EvoMalware

EvoMalware est un script bash qui permet d'identifier aisément les fichiers (pour l'instant PHP et JS seulement) infectés par des malware/virus/backdoor. Pour cela il se base sur 3 bases de données au format texte :

evomalware.filenames, nom de fichiers connus ;
evomalware.patterns, motifs connus ;
evomalware.whitelist, fichiers à ignorer.

Il dispose aussi d'un mode « aggresive » qui permet de trouver des fichiers suspects via evomalware.suspect

Le script télécharge automatiquement les derniers fichiers sur antispam00.

Installer EvoMalware

Si pas déjà fait, récupérer le projet.

git clone https://gitea.evolix.org/evolix/evomalware.git

Copier evomalware.sh sur le serveur:/usr/share/scripts, assurez vous qu'il soit exécutable.

/!\ Si proxy/firewall sur la machine, assurez-vous d'ajouter une exception pour antispam00.evolix.org.

Le lancer manuellement, ou en cron, typiquement, tout les dimanche matin :

42 9 * * 7 /usr/share/scripts/evomalware.sh

Contribuer en mettant à jour les base de données

Si pas déjà fait, récupérer le projet.

git clone git@gitea.evolix.org:evolix/evomalware.git

Modifier les différentes DB. La syntaxe est une entrée par ligne terminé par « | », sauf pour la dernière ligne. Une fois la modification effectué, faire un make.

$ make                                                
md5sum evomalware.filenames > evomalware.filenames.md5
md5sum evomalware.patterns > evomalware.patterns.md5  
md5sum evomalware.whitelist > evomalware.whitelist.md5
md5sum evomalware.suspect > evomalware.suspect.md5

Commiter dans GIT.

$ git commit -a

Pousser sur antispam00.

$ scp evomalware* antispam00:
$ ssh antispam00
$ sudo -i
# install -m 644 -v /home/${SUDO_USER}/evomalware.* /var/www/evomalware/