Розбіжності

Тут показані розбіжності між вибраною ревізією та поточною версією сторінки.

--- server:bezpeka:zlovmisni_skripti [2017/08/12 11:06] – Юрій
+++ server:bezpeka:zlovmisni_skripti [2020/07/08 19:55] – [Свої бази Clamav] Юрій
@@ Рядок 3: / Рядок 3: @@
 Рано чи пізно цей день настане, то ж підготуватись не завадить. Отож перше що потрібно зробити - це банально встановити антивірус.
+===== Clamav - антивірус =====
+Встановлюємо
 <code># apt-get install clamav</code>
+Команда для одноразової перевірки
+<code># clamscan -i -r  –max-dir-recursion 200 –move /home/virus/Infected/ –log=/var/log/clamav.log /var/www/</code>
+<WRAP center round important 60%>
+Зверніть увагу також буде перевірено карантин, щоб уникнути цього - перенесіть карантин в інше місце
+</WRAP>
+Розберемо деякі аргументи
+  * max-dir-recursion - глибина вкладення каталогів, можна вказати менше
+  * move - вказівка переносити заражені файли в каталог (в даному випадку /home/virus/Infected/ - зверніть увагу каталог повинен існувати)
+  * log=/var/log/clamav.log - вказівка записувати дії в файл (бажано налаштувати також [[server:logrotate|ротацію логів]])
+  * /var/www/ - що саме перевіряємо, може відрізнятись
+Якщо у вас сайти в домашній директорії користувачів (і це правильно!) команда буде мати вигляд
+<code># clamscan -i -r  –max-dir-recursion 200 –move /home/virus/Infected/ –log=/var/log/clamav.log /home/</code>
 [[server:bezpeka:Clamav|Clamav]] -  безкоштовний та досить простий антивірус, детальніше про його налаштування на окремій сторінці - тут лише загальна команда, яку варто внести в [[server:Cron|Cron]]
@@ Рядок 13: / Рядок 37: @@
 </code>
+==== Неофіційні бази Clamav ====
+Якщо з основними базами є почуття непевності то можна встановити неофіційні бази - робиться це доволі просто
+<code># apt-get install clamav-unofficial-sigs</code>
+Далі все стандартно
+==== Свої бази Clamav ====
+Clamav дає змогу самостійно наповнювати базу, для цього є утиліта sigtool
+Для початку дізнаємось її розташування
+<code>whereis sigtool</code>
+В Xubuntu вона є за адресою
+<code>/usr/bin/sigtool</code>
+Далі використовуємо таку конструкцію
+<code>cat ./patch/virus.php | /usr/bin/sigtool --hex-dump | head -c 2048 >> ./patch/clamav_bases/djsigs.ndb</code>
+Пояснення - тут ми передаємо вірусний файл, що лежить за шляхом ./patch/virus.php на утиліту, та формуємо сигнатуру. Після цього пишемо її у файл djsigs.ndb
+Щоб цей файл запрацював додамо перед самою сигнатурою <code>{HEX}base64.first.malware:0:*:</code>
+Повинно вийти щось, схоже [[https://github.com/Djalin/clamav.bases/blob/master/djsigs.ndb | на це
+]]
+Тепер потрібно скопіювати цей файл в теку з базами
+Зазвичай це <code>/var/lib/clamav/</code>
+Готово - тепер можна просканувати усю теку й дізнатись де ще є цей же вірус.
+===== Maldet =====
+Ще одне рішення для видалення зарази з серверів, цього набору скриптів в репозиторіях немає - тому спочатку потрібного його завантажити
+Йдемо в потрібну директорію й завантажуємо туди архів
+<code># cd /usr/local/src && wget http://www.rfxn.com/downloads/maldetect-current.tar.gz</code>
+або можна в домашню
+<code># cd ~ && wget http://www.rfxn.com/downloads/maldetect-current.tar.gz</code>
+Розпаковуємо
+<code># tar -xzvf maldetect-current.tar.gz</code>
+переглядаємо що у нас є
+<code># ls </code>
+Бачимо папку maldetect-* - де зірочка - версія - переходимо в неї
+<code>#cd maldetect-* </code>
+Знаходимо та запускаємо скрипт встановлення
+<code>sh install.sh</code>
+Оновлюємо базу
+<code># maldet -u</code>
+Можна сканувати, по замовчуванню просто створюється звіт
+===== AI-Bolit =====
+===== Find =====
+===== SPAM =====