■またも、日付変更前にネタを作ってしまった。。。 ■Debian Lennyにclamavを導入 日本語の情報は以下を参照 参考:ClamAVのページ http://clamav-jp.sourceforge.jp/ ■「clamav-daemon」のインストール $ sudo apt-get install clamav-daemon ~省略~ Starting ClamAV daemon: clamd LibClamAV Warning: ************************************************** LibClamAV Warning: *** The virus database is older than 7 days! *** LibClamAV Warning: *** Please update it as soon as possible. *** LibClamAV Warning: ************************************************** ■定義ファイルの更新 $ su root -c '/etc/init.d/clamav-freshclam stop && freshclam && /etc/init.d/clamav-freshclam start' パスワード: Stopping ClamAV virus database updater: freshclam. ClamAV update process started at Wed Feb 1 21:54:40 2012 main.cvd is up to date (version: 54, sigs: 1044387, f-level: 60, builder: sven) daily.cvd is up to date (version: 14384, sigs: 80615, f-level: 63, builder: guitar) bytecode.cvd is up to date (version: 164, sigs: 40, f-level: 63, builder: edwin) Starting ClamAV virus database updater: freshclam. ■定義ファイル更新ログの確認 $ sudo cut -c 29- /var/log/clamav/freshclam.log -------------------------------------- freshclam daemon 0.97.3 (OS: linux-gnu, ARCH: x86_64, CPU: x86_64) ClamAV update process started at Wed Feb 1 21:54:42 2012 main.cvd is up to date (version: 54, sigs: 1044387, f-level: 60, builder: sven) daily.cvd is up to date (version: 14384, sigs: 80615, f-level: 63, builder: guitar) bytecode.cvd is up to date (version: 164, sigs: 40, f-level: 63, builder: edwin) -------------------------------------- ■clamavのログの確認 $ sudo cut -c 29- /var/log/clamav/clamav.log | grep -i archive Archive support enabled. ■テストスキャン(初期状態/ウイルス無し) $ su root -c 'clamscan --infected --remove --recursive /tmp' ----------- SCAN SUMMARY ----------- Known viruses: 1123752 Engine version: 0.97.3 Scanned directories: 7 Scanned files: 5 Infected files: 0 Data scanned: 0.02 MB Data read: 0.01 MB (ratio 2.00:1) Time: 4.548 sec (0 m 4 s) ■テストウイルス(EICAR)を「/tmp」に配置。 ※「Microsoft Security Essentials」ですら、検知します。 既存のアンチウイルス等がブロックして0バイトのファイルになっていないか確認します。 どうしてもうまくいかない場合は、「INTENDED USE」から68バイト分コピペして保存します。 参考:EICARを使ったウイルス対策ソフトの動作確認 http://lhsp.s206.xrea.com/misc/eicar.html 参考:INTENDED USE http://www.eicar.org/86-0-Intended-use.html< $ cd /tmp;sudo wget http://www.eicar.org/download/eicar_com.zip $ du -k eicar_com.zip 4 eicar_com.zip $ md5sum eicar_com.zip 6ce6f415d8475545be5ba114f208b0ff eicar_com.zip ■「/tmp」以下をスキャンし、テストウイルス(EICAR)が削除されたことを確認。 $ su root -c 'clamscan --infected --remove --recursive /tmp' パスワード: /tmp/eicar_com.zip: Eicar-Test-Signature FOUND /tmp/eicar_com.zip: Removed. ----------- SCAN SUMMARY ----------- Known viruses: 1123752 Engine version: 0.97.3 Scanned directories: 7 Scanned files: 6 Infected files: 1 Data scanned: 0.02 MB Data read: 0.01 MB (ratio 2.00:1) Time: 4.531 sec (0 m 4 s) ■定義ファイルの更新は「freshclam」デーモンが行う $ ps -ef |head -1;ps -ef | grep freshclam | grep -v grep UID PID PPID C STIME TTY TIME CMD clamav 4114 1 0 22:17 ? 00:00:01 /usr/bin/freshclam -d --quiet ■定義ファイルの更新頻度のデフォルトは1日。 $ grep ^Checks -B 1 /etc/clamav/freshclam.conf # Check for new database 24 times a day Checks 24 ■ウイルスチェックの自動化 $ sudo vim clamcheck.sh $ sudo cat clamcheck.sh #!/bin/bash CHECKDATE=`date '+%Y/%m/%d %H:%M'` MAILFQDN=`hostname -f` MAILUSER=root CHECKDIR="/tmp /home /var" CHECKLOG="/var/log/clamav/scan_summary.log.`date '+%Y%m%d'`" CHECKMSG="clamav check ${CHECKDATE}" # root check if [ `id -u` -eq "0" ];then echo "${CHECKMSG}" >> "${CHECKLOG}" else echo "You must be root to run $0" exit 1 fi for list in ${CHECKDIR};do clamscan --infected --remove --recursive ${list} >> ${CHECKLOG} cat "${CHECKLOG}" | mail -s "${CHECKMSG}" ${MAILUSER}@{MAILFQDN} exit 0 done unset CHECKDATE MAILFQDN MAILUSER CHECKDIR CHECKLOG CHECKMSG $ sudo chmod +x clamcheck.sh $ ./clamcheck.sh You must be root to run ./clamcheck.sh $ sudo ./clamcheck.sh $ sudo tail -f /var/log/clamav/scan_summary.log.20120201 ----------- SCAN SUMMARY ----------- Known viruses: 1123752 Engine version: 0.97.3 Scanned directories: 7 Scanned files: 6 Infected files: 0 Data scanned: 0.02 MB Data read: 0.01 MB (ratio 2.00:1) Time: 4.532 sec (0 m 4 s) ■メールで「scan_summary.log.yyyymmdd」の報告を確認し、 一時間に一回実行するようにする $ sudo mv clamcheck.sh /etc/cron.hourly/ ■上記の成功を確認し、一日に一回に変更する。 $ sudo mv /etc/cron.hourly/clamcheck.sh /etc/cron.daily/