ClamAv: простейшее сканирование сайта на вирусы

ClamAv неплохо справляется с поиском шеллов и вирусов на сайтах. Однажды он помог мне обнаружить залитый шелл на сайт с вордпресс. Проблема оказалась в каком-то плагине, но это уже выходит за рамки статьи. :)

Прежде всего нужно будет установить ClamAv:

aptitude install clamav

После установки обязательно обновите вирусные базы, напечатав в консоли команду freshclam. Отобразится результат обновления.

root@localhost:~# freshclam
ClamAV update process started at Wed Jul 16 11:08:02 2014
main.cvd is up to date (version: 55, sigs: 2424225, f-level: 60, builder: neo)
Downloading daily-19193.cdiff [100%]
daily.cld updated (version: 19193, sigs: 1082296, f-level: 63, builder: neo)
bytecode.cld is up to date (version: 242, sigs: 46, f-level: 63, builder: dgoddard)
Database updated (3506567 signatures) from db.local.clamav.net (IP: 194.186.47.19)

По истечении процесса обновления, можно запустить сканирование. Команда проста:

clamscan -i -r /path/to/site

Ключ -i отображает в отчёте о проверке информацию только о заражённых файлах.

Ключ -r укажет сканеру, что нужно сканировать каталоги рекурсивно.

При использовании данной команды, результат сканирования будет отображён в консоли. Если файлов много, а следить за консолью нет времени (или желания :) ), то можно запустить сканирование в оболочке Screen.

В случае необходимости, установите его:

aptitude install screen

Запускается сканирование в этом случае следующим образом:

screen -A -m -d clamscan -i -r -l clamlog.txt

Ключи -A -m -d для screen запускают сессию свёрнутой. Для разворачивания окна screen используется команда screen -r.

Свернуть окно с процессом сканирования можно нажатием сочетания клавиш ctrl+a+d.

Ключ сканера -l, который запишет лог сканирования в текстовый файл, имя которого нужно указывать сразу после ключа. Информация о найденных уязвимостях не будет отображена на экране консоли при использовании screen, поскольку с завершением сканирования screen также завершает свою работу.

Можно также просканировать файлы из списка. Для этого нужно указать ключ -f и файл, содержащий список файлов для проверки.

Как вы оцените статью?
Звёзд: 1Звёзд: 2Звёзд: 3Звёзд: 4Звёзд: 5 (2 оценок, среднее: 5,00 из 5)
Загрузка...

3 Комментарии “ClamAv: простейшее сканирование сайта на вирусы

  1. Насчёт screen!

    В консоли:

    screen -t namescreen

    Создаст новый скрин, и автоматически зайдёт в него! Что-бы выйти не прекращая его рабооты нужно нажать Ctr+A+D

    screen -list

    Выведет список запущеных скринов :D

    Что-бы зайти в работающий скрин нужно

    screen -r 31289.pts-0.namescreen

    Тут естейственно id скрина будет друго

    Это я к тому, что можно не писать результат в файл, а просто напросто переодически заглядывать в работающий screen.

    1. Запущенная проверка в screen не сохраняет результаты. То есть, не получится сделать по типу «запустил и ушёл делать что-то другое». Проверка может закончиться раньше предполагаемого срока, а результат будет неизвестен, так как screen тоже завершит свою работу. :)

      1. не обязательно, если изначально создать скрин командой screen -S clam
        После уже в открытом скрине запустить команду.
        В таком случае все будет ок=)

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *