ІТ - wiki

Користувальницькі налаштування

Налаштування сайту

Ви тут: IT Wiki » server » bezpeka » Шкідливі скрипти на сервері
Відвідано: Шкідливі скрипти на сервері
server:bezpeka:zlovmisni_skripti

Розбіжності

Тут показані розбіжності між вибраною ревізією та поточною версією сторінки.

Посилання на цей список змін

Порівняння попередніх версійПопередня ревізія
Наступна ревізія		Попередня ревізія
server:bezpeka:zlovmisni_skripti [2017/08/12 19:26] Юрійserver:bezpeka:zlovmisni_skripti [2020/07/09 12:25] (поточний) Юрій
Рядок 12: Рядок 12:
 Команда для одноразової перевірки  Команда для одноразової перевірки 
  
-<code>clamscan -i -r  max-dir-recursion 200 –move /home/virus/Infected/ log=/var/log/clamav.log /var/www/</code>+<code>clamscan -i -r  --max-dir-recursion 500 --move /home/virus/Infected/ --log=/home/user/clam.log /var/www/</code> 
 + 
 +<WRAP center round important 60%> 
 +Зверніть увагу також буде перевірено карантин, щоб уникнути цього - перенесіть карантин в інше місце 
 +</WRAP> 
  
 Розберемо деякі аргументи Розберемо деякі аргументи
Рядок 23: Рядок 28:
 Якщо у вас сайти в домашній директорії користувачів (і це правильно!) команда буде мати вигляд Якщо у вас сайти в домашній директорії користувачів (і це правильно!) команда буде мати вигляд
  
-<code>clamscan -i -r  –max-dir-recursion 200 –move /home/virus/Infected/log=/var/log/clamav.log /home/</code>+<code>clamscan  -i  -r --max-dir-recursion 500 --remove --log=/home/user/clam.log /home/ 
 +</code>
  
 [[server:bezpeka:Clamav|Clamav]] -  безкоштовний та досить простий антивірус, детальніше про його налаштування на окремій сторінці - тут лише загальна команда, яку варто внести в [[server:Cron|Cron]] [[server:bezpeka:Clamav|Clamav]] -  безкоштовний та досить простий антивірус, детальніше про його налаштування на окремій сторінці - тут лише загальна команда, яку варто внести в [[server:Cron|Cron]]
Рядок 32: Рядок 38:
 </code> </code>
  
-===== Неофіційні бази Clamav =====+==== Неофіційні бази Clamav ====
  
-Якщо з основними базами є почіття непервності то можна встановити неофіційні бази - робиться це доволі просто+Якщо з основними базами є почуття непевності то можна встановити неофіційні бази - робиться це доволі просто
 <code># apt-get install clamav-unofficial-sigs</code> <code># apt-get install clamav-unofficial-sigs</code>
  
 Далі все стандартно Далі все стандартно
 +
 +
 +==== Свої бази Clamav ====
 +
 +Clamav дає змогу самостійно наповнювати базу, для цього є утиліта sigtool
 +
 +Для початку дізнаємось її розташування
 +<code>whereis sigtool</code>
 +
 +
 +В Xubuntu вона є за адресою 
 +
 +
 +<code>/usr/bin/sigtool</code>
 +
 +Далі використовуємо таку конструкцію
 +
 +<code>cat ./patch/virus.php | /usr/bin/sigtool --hex-dump | head -c 2048 >> ./patch/clamav_bases/djsigs.ndb</code>
 +
 +Пояснення - тут ми передаємо вірусний файл, що лежить за шляхом ./patch/virus.php на утиліту, та формуємо сигнатуру. Після цього пишемо її у файл djsigs.ndb
 +
 +Щоб цей файл запрацював додамо перед самою сигнатурою <code>{HEX}base64.first.malware:0:*:</code>
 +
 +Повинно вийти щось, схоже [[https://github.com/Djalin/clamav.bases/blob/master/djsigs.ndb | на це
 +]]
 +
 +Тепер потрібно скопіювати цей файл в теку з базами
 +
 +Зазвичай це <code>/var/lib/clamav/</code>
 +
 +Готово - тепер можна просканувати усю теку й дізнатись де ще є цей же вірус. 
 +
 +
  
 ===== Maldet ===== ===== Maldet =====
Рядок 78: Рядок 117:
  
  
-===== grep =====+===== Find =====
  
 ===== SPAM ===== ===== SPAM =====
server/bezpeka/zlovmisni_skripti.1502565985.txt.gz · Востаннє змінено: повз Юрій