杀毒软件包clamav部署,为你的系统安全保驾护航。
1.yum安装依赖就软件包:
# yum install gcc openssl openssl-devel pcre pcre-devel clamav clamd -y
2.升级病毒库:
#/usr/bin/freshclam
3.修改一下配置文件/etc/freshclam.conf
内容为:
DatabaseDirectory /var/lib/clamav
UpdateLogFile /var/log/clamav/freshclam.log
DatabaseOwner clam
DatabaseMirror db.cn.clamav.net
DatabaseMirror db.local.clamav.net
4.更新病毒库again
# /usr/bin/freshclam
5.查看更新情况:
# ll /var/lib/clamav/
其中daily.cld与daily.cvd相同,只不过daily.cvd是个压缩文件,而daily.cld不是。
freshclam会判断自从上一次检测后是否有新的更新,如果有则会下载diff文件,如果下载diff文件,则会下载一个最新的daily.cvd。
Clamav会添加一个每天执行的定时任务/etc/cron.daily/freshclam,每天更新病毒库文件。
6.修改一下rsyslog的配置,添加:
local6.notice /var/log/clamav.log
7.restart rsyslog:
# service rsyslog restart
8.执行扫描
# /usr/bin/clamscan --infected -r /tmp -i | logger -it clamd -p local6.notice
9.查看clamav.log是否有内容
# cat /var/log/clamav.log
10.ossec监控此日志文件
# vim /var/ossec/etc/ossec.conf
添加如下内容:
syslog
/var/log/clamav.log
11.重启ossec服务:
# /var/ossec/bin/ossec-control restart
12.木马测试
放一个木马到/tmp/目录,然后读这个目录扫描
执行第8步。
13.查看日志
#tail -n 10 /var/ossec/logs/alerts/alerts.log
则有发现木马信息日志输出
14.配置定时执行扫描脚本,按照一定周期定时执行此脚本
#!/bin/bash
WHITEDIR="^/proc/|^/sys/|^/data|^/test|/upload|^/mnt"
ps axu | grep clamscan | grep -v grep > /dev/null
if [[ $? == 0 ]]; then
exit
fi
NFSDIR=`df -h | egrep '(^10\.|^192\.)' | awk '{print $6}' | sed 's/^/^/' | xargs | sed 's/ /|/g'`
if [[ -n $NFS ]]; then
WHITEDIR="${WHITEDIR}|${NFSDIR}"
fi
COMMAND="/usr/bin/clamscan -i --exclude-dir='${WHITEDIR}' -r / | logger -it clamd -p local6.notice"
if [ -f "/usr/bin/clamscan" ];then
eval $COMMAND &
fi