Colobridge WIKI

Проверка сервера антивирусным ПО

Применимость: Debian, Linux, CentOS, Ubuntu

Слова для поиска: вирус, антивирус, antivirus


Установить антивирусные утилиты, провести проверку на вредоносный код.

Для того что бы выполнить проверку сервера на вредоносные файлы следует установить необходимое ПО. В данной статье рассмотрим антивирусные утилиты clamav и maldet. При проверке антивирусная утилита maldet использует и антивирусные базы ClamAV, поэтому рекомендуем выполнять установку обеих утилит, и maldet и ClamAV, а для проверки использовать утилиту maldet.

Для установки ClamAV на Debian/Ubuntu необходимо выполнить команду:

# sudo apt-get install clamav 

Для установки ClamAV на CentOS необходимо выполнить команду:

# sudo yum install clamav 

Обновление антивирусной базы:

# sudo freshclam 

Проверка всей системы:

# sudo clamscan -r / 

Проверка отдельного каталога:

# sudo clamscan -r /path/to/directory 

Вывод только инфицированных файлов (использование ключа –i):

# sudo clamscan -ir /path/to/directory 

Перемещение зараженных файлов и последующее их удаление:

# sudo mkdir /infected_files
# sudo clamscan -ir / --move=/infected_files 

Удаление файлов:

# sudo rm -rf /infected_files/* 

Справочная информация по clamav:

# man clamav 

Для выполнения установки необходимо выполнить:

# cd /tmp
# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
# tar xfz maldetect-current.tar.gz
# cd maldetect-*
# ./install.sh
#  maldet --update-ver
#  maldet --update 

Перед началом проверки необходимо обязательно обновить базы данных антивирусных утилит:

# freshclam
#  maldet --update-ver
#  maldet --update

Запуск сканирования файлов:

#  maldet -a /path/to/directory 

Пример результата сканирования:

Dec 05 03:10:20 s1 maldet(6666): {scan} file list completed, found 8095432 files...
Dec 05 03:10:20 s1 maldet(6666): {scan} found ClamAV clamscan binary, using as scanner engine...
Dec 05 03:10:20 s1 maldet(6666): {scan} scan of /var/www (8095432 files) in progress...
Dec 05 03:29:14 s1 maldet(6666): {scan} scan completed on /var/www: files 8095432, malware hits 18, cleaned hits 0
Dec 05 03:29:14 s1 maldet(6666): {scan} scan report saved, to view run: maldet --report 102814-0358.6666
Dec 05 03:29:14 s1 maldet(6666): {scan} quarantine is disabled! set quar_hits=1 in conf.maldet or to quarantine results run:  maldet -q 102814-0358.6666

Просмотра отчета:

# maldet --report 102814-0358.6666

Так же информация о проверке будет храниться в файле:

# tail /usr/local/maldetect/event_log

Перенос файлов в карантин:

# maldet -q 102814-0358.6666

Файлы перемещенные в карантин находятся в каталоге:

# ls -la /usr/local/maldetect/quarantine/

Удаление зараженного файла из карантина:

# rm /usr/local/maldetect/quarantine/config.php.2384 -y

Восстановление файла из карантина:

# maldet –restore /usr/local/maldetect/quarantine/config.php.2384


Актуальность: 2015/01/23 11:24