кто юзал? что об этом думаете?
кусок копипаста:
Linux Malware Detect (LMD) — это сканер для Linux, предназначенный для поиска веб-шеллов, спам-ботов, троянов, злонамеренных скриптов и прочих типичных угроз характерных для веб-пространств и особенно актуален для виртуальных шаред-хостинг платформ. Главное отличие от прочих Linux-антивирусов — его веб направленность, сканирование файлов веб-сайтов, ведь обычные антивирусы ориентируются на более глобальные угрозы уровня системы.
Что умеет
Поиск угроз по базе MD5 и распознавание типа угрозы (например, php.cmdshell.nan.296.HEX) по HEX-базе.
Статистический анализ файлов на наличие обфусцированных зловредов и инъекций.
Обнаружение установленного в системе ClamAV для использования его в качестве сканера.
Ручное и автоматическое (по крону) обновление сигнатур.
Ручное и автоматическое обновление версии самого скрипта.
Возможность сканирования недавно добавленных/измененных файлов (например за последние 2 дня).
Опция загрузки обнаруженных потенциальных угроз на официальный сайт для анализа.
Система отчетов.
Очистка файлов от вредоносных инъекций.
Крон-заготовки для запуска регулярного сканирования юзерспейсов или других директорий.
Наборы исключений по расширениям, сигнатурам и путям.
Возможность отправки результатов сканирования на e-mail.
Мониторинг в реальном времени созданных/модифицированных/измененных файлов при помощи inotify_watch: мониторинг выбранных пользователей, каталогов или файлов.
… и прочее.
Как это работает
Сканирование происходит с использованием собственного скрипта на базе grep, а если в системе установлен ClamAV — то при помощи clamscan. Аналогично с сигнатурами: программа имеет свою базу сигнатур, если же в системе установлен ClamAV, то использует дополнительно и его базу.
Источники сигнатур:
Срез данных сети. Разработчик LMD является администратором хостинга на 35.000 сайтов, данные ежедневно анализируется и обрабатываются. Основной источник сигнатур.
Данные сообщества собранные с антималвар-сайтов.
ClamAV, взаимообмен сигнатурами.
Данные, присылаемые пользователями.
Сигнатуры обновляются практически ежедневно, RSS-лента с обновлениями сигнатур присутствует на официальном сайте.
Результаты сканирования сохраняются в файл, а также могут высылаться на указанный в конфиге e-mail. Интеграции с популярными панелями управления, увы, нет, если же вы хостер — сообщения клиентам придется рассылать вручную.
Интеграция с популярными панелями ISPmanager и Cpanel была бы неплохим вкладом в сообщество (это в случае если кто желает).
Что это дает
Позволяет следить за безопасностью ваших сайтов на VDS и DS.
Хостерам — ежедневное сканирование и рассылка предупреждений клиентам позволит повысить лояльность клиентов, которые, зачастую, очень далеки от знания кодинга и основ безопасности.
Если ваш сайт или сайт клиента будет взломан — вы узнаете об этом либо сразу (если включен мониторинг в реальном времени), либо в течении периода, выбранного для cron-сканирования. Ведь «предупрежден — значит вооружен»: зараженные сайты чаще всего становятся источниками рассылки спама со всеми вытекающими (например, блеклистинг IP в DNSBL).