11.11.2019

Як встановити Clam AntiVirus (ClamAV) на VPS або сервер з ОС CentOS

ClamAV (Clam AntiVirus) - антивірусне ПЗ для UNIX систем (є версії під інші ОС - Windows, Apple Mac OS X), популярний вільний продукт розповсюджується за ліцензією GNU General Public License.

Ефективність ClamAV

За допомогою ClamAV можна знайти шкідливі файли на сервері, але все таки він не дає 100% гарантії точності аналізу і сканування на шкідливі загрози для сайтів, скриптів, двигунів та іншого ПЗ. Так, наприклад, закодований шкідливий код PHP або JavaScript у ClamAV не викличе жодних підозр і у звіті буде вказано, що шкідливих файлів немає (Infected files: 0). До того ж, якщо шкідливий код не в файлах CMS, а в базі даних - то ClamAV також не допоможе. Але, все ж, сканування ClamAV - це перше, що необхідно зробити, якщо є підозра на шкідливе ПЗ на сервері. Антивірус досить непогано визначає різного роду веб шелли (Web Shells) - дивіться приклади звітів по скануванню нижче.

Встановлення Clam AntiVirus (ClamAV) на VPS / VDS або сервер з ОС CentOS

Отже, тепер розглянемо докладніше встановлення Clam AntiVirus (ClamAV) на VPS / VDS або виділений сервер з ОС CentOS крок за кроком.

1. Встановлюємо / вмикаємо EPEL репозиторій.

2. Встановлюємо Clam AntiVirus (ClamAV) на сервер:

yum install clamav clamd

3. Запускаємо сервіс clamd (для сканування пошти) і ставимо його в автозапуск

/etc/init.d/clamd on
chkconfig clamd on
/etc/init.d/clamd start

4. Оновлюємо базу даних сигнатур

/usr/bin/freshclam

Налаштовуємо щоденне сканування ClamAV

Давайте тепер налаштуємо щоденне сканування директорії з нашими сайтами, наприклад /var/www/

5. Створюємо cron файл

vim /etc/cron.daily/manual_clamscan

6. Додаємо у файл наступні рядки

#!/bin/bash
SCAN_DIR="/var/www"
LOG_FILE="/var/log/clamav/manual_clamscan.log"
/usr/bin/clamscan -i -r $SCAN_DIR >> $LOG_FILE

Де SCAN_DIR - це директорія, яку необхідно сканувати.

7. Тепер робимо наш крон скрипт виконуваним

chmod +x /etc/cron.daily/manual_clamscan

Ось і все! Clam AntiVirus (ClamAV) встановлений і буде виконувати щоденне сканування директорії SCAN_DIR (в нашому випадку це /var/www/).

Якщо пошта на сервері не використовується, то можна не качати clamd. А встановити ClamAV можна наступною командою

yum --enablerepo=epel -y install clamav

[root@server ~]# yum --enablerepo=epel -y install clamav
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
 * base: centos.serverspace.co.uk
 * epel: mirror.bytemark.co.uk
 * extras: centos.serverspace.co.uk
 * openvz-kernel-rhel5: ftp.ticklers.org
 * updates: centos.serverspace.co.uk
epel                                                     | 3.6 kB     00:00
epel/primary_db                                          | 2.9 MB     00:00
Excluding Packages from CentOS-5 - Updates
Finished
Setting up Install Process
Resolving Dependencies
--> Running transaction check
---> Package clamav.i386 0:0.99-3.el5 set to be updated
--> Processing Dependency: clamav-db = 0.99-3.el5 for package: clamav
---> Package clamav.x86_64 0:0.99-3.el5 set to be updated
--> Running transaction check
---> Package clamav-db.x86_64 0:0.99-3.el5 set to be updated
--> Finished Dependency Resolution

Dependencies Resolved

================================================================================
 Package             Arch             Version              Repository      Size
================================================================================
Installing:
 clamav              i386             0.99-3.el5           epel           1.8 M
 clamav              x86_64           0.99-3.el5           epel           1.6 M
Installing for dependencies:
 clamav-db           x86_64           0.99-3.el5           epel           102 M

Transaction Summary
================================================================================
Install       3 Package(s)
Upgrade       0 Package(s)

Total download size: 106 M
Downloading Packages:
(1/3): clamav-0.99-3.el5.x86_64.rpm                      | 1.6 MB     00:00
(2/3): clamav-0.99-3.el5.i386.rpm                        | 1.8 MB     00:00
(3/3): clamav-db-0.99-3.el5.x86_64.rpm                   | 102 MB     00:14
--------------------------------------------------------------------------------
Total                                           7.0 MB/s | 106 MB     00:15
Running rpm_check_debug
Running Transaction Test
Finished Transaction Test
Transaction Test Succeeded
Running Transaction
  Installing     : clamav-db                                                1/3
  Installing     : clamav                                                   2/3
  Installing     : clamav                                                   3/3

Installed:
  clamav.i386 0:0.99-3.el5              clamav.x86_64 0:0.99-3.el5

Dependency Installed:
  clamav-db.x86_64 0:0.99-3.el5

Complete!

Якщо хочете запустити сканування ClamAV, то введіть команду clamscan з прапорами -i (сканування файлів у піддиректоріях) і -r (вивід інформації тільки про заражені файли)

clamscan -r -i

Якщо шкідливих файлів не виявлено, то у звіті буде рядок Infected files: 0

---------- SCAN SUMMARY -----------
Known viruses: 3105755
Engine version: 0.98.1
Scanned directories: 867
Scanned files: 7102
Infected files: 0
Data scanned: 54.85 MB
Data read: 33.64 MB (ratio 1.63:1)

А тепер кілька реальних звітів із знайденими загрозами

/var/www/user/data/www/domain.com/images/stories/.logs/xh: Hacktool.Fakeproc FOUND
/var/www/user/data/www/domain.com/images/stories/.logs/crot: Trojan.Eggdrop-117 FOUND
/var/www/user/data/www/domain.com/images/stories/.logs/httpd: Trojan.Eggdrop-118 FOUND
/var/www/user/data/www/domain.com/images/stories/.logs/t3394: Linux.RST.B FOUND
/var/www/user/data/www/domain.com/images/stories/xbot.jpg: Trojan.Perlbot FOUND
/var/www/user/data/www/domain.com/images/stories/petx.php: PHP.Hide FOUND
/var/www/user/data/www/domain.com/images/stories/x.php: PHP.Shell-22 FOUND
/var/www/user/data/www/domain.com/images/stories/eggMAGIC.tar.gz: Linux.RST.B FOUND
/var/www/user/data/www/domain.com/images/stories/mind.php: PHP.Shell-22 FOUND
/var/www/user/data/www/domain.com/icon0.php: PHP.Hide FOUND
/var/www/user/data/www/domain.com/logs/rdp/psc: Trojan.Linux.RST.b FOUND
----------- SCAN SUMMARY -----------
Known viruses: 3578535
Engine version: 0.98.4
Scanned directories: 3422
Scanned files: 24841
Infected files: 11
Data scanned: 155.40 MB
Data read: 125.98 MB (ratio 1.23:1)

/var/www/user/data/www/domain.net/images/smilies/index.php: PHP.Shell-38 FOUND
/var/www/user/data/www/domain.net/images/banners/index.php: PHP.Shell-38 FOUND
/var/www/user/data/www/domain.net/images/stories/0d4y.php: PHP.Hide FOUND
/var/www/user/data/www/domain.net/images/stories/0d4y.gif: PHP.Hide FOUND
/var/www/user/data/www/domain.net/images/stories/mua.gif: PHP.Hide FOUND
/var/www/user/data/www/domain.net/images/stories/nethome.gif: PHP.Hide FOUND
----------- SCAN SUMMARY -----------
Known viruses: 3009764
Engine version: 0.97.8
Scanned directories: 2153
Scanned files: 46223
Infected files: 6

/var/www/user/data/wp-conf.php: Trojan.PHP-43 FOUND
/var/www/user/data/www/wp-conf.php: Trojan.PHP-43 FOUND
/var/www/user/data/www/domain.org/administrator/mobileSgh.php: PHP.Trojan.Spambot FOUND
/var/www/user/data/www/domain.org/images/stories/img848m.php.gif: PHP.Hide FOUND
/var/www/user/data/www/domain.org/images/stories/im1067n1g.gif: PHP.Hide FOUND
/var/www/user/data/www/domain.org/images/stories/img599m.php.gif: Trojan.PHP-43 FOUND
/var/www/user/data/www/domain.org/images/stories/img418m.php.gif: Trojan.PHP-43 FOUND
/var/www/user/data/www/domain.org/images/stories/im1847n4g.gif: PHP.Hide FOUND
/var/www/user/data/www/domain.org/images/stories/im4045n8g.gif: PHP.Hide FOUND
/var/www/user/data/www/domain.org/images/stories/im6436n2g.gif: PHP.Hide FOUND
/var/www/user/data/www/domain.org/images/stories/img839m.php.gif: Trojan.PHP-43 FOUND
/var/www/user/data/www/domain.org/images/stories/im1215n7g.gif: PHP.Hide FOUND
/var/www/user/data/www/domain.org/images/stories/img987m.php.gif: PHP.Hide FOUND
/var/www/user/data/www/domain.org/images/stories/pageinfo.php: PHP.Hide FOUND
/var/www/user/data/www/domain.org/wp-conf.php: Trojan.PHP-43 FOUND
/var/www/user/data/www/domain.org/cache/wp-conf.php: Trojan.PHP-43 FOUND
/var/www/user/data/www/domain.org/cache/wthm9521g.php: Trojan.PHP-43 FOUND

/var/www/user/data/www/domain.in/sydata.php: PHP.Shell-84 FOUND
/var/www/user/data/www/domain.in/sys.php: PHP.Shell-38 FOUND

/var/www/user/data/www/domain.ru/images/images.php: PHP.Hide FOUND                                                     
/var/www/user/data/www/domain.ru/images/stories/muakero.php:PHP.Hide FOUND                                                                                                                                   
/var/www/user/data/www/domain.ru/images/stories/tir1683.gif: PHP.Hide FOUND
/var/www/user/data/www/domain.ru/images/stories/tir1657.gif: PHP.Hide FOUND
/var/www/user/data/www/domain.ru/images/stories/explore.php: PHP.Hide FOUND
/var/www/user/data/www/domain.ru/images/stories/3xp.php: PHP.Hide FOUND
/var/www/user/data/www/domain.ru/images/stories/functions.php: PHP.Hide FOUND
/var/www/user/data/www/domain.ru/cache/images.php: PHP.Hide FOUND

----------- SCAN SUMMARY -----------
Known viruses: 3226138
Engine version: 0.98.1
Scanned directories: 1805
Scanned files: 14565
Infected files: 8
Data scanned: 247.81 MB
Data read: 387.98 MB (ratio 0.64:1)
Time: 79.985 sec (1 m 19 s)

Зверніть увагу! Якщо у звітах ClamAV виявлені файли зі шкідливим кодом, то Ви повинні розуміти, що простим видаленням шкідливих файлів проблема з безпекою не вірішиться - якщо не усунути вразливості у скриптах, то файли зі шкідливим кодом можуть з'явитися знову.

Останні новини