之处是漂亮的集-x (在set +x之后没有看到数百行调试)。

对不起，我的英语很糟糕，希望它能帮助你或其他人。

如果您更改maldet文件中的任何内容，那么每天都有一个cron运行在(/etc/cron.daily/maldet)中，更具体的是行

/usr/local/maldetect/maldet -d >> /dev/null 2>&1

上面的行每次发现文件maldet的md5已经更改并重新安装原始的:(所以我只是注释它:)并且监视现在工作，没有停止每晚:)

干杯sassm430

Answer 2

谢谢sassm430，

您的特定演练没有帮助，但是您发布了源代码(http://www.coredump.id.au/linux-malware-detect-debian-and-plesk/)，我发现了以下内容：

sed -e"s/\$inspath/inotify/inotifywait//usr/bin/inotifywait/“/usr/ -i /-i/-i

您还可以手动编辑/usr/local/maldetect/内在s.conf，并在底部编辑这一行：

inotify=$inotifywait/inotify/inotifywait

将上述行更改为：

inotify=/usr/bin/inotifywait

现在监视器正在运行，我上传了一个已隔离的文件，但它似乎不能工作，或者监视器是如何工作的？

监视器是否在重新启动时自行启动？

编辑:我执行了以下命令: maldet -m用户

Answer 3

@Jonathan Lindgren

对我来说，inotify=$inotifywait/inotify/inotifywait

将上述行更改为：

inotify=/usr/bin/inotifywait

不管用

我不是麦迪特的专家，我只能告诉你以下几点

1)我没有使用maldet用户或类似的东西，我(在plesk上)做了mysql -ss -uadmin -pcat /etc/psa/.psa.shadow psa -e“从主机中选择www_root；”>/usr/local/maldetfilelist

然后，您可以从以下几个方面开始LMD：

-m /usr/局部/错误检测/错误文件列表

这将从plesk创建一个包含所有路径的文件。

另一种选择是使用这样的方法

maldet --m /var/www/vhost/或maldet -m/var/www/vhost/?/soesub文件夹在哪里？表示所有类似的* on bash :)

2)我能想到的另一个原因是，你确定inotify在运行吗？也许您已经没有inotify观察者了，在您有了朗姆酒监视器之后，就可以做cat /proc/sys/fs/inotify/max_user_watches。

或者在日志文件上做一个尾-f，如果您在设备bla上没有任何空间，那么您可能已经没有inotify观察者了。

但是，如果你告诉我们你的发行版等等，就像我在最初的文章中提到的那样，我在云、linux和plesk的centos上使用它，并且遇到了这个问题，但是在带cloudlinux和cpanel的centos上，它是从盒子里出来的:(直到今天，我还不知道为什么)。

此外，我强烈建议您使用set -x

$nice -n $inotify_nice $inotify -s -d -r -o $inotify_log --从文件$inotify_fpaths --timefmt "%d %b %H:%M:%S“格式"%w%f %e %T”-m -e创建、移动、修改>> /dev/null 2>&1 &

集+x

将其放入maldet文件(在$nice行之前和之后)，它将真正告诉您所有执行是否正确:)

更新:也请检查我在第一个答案的底部所做的更新，它可能是被那个(在这种情况下，监视器停止)击中了，你也可以运行一个小脚本来检查是否监视器和inotifywatch正在运行，如果没有，可以重新启动它们。

希望你能使用这其中的任何一个，如果我能进一步帮助，请告诉我。