Guida alle tecnologie

Installare Linux Malware Detect (LMD) con ClamAV su CentOS 7

7 min read Sicurezza Linux Aggiornato 06 Oct 2025
Installare LMD con ClamAV su CentOS 7
Installare LMD con ClamAV su CentOS 7

Per chi è questo articolo

Questo documento è pensato per amministratori di sistema e fornitori di hosting che vogliono aggiungere un livello di scansione malware per ambienti di hosting condiviso su CentOS 7. Definizioni rapide:

  • LMD: scanner malware ottimizzato per hosting condiviso.
  • ClamAV: motore antivirus open source usato come backend di scansione.

Sommario dei contenuti

  • Prerequisiti
  • Installare EPEL e mailx
  • Installare LMD (Linux Malware Detect)
  • Configurare LMD per usare ClamAV e le email
  • Installare e aggiornare ClamAV
  • Test e comandi utili di LMD
  • Checklist operative e runbook di incidente
  • Alternative, consigli di sicurezza e note di compatibilità

Prerequisiti

  • Server CentOS 7
  • Accesso root (o sudo con privilegi amministrativi)
  • Connessione Internet per scaricare pacchetti e definizioni

Step 1 - Installare il repository EPEL e mailx

  1. Abilita EPEL (Extra Packages for Enterprise Linux) e installa mailx. mailx serve per inviare i report via email.
yum -y install epel-release

Installa mailx per poter usare il comando mail:

yum -y install mailx

Nota importante: assicurati che il server possa inviare email (MTA configurato) o che sia presente un relay SMTP valido.

Step 2 - Installare Linux Malware Detect (LMD)

Linux Malware Detect non è disponibile direttamente nei repository di CentOS/EPEL; lo installiamo dal sorgente.

Scarica ed estrai LMD:

cd /tmp  
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz  
tar -xzvf maldetect-current.tar.gz

Vai nella directory estratta e avvia lo script di installazione come root:

cd maldetect-1.5  
./install.sh

Crea un symlink al comando maldet nella directory /bin/ per un accesso più comodo:

ln -s /usr/local/maldetect/maldet /bin/maldet  
hash -r

Install Linux Malware Detect

Alt immagine: Schermata dell’installazione di Linux Malware Detect (maldet) su CentOS.

Step 3 - Configurare Linux Malware Detect (LMD)

LMD viene installato nella directory ‘/usr/local/maldetect/‘. Modifica il file di configurazione per attivare alert email, integrazione con ClamAV e quarantena.

cd /usr/local/maldetect/  
vim conf.maldet

Le impostazioni principali da modificare (nomi e linee possono variare a seconda della versione):

  • Abilita gli avvisi via email (imposta su “1”):
email_alert="1"
  • Imposta l’indirizzo email destinatario (sostituisci l’esempio con il tuo indirizzo):
email_addr="[email protected]"
  • Usa clamscan (motore ClamAV) come motore di scansione di default, utile su grandi set di file:
scan_clamscan="1"
  • Abilita la quarantena automatica durante la scansione:
quarantine_hits="1"
  • Abilita la pulizia basata su file infetti (se desiderato):
quarantine_clean="1"

Salva ed esci. Verifica che i permessi della directory di quarantena siano corretti per evitare problemi di scrittura.

Importante: la quarantena automatica può spostare file legittimi che risultano falsi positivi. Testa su un ambiente non in produzione prima di abilitare la pulizia automatica.

Step 4 - Installare ClamAV

ClamAV è disponibile nel repository EPEL che abbiamo abilitato. Installa ClamAV e il pacchetto di sviluppo (utile per integrazioni future):

yum -y install clamav clamav-devel

Aggiorna il database dei virus con freshclam:

freshclam

Update ClamAV malware database with the freshclam command

Alt immagine: Terminale che mostra l’aggiornamento del database di ClamAV con freshclam.

Nota: imposta un cron o systemd timer per freshclam per mantenere aggiornate le definizioni.

Step 5 - Testare LMD e ClamAV

Esempio pratico: eseguiamo una scansione manuale della web root /var/www/html/ usando campioni di test (EICAR) per verificare il rilevamento.

Scarica i file di test EICAR nella document root:

cd /var/www/html  
wget http://www.eicar.org/download/eicar.com.txt  
wget http://www.eicar.org/download/eicar_com.zip  
wget http://www.eicar.org/download/eicarcom2.zip

Esegui la scansione con maldet:

maldet -a /var/www/html

Scan a directory with Maldet

Alt immagine: Output di maldet che esegue la scansione di una directory web.

Dovresti vedere che LMD usa ClamAV come motore di scansione e che i file sospetti vengono segnalati (ad esempio “malware hits 3”) e spostati in quarantena.

Controlla il report di scansione con lo scanid mostrato in output (esempio):

maldet --report 161008-0524.9466

Nota: SCANID = 161008-0524.9466 è un esempio trovato nell’output di maldet.

LMD scan report

Alt immagine: Report di scansione LMD che mostra i dettagli dei rilevamenti.

Verifica anche che il server abbia inviato l’email di notifica:

tail -f /var/mail/root

Alt immagine: Posta locale del sistema contenente il report di scansione inviato da LMD.

Se l’email arriva, la configurazione di mailx e MTA funziona correttamente.

Step 6 - Comandi utili di LMD

Ecco una raccolta di comandi pratici che userai spesso:

  • Scansione per estensione specifica (es. solo PHP):
maldet -a /var/www/html/*.php
  • Elenca tutti i report:
maldet -e list
  • Scansione ricorsiva dei file creati/modificati negli ultimi X giorni (es. ultimi 5 giorni):
maldet -r /var/www/html/ 5
  • Ripristina file dalla quarantena usando SCANID:
maldet -s SCANID

Restore file from quarantine directory

Alt immagine: Esempio di ripristino di un file dalla quarantena.

  • Abilita il monitoraggio in tempo reale di una directory:
maldet -m /var/www/html/
  • Controlla il log del monitor:
tail -f /usr/local/maldetect/logs/inotify_log

Monitor a directory with Maldet

Alt immagine: Log del monitor inotify mostrato nel terminale.

Checklist operativa rapida (Ruoli)

Sysadmin:

  • Verificare freshclam funzionante e aggiornamenti automatici.
  • Testare maldet con file EICAR in ambiente non produttivo.
  • Controllare permessi della directory di quarantena.
  • Abilitare monitor se necessario (maldet -m).

Fornitore hosting:

  • Abilitare alert email a un account di gestione centrale.
  • Disporre di procedure di approvazione per i ripristini dalla quarantena.
  • Automatizzare report giornalieri o settimanali.

Sicurezza/Incident response:

  • Conservare snapshot prima di ripristinare file sospetti.
  • Validare i ripristini su staging prima di tornare in produzione.

Mini-methodologia operativa

  1. Installare e aggiornare i pacchetti (EPEL, mailx, ClamAV, LMD).
  2. Configurare LMD per l’integrazione con ClamAV e le email.
  3. Eseguire test con campioni conosciuti (EICAR).
  4. Abilitare monitoraggio e pianificare scansioni ricorrenti.
  5. Definire playbook di risposta per falsi positivi e ripristini.

Runbook incidente rapido (se trovi malware in produzione)

  1. Isolare il server o la directory se possibile.
  2. Eseguire scansione completa con maldet e clamscan.
  3. Spostare file sospetti in quarantena (maldet lo può fare automaticamente).
  4. Creare snapshot/backup della macchina prima di ogni modifica.
  5. Analizzare i file in quarantena, determinare se sono falsi positivi.
  6. Ripristinare file sicuri con maldet -s SCANID e validare il comportamento.
  7. Aggiornare regole e segnalarlo al team di sicurezza.

Matrice dei rischi e mitigazioni (qualitativa)

  • Falso positivo -> Mitigazione: revisione manuale, ripristino su staging.
  • Quarantena automatica di file legittimi -> Mitigazione: notifiche email e approvazione umana per la pulizia.
  • Database virus non aggiornato -> Mitigazione: freshclam in cron o servizio systemd timer.
  • Mancata consegna email -> Mitigazione: verificare MTA/relay e log di posta.

Alternative e consigli

  • Uso senza ClamAV: LMD funziona anche con le sue firme interne, ma ClamAV migliora il rilevamento su grandi insiemi.
  • Alternative a ClamAV: soluzioni commerciali come ESET, Sophos o scanner basati su motori multipli per hosting gestito.
  • Distribuzioni più recenti: per CentOS 8/Stream o derivati (AlmaLinux/Rocky), installazione e pacchetti possono variare; verificare repository EPEL compatibili.

Note di compatibilità e migrazione

  • Se migrerai da CentOS 7 a un sistema basato su systemd più recente, controlla i nomi dei servizi e i path dei log.
  • In ambienti containerizzati, considera l’impatto di eseguire scansioni ricorsive su volumi montati.

Glossario (una linea)

  • MTA: Mail Transfer Agent, software che invia email dal server.
  • EICAR: file di test standard usato per verificare i rilevatori antivirus.
  • Quarantena: area protetta dove vengono spostati i file infetti.

Buone pratiche finali

  • Testa tutte le modifiche in staging.
  • Mantieni aggiornati ClamAV e LMD.
  • Monitora regolarmente i report e automatizza le notifiche verso gli interlocutori corretti.

Riepilogo

  • LMD + ClamAV forniscono una combinazione efficace per rilevare malware su hosting condiviso.
  • Installa EPEL, mailx, LMD e ClamAV; configura email, quarantena e motore clamscan.
  • Testa con EICAR e adotta una procedura di risposta per falsi positivi e ripristini.

Reference

Condividere: X/Twitter Facebook LinkedIn Telegram
Autore
Redazione

Materiali simili

Attenzione a Remtasu: falso strumento per hackerare Facebook
Sicurezza informatica

Attenzione a Remtasu: falso strumento per hackerare Facebook

Rimuovere dispositivo dall'Apple ID: guida completa
Sicurezza

Rimuovere dispositivo dall'Apple ID: guida completa

Installare e configurare BURG su Elementary/Ubuntu
Linux

Installare e configurare BURG su Elementary/Ubuntu

Recupero dati da hard disk esterno con Stellar
Recupero dati

Recupero dati da hard disk esterno con Stellar

Mostrare le estensioni file in Windows 10
Windows

Mostrare le estensioni file in Windows 10

Disinstallare programmi Windows ostinati
Windows

Disinstallare programmi Windows ostinati