Розбіжності

Тут показані розбіжності між вибраною ревізією та поточною версією сторінки.

--- server:bezpeka:zlovmisni_skripti [2017/08/12 11:18] – Юрій
+++ server:bezpeka:zlovmisni_skripti [2020/07/08 19:55] – [Свої бази Clamav] Юрій
@@ Рядок 12: / Рядок 12: @@
 Команда для одноразової перевірки
-<code># clamscan -i -r  –max-dir-recursion 200 –move /home/virus/Infected/ –log=/var/log/clamav.log /var/www/<code>
+<code># clamscan -i -r  –max-dir-recursion 200 –move /home/virus/Infected/ –log=/var/log/clamav.log /var/www/</code>
+<WRAP center round important 60%>
+Зверніть увагу також буде перевірено карантин, щоб уникнути цього - перенесіть карантин в інше місце
+</WRAP>
 Розберемо деякі аргументи
@@ Рядок 23: / Рядок 28: @@
 Якщо у вас сайти в домашній директорії користувачів (і це правильно!) команда буде мати вигляд
-<code># clamscan -i -r  –max-dir-recursion 200 –move /home/virus/Infected/ –log=/var/log/clamav.log /home/<code>
+<code># clamscan -i -r  –max-dir-recursion 200 –move /home/virus/Infected/ –log=/var/log/clamav.log /home/</code>
 [[server:bezpeka:Clamav|Clamav]] -  безкоштовний та досить простий антивірус, детальніше про його налаштування на окремій сторінці - тут лише загальна команда, яку варто внести в [[server:Cron|Cron]]
@@ Рядок 32: / Рядок 37: @@
 </code>
+==== Неофіційні бази Clamav ====
+Якщо з основними базами є почуття непевності то можна встановити неофіційні бази - робиться це доволі просто
+<code># apt-get install clamav-unofficial-sigs</code>
+Далі все стандартно
+==== Свої бази Clamav ====
+Clamav дає змогу самостійно наповнювати базу, для цього є утиліта sigtool
+Для початку дізнаємось її розташування
+<code>whereis sigtool</code>
+В Xubuntu вона є за адресою
+<code>/usr/bin/sigtool</code>
+Далі використовуємо таку конструкцію
+<code>cat ./patch/virus.php | /usr/bin/sigtool --hex-dump | head -c 2048 >> ./patch/clamav_bases/djsigs.ndb</code>
+Пояснення - тут ми передаємо вірусний файл, що лежить за шляхом ./patch/virus.php на утиліту, та формуємо сигнатуру. Після цього пишемо її у файл djsigs.ndb
+Щоб цей файл запрацював додамо перед самою сигнатурою <code>{HEX}base64.first.malware:0:*:</code>
+Повинно вийти щось, схоже [[https://github.com/Djalin/clamav.bases/blob/master/djsigs.ndb | на це
+]]
+Тепер потрібно скопіювати цей файл в теку з базами
+Зазвичай це <code>/var/lib/clamav/</code>
+Готово - тепер можна просканувати усю теку й дізнатись де ще є цей же вірус.
+===== Maldet =====
+Ще одне рішення для видалення зарази з серверів, цього набору скриптів в репозиторіях немає - тому спочатку потрібного його завантажити
+Йдемо в потрібну директорію й завантажуємо туди архів
+<code># cd /usr/local/src && wget http://www.rfxn.com/downloads/maldetect-current.tar.gz</code>
+або можна в домашню
+<code># cd ~ && wget http://www.rfxn.com/downloads/maldetect-current.tar.gz</code>
+Розпаковуємо
+<code># tar -xzvf maldetect-current.tar.gz</code>
+переглядаємо що у нас є
+<code># ls </code>
+Бачимо папку maldetect-* - де зірочка - версія - переходимо в неї
+<code>#cd maldetect-* </code>
+Знаходимо та запускаємо скрипт встановлення
+<code>sh install.sh</code>
+Оновлюємо базу
+<code># maldet -u</code>
+Можна сканувати, по замовчуванню просто створюється звіт
+===== AI-Bolit =====
+===== Find =====
+===== SPAM =====