Поиск вирусов с помощью ClamAV и отправка отчета по почте Cron.

ClamAV является отличным бесплатным антивирусным решением для серверов Linux. Тем не менее после установки по умолчанию нет никакого автоматического сканирования и оповещения (по крайней мере на RedHat Enterprise или CentOS). Вот что я сделал: 

Следующие шаги предполагают, что вы используете RHEL или CentOS, но должны применяться к другим дистрибутивам.

Во-первых, нужно установить ClamAV:

# yum install clamav clamav-db clamd

Для обновления антивирусной базы достаточно выполнить: 

# freshclam

Для поиска вирусов в директории

# clamscan -i -r /var/www

Теперь можно создать скрипт, для автоматизации проверки. Сценарий выполняет обновление антивирусной базы, затем выполняет сканирование сайтов, проверяет журнал и немедленно посылает вам уведомление по электронной почте если зараженные файлы найдены на сайте.

 #!/bin/bash
# email subject
SUBJECT="VIRUS DETECTED ON `hostname`!!!"
# Email To ?
EMAIL="mail to send"
#Log location
LOG=/var/log/clamav/scan.log
# Scan dir
DIR=/var/www/

check_scan () {

# Check the last set of results. If there are any "Infected"
# counts that aren't zero, we have a problem.
if [ `tail -n 12 ${LOG} | grep Infected | grep -v 0 | wc -l` != 0 ]
then
cat ${LOG} 2>&1 | mail -s ${SUBJECT} ${EMAIL}
fi
}
freshclam > ${LOG}
clamscan -i -r ${DIR} >> ${LOG}
check_scan

У меня есть ежедневное задание для сканирования сайтов, я считаю это достаточно так как бэкап выполняет тоже раз в сутки.

Для установки расписания сканирования:

# crontab -e

Краткая инструкция для использования vi. Войти в режим редактирования i, затем вставляем код приведённый для примера ниже. Затем выходим из режима редактирования Esc для сохранения изменений :wq!

Данное задание будет запускать созданный скрипт каждый день в 2:15

# minute Hour Day of Month Month Day of Week Command
# (0-59) (0-23) (1-31) (1-12 or Jan-Dec) (0-6 or Sun-Sat)
15 2 * * * /root/clamscan_www.sh

Проверка:

Файл EICAR для проверки берем отсюда http://www.eicar.org/85-0-Download.html кладем в вашу директорию и ждем отчета на почту.

в отчете должно быть:

ClamAV update process started at Mon Feb  2 21:40:26 2015
main.cvd is up to date (version: 55, sigs: 2424225, f-level: 60, builder: neo)
Downloading daily-20019.cdiff [100%]
daily.cld updated (version: 20019, sigs: 1317738, f-level: 63, builder: neo)
bytecode.cld is up to date (version: 245, sigs: 43, f-level: 63, builder: dgoddard)
Database updated (3742006 signatures) from db.local.clamav.net (IP: 193.27.49.165)
/var/www/test: Eicar-Test-Signature FOUND

----------- SCAN SUMMARY -----------
Known viruses: 3736446
Engine version: 0.98.5
Scanned directories: 9075
Scanned files: 53477
Infected files: 1
Data scanned: 1182.80 MB
Data read: 1078.55 MB (ratio 1.10:1)
Time: 161.071 sec (2 m 41 s)
Прочитано 2965 раз Последнее изменение Воскресенье, 22 Февраль 2015 19:42

Оставить комментарий

Убедитесь, что вы вводите (*) необходимую информацию, где нужно
HTML-коды запрещены

JoomShaper