Проверка кода сайтов на вирусы используя periodic и ClamAV во FreeBSD

Материал из wiki.p3.ru

Введение

Антивирус ClamAV умеет обнаруживать известные вирусы которые поражают код сайтов используя кражу паролей из FTP-клиентов пользователей. Рассмотрим как используя штатные скрипты periodic подключить его для проверки директорий пользователей.

Далее (а мы надеемся вы получаете системную почту root создав ящик вида root@основной домен сервера и настроив перенаправление) получаете отчеты на почту о работе и о зараженных файлах.

Установка и настройка

Установка ClamAV

Лучше использовать последнюю версию, самый простой способ установить из пэкаджей: 

pkg_add -vr clamav-devel

Конечно никто не запрещает поставить стабильную версию (pkg_add -vr clamav) или из портов (cd /usr/ports/security/clamav ; make install clean), но поставить из пакета быстрее и не будет тратиться место при сборке на файлы в /usr/ports/distfiles)

Создание скрипта periodic

Откройте ваш любимый текстовый редактор, например, vim<ref>Текстовый редактор vim - краткое руководство</ref> и создайте в нем файл /usr/local/etc/periodic/daily/999.clamscan

Добавьте в него вызов обновления базы ClamAV и рекурсивную проверку директории /home (-r) и сообщать только об инфицированных (-i) файлах: 

#!/bin/sh
/usr/local/bin/freshclam
/usr/local/bin/clamscan -ri /home

Установите права на исполнение: 

chmod +x /usr/local/etc/periodic/daily/999.clamscan

Проверка работы

На email root в daily-отчете (daily run output) который запускается в 03:01 времени сервера (смотрите /etc/crontab) будет приходить следующая информация: 

от: Charlie Root <root@example.com>
кому: root@example.com
тема: example.com daily run output
...
...

ClamAV update process started at Sat Nov 27 01:51:02 2010
main.cvd is up to date (version: 53, sigs: 846214, f-level: 53, builder: sven)
daily.cvd is up to date (version: 12323, sigs: 6703, f-level: 54, builder: guitar)
bytecode.cvd is up to date (version: 93, sigs: 16, f-level: 54, builder: edwin)
/home/example/data/www/example0.tst/eicar.com: Eicar-Test-Signature FOUND
/home/example/data/www/example0.tst/eicar.com.txt: Eicar-Test-Signature FOUND
/home/example/data/www/example0.tst/temp/eicar.com.txt: Eicar-Test-Signature FOUND

----------- SCAN SUMMARY -----------
Known viruses: 851719
Engine version: devel-20101109-exp
Scanned directories: 10
Scanned files: 7
Infected files: 3
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 0.00:1)
Time: 4.681 sec (0 m 4 s)

Ссылки

<references/>

Смотрите также

Источник — https://wiki.p3.ru/index.php?title=Проверка_кода_сайтов_на_вирусы_используя_periodic_и_ClamAV_во_FreeBSD&oldid=350