Dnes se podíváme na antivirový software ClamAV a na to, jak jej používat k ochraně vašeho serveru nebo počítače. Ukážu vám, jak nakonfigurovat ClamAV, aby každý den kontroloval všechny systémové, webové a e-mailové soubory a informoval vás e-mailem v případě, že bude detekován virus. Pro ty, kteří ClamAV neznají, ClamAV je řešení antivirového softwaru s otevřeným zdrojovým kódem, které je dostupné ve všech distribucích Linuxu. Jedním z požadavků této příručky je, že váš server již má funkční poštovní službu.
Tento tutoriál funguje dobře na Debianu systémy, ale měl by být kompatibilní s Ubuntu také systémy.
Instalace a konfigurace
Nejprve provedeme příkaz k instalaci Clamavu a nástroje pro zasílání emailových upozornění.
apt-get update && apt-get install clamav clamav-freshclam heirloom-mailx
Ujistěte se, že definice viru bude aktualizována příkazem:
service ClamAV-freshclam start
Ve výchozím nastavení bude ClamAV každou hodinu kontrolovat nové definice virů. Pokud chcete tento parametr změnit, můžete upravit soubor /etc/clamav/freshclam.conf.
nano /etc/clamav/freshclam.conf
A změňte následující řádek:
# Check for new database 24 times a day Checks 24
do
# Check for new database 1 times a day Checks 1
v tomto případě bude kontrola provedena pouze jednou denně. Navrhuji, abyste odcházeli 24krát denně.
Chcete-li provést ruční aktualizaci definic virů, můžete provést:
freshclam -v
Povolit upozornění a naplánovat kontrolu
V následujícím skriptu upravte proměnnou DIRTOSCAN tak, aby specifikovala adresáře, které chcete skenovat.
Vytvoříme soubor /root/clamscan_daily.sh
nano /root/clamscan_daily.sh
a vložíme následující kód:
#!/bin/bash
LOGFILE="/var/log/clamav/clamav-$(date +'%Y-%m-%d').log";
EMAIL_MSG="Please see the log file attached.";
EMAIL_FROM="[email protected]";
EMAIL_TO="[email protected]";
DIRTOSCAN="/var/www /var/vmail";
for S in ${DIRTOSCAN}; do
DIRSIZE=$(du -sh "$S" 2>/dev/null | cut -f1);
echo "Starting a daily scan of "$S" directory.
Amount of data to be scanned is "$DIRSIZE".";
clamscan -ri "$S" >> "$LOGFILE";
# get the value of "Infected lines"
MALWARE=$(tail "$LOGFILE"|grep Infected|cut -d" " -f3);
# if the value is not equal to zero, send an email with the log file attached
if [ "$MALWARE" -ne "0" ];then
# using heirloom-mailx below
echo "$EMAIL_MSG"|mail -a "$LOGFILE" -s "Malware Found" -r "$EMAIL_FROM" "$EMAIL_TO";
fi
done
exit 0 Můžete změnit dvě proměnné EMAIL_FROM a EMAIL_TO tak, aby odpovídaly vašim požadovaným e-mailovým adresám, a změnit seznam adresářů, které chcete skenovat, v proměnné DIRTOSCAN.
Uložte soubor pomocí ( ctrl+o ) a změňte oprávnění následovně:
chmod 0755 /root/clamscan_daily.sh
Nyní povolte každodenní provádění skriptu vytvořením symbolického odkazu v adresáři /etc/cron.daily/:
ln /root/clamscan_daily.sh /etc/cron.daily/clamscan_daily
Nyní byste měli být schopni obdržet e-mailové upozornění jednou denně na virus nebo malware ve vašich poštovních souborech nebo webových stránkách. ClamAV také kontroluje obsah souborů PHP na přítomnost malwaru nebo jiného potenciálně škodlivého obsahu.
Otestujte skript
V této konfiguraci nebude ClamAV s nalezenými viry provádět žádné akce, pouze je nahlásí. Takže se nebojte, nic se nesmaže ani nezmění. Chcete-li skript otestovat, stačí spustit:
/root/clamscan_daily.sh
Po dokončení příkazu nastanou dva možné stavy:
- Clamav našel nějaký virus:v tomto případě obdržíte e-mail do vaší schránky s přiloženým logem.
- Clamav nic nenašel, nebo se něco pokazilo. V tomto případě budete muset zkontrolovat, co říká protokol. Chcete-li zkontrolovat protokoly, měli byste se podívat do /var/log/clamav/
Připojím malý příklad protokolu, abyste věděli, co byste si měli přečíst:
Starting a daily scan of /var/www directory. Amount of data to be scanned is 36G. Mon Jun 15 13:17:14 CEST 2015 ----------- SCAN SUMMARY ----------- Known viruses: 3841819 Engine version: 0.98.4 Scanned directories: 47944 Scanned files: 316827 Infected files: 0 Data scanned: 17386.77 MB Data read: 34921.59 MB (ratio 0.50:1) Time: 1432.747 sec (23 m 52 s) Mon Jun 15 13:41:06 CEST 2015 ------------------------------------------------------ ------------------------------------------------------ Starting a daily scan of /var/vmail directory. Amount of data to be scanned is 7.0G. Mon Jun 15 13:41:27 CEST 2015 /var/vmail/domain.tld/info/Maildir/.Cestino/cur/1386677288.M361286P15524.domain.tld,W=2675,S=2627:2,S: Heuristics.Phishing.Email.SpoofedDomain FOUND /var/vmail/domain.tld/info/Maildir/.Cestino/cur/1371451873.M697795P19793.domain.tld,W=5421,S=5353:2,S: Heuristics.Phishing.Email.SpoofedDomain FOUND /var/vmail/domain.tld/info/Maildir/.Cestino/cur/1390203133.M981287P17350.domain.tld,W=3223,S=3157:2,S: Heuristics.Phishing.Email.SpoofedDomain FOUND /var/vmail/domain.tld/info/Maildir/.Cestino/cur/1386677288.M361285P15524.domain.tld,W=2270,S=2227:2,S: Heuristics.Phishing.Email.SpoofedDomain FOUND
V tomto případě ClamAV našel nějaký phishingový e-mail na adrese [email protected], takže v tomto případě tento e-mail také obdržíte.
To je vše!