clamAntiVirus(clamAV)　はLinuxで利用できる

オープンソースのアンティウィルスソフトです。

基本的な機能としては

ウィルス定義ファイルを定期的にダウンロードできる

sendmailでメールのウイルスチェックができる

などです。

clamAntiVirusの取得

公式サイトからのリンクで
Sorceforgeにのダウンロードページに行くことができるので
適当なミラーサイトから任意のディレクトリにダウンロードします。

今回は clamav-0.95.2.tar.gz を使用して実装していきます。

事前準備

clamavはインストールする前に
「clamav」という名前のユーザとグループを作成しておく必要があります。

#groupadd clamav
#useradd -g clamav -s /bin/false clamav

展開＆コンパイル&インストール

それではインストールです。
特に変わったことはしない素直なインストールで問題ありません。

tar zxvf clamav-0.95.2.tar.gz
cd clamav-0.95.2
./configure --prefix=/usr/local/clamav
make
make install

これでインストール完了です。

設定

【ウイルスDBのアップデート】
皆さんが利用しているアンチウイルスでも
定義ファイル、パターンファイルを日々アップデートしていることと思いますが
clamavも例に漏れずというか当然
パターン（clamavではVirusDBと呼ぶ）をアップデートしておく必要があります。

インストールが正常に完了したら
まず、二つの設定ファイル

vi /usr/local/clamav/etc/freshclam.conf
vi /usr/local/clamav/etc/clamd.conf

をエディタで開き
Exampleと書かれた行をコメントアウトし、保存します。

#Example

「freshclam」を使用してVirusDBをアップデートしましょう。

/usr/local/clamav/bin/freshclam

アップデートが完了したら早速スキャンを行いたいところですが
検出されないファイルをスキャンしても「OK」と出るだけなので
eicarからテストファイルをダウンロードしておきましょう。

cd /usr/local/clamav/bin/

wget http://www.eicar.org/download/eicar.com

テストスキャン

それではいざスキャンです。
eicarからダウンロードしてきたファイルを単体でスキャンします。

/usr/local/clamav/bin/clamscan ./eicar.com
./eicar.com: Eicar-Test-Signature FOUND

----------- SCAN SUMMARY -----------
Known viruses: 630647
Engine version: 0.95.2
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 0.00:1)
Time: 2.354 sec (0 m 2 s)

うまく検出されました。
ファイル単体ではなくディレクトリ単位で指定することも可能です。

/usr/local/clamav/bin/clamscan スキャンしたいディレクトリ

ウィルススキャン

システム全体をスキャンする

# /usr/local/clamav/bin/clamscan -r /

スキャンするディレクトリを指定する場合は以下のコマンドを実行。
例では/home以下のみをスキャンする。

# /usr/local/clamav/bin/clamscan -r /home

設定例 特定のディレクトリやファイルを除外して検索する場合 –exclude　（ファイル指定）
–exclude-dir　（ディレクトリ指定）上記を踏まえて。。

/etc/ 以下と /var/ 以下を除外する場合。

# clamscan -r / –exclude-dir=”etc|var”
*.core という拡張子と *.snap という拡張子が付くファイルを除外する場合。

■特定のディレクトリをスキャンする

/usr/local/clamav/bin/clamscan -r /usr/local/apache/htdocs

clamscanコマンド
オプション　     説明
–infected                         ウィルスに感染したファイルのみ出力する
–disable-summary　     サマリーを出力しない
–remove　                         ウィルスに感染したファイルを削除する
–move=DIRECTORY　         ウィルスに感染したファイルを指定のディレクトリへ移動する
–force　                         エラーを無視しして強制的にスキャンを行う
–recursive　                 サブディレクトリごと再帰的に検査。圧縮ファイルは再帰的に解凍して検査

ウィルススキャン実行スクリプト

週１ぐらいで動くようCronに登録します

（検知した場合はメール）

#-------------------
### Virus Scan   ###
#-------------------
00 05 * * 0 /root/bin/virus-scan.sh

vi /root/bin/virus-scan.sh

#!/bin/sh
#################################################
# Virus scanning
#
# author 2008.10.31 s.tsukioka
#################################################

### configuration Section ###
DATE=`date +%Y%m%d`
LOG_FILE="/root/bin/virus-scan.log"
LOG_FILE2="/root/bin/virus-scan-result.log"
ADMIN=xxx@xxx.xx.xx
SCANDIR="/usr/local/apache/htdocs_ssl"

echo "/_/_/_/_/_/_/_/_/_/ Virus scanning /_/_/_/_/_/_/_/_/_/" > ${LOG_FILE}
echo "" >> ${LOG_FILE}
### VirusDB-Update Section ###
echo "### `date '+%Y/%m/%d %H:%M:%S'` VirusDB Update Start ###" >> ${LOG_FILE}
/usr/local/clamav/bin/freshclam >> ${LOG_FILE}
echo "### `date '+%Y/%m/%d %H:%M:%S'` VirusDB Update Ended ###" >> ${LOG_FILE}

### Virus Scanning Section ###
echo "-------------------------------------------------------------------------------" >> ${LOG_FILE}
echo "### `date '+%Y/%m/%d %H:%M:%S'` Virus Scan Start ###" >> ${LOG_FILE}
/usr/local/clamav/bin/clamscan -r ${SCANDIR} >> ${LOG_FILE} 2>&1
echo "### `date '+%Y/%m/%d %H:%M:%S'` Virus Scan Ended ###" >> ${LOG_FILE}
grep "FOUND" ${LOG_FILE} > ${LOG_FILE2}

### Report Mail Section ###
if [ -s ${LOG_FILE2} ]
then
mail -s "[ERR]`hostname -s` Virus-Scanning-Report" $ADMIN < ${LOG_FILE2}
else
mail -s "[NOR]`hostname -s` Virus-Scanning-Report" $ADMIN < ${LOG_FILE}
fi

]]> http://www.ststyle.net/weblog/archives/288/feed 0