|
|
|
|
アンチウィルスソフトClam AntiVirusを導入する |
|
● |
ClamAVのインストール |
|
|
|
■インストール
# apt-get update
# apt-get upgrade パッケージを最新に更新
# apt-get install clamav ClamAVをインストール
|
|
|
|
|
|
● |
ClamAV設定 |
|
|
|
■設定ファイル編集
# vi /etc/clamd.conf
#Example #を追加してコメントアウト
FixStaleSocket yes #を削除(ClamAV起動失敗対応)
TCPSocket 3310 #を削除(ClamAV起動失敗対応)
TCPAddr 127.0.0.1 #を削除(ClamAV起動失敗対応)
編集終了 保存
# vi /etc/freshclam.conf
#Example #を追加してコメントアウト
UpdateLogFile /var/log/clamav/freshclam.log #を削除と変更(clamav追記)
PidFile /var/run/clamav/freshclam.pid #を削除と変更(clamav追記)
編集終了 保存
|
|
|
|
|
|
● |
ウィルス定義ファイル更新 |
|
|
|
# freshclam
ClamAV update process started at Mon Jun 16 15:51:00 2014
Downloading main.cvd [100%]
main.cvd updated (version: 55, sigs: 2424225, f-level: 60, builder: neo)
Downloading daily.cvd [100%]
daily.cvd updated (version: 19104, sigs: 993582, f-level: 63, builder: neo)
Downloading bytecode.cvd [100%]
bytecode.cvd updated (version: 241, sigs: 46, f-level: 63, builder: dgoddard)
Database updated (3417853 signatures) from database.clamav.net (IP: 120.29.176.126)
|
|
|
|
|
|
● |
/rootのスキャンテスト |
|
|
|
# clamscan --infected --remove --recursive /root/
----------- SCAN SUMMARY -----------
Known viruses: 3412357
Engine version: 0.98.3
Scanned directories: 3
Scanned files: 16
Infected files: 0
Data scanned: 0.10 MB
Data read: 0.06 MB (ratio 1.73:1)
Time: 6.739 sec (0 m 6 s)
感染ファイルはありませんでした
テスト用の無害なウィルスを2個ダウンロード
# wget http://www.eicar.org/download/eicar.com.txt
# wget http://www.eicar.org/download/eicar.com
再度/rootのスキャンテスト
# clamscan --infected --remove --recursive /root/
/root/eicar.com: Eicar-Test-Signature FOUND
/root/eicar.com: Removed.
/root/eicar.com.txt: Eicar-Test-Signature FOUND
/root/eicar.com.txt: Removed.
----------- SCAN SUMMARY -----------
Known viruses: 3412357
Engine version: 0.98.3
Scanned directories: 3
Scanned files: 18
Infected files: 2 2個検出
Data scanned: 0.10 MB
Data read: 0.06 MB (ratio 1.73:1)
Time: 6.737 sec (0 m 6 s)
テスト用のウィルス感染ファイル2個検出した
|
|
|
|
|
|
|
|
|
|
● |
デーモン起動用のスクリプトの作成と自動起動設定 |
|
|
|
ディレクトリ移動
# cd /etc/rc.d/init.d/
【Vine Linuxで自宅サーバー】様からデーモン起動用スクリプトをDL
# wget http://vine.1-max.net/rpm/clamd
# vi /etc/rc.d/init.d/clamd DLしたファイルを確認する
確認したらファイルを閉じる
スクリプトに実行権限を与える
# chmod 755 /etc/rc.d/init.d/clamd
clamdを起動
# /etc/rc.d/init.d/clamd start
ClamAV Daemon を起動中: [ OK ]
自動起動設定
# chkconfig clamd on
自動起動確認
# chkconfig --list clamd
clamd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
ランレベル3〜5がonか確認する
|
|
|
|
|
|
|
|
|
|
● |
ウィルス・データベースの更新、サーバーのウィルススキャンを自動化 |
|
|
|
実行スクリプト作成
# vi ClamAV.sh
#!/bin/sh
LOG='/var/log/ClamAV.log'
freshclam > $LOG
clamscan --remove -r / >> $LOG 2>&1
grep " FOUND" $LOG
編集終了 保存
実行権限を与える
# chmod 700 ClamAV.sh
Cronに自動実行登録
# crontab -e
毎日3時20分にスクリプト実行するよう記述
20 03 * * * /root/ClamAV.sh
編集終了 保存
Cronを再起動
# /etc/rc.d/init.d/crond restart
crondを停止中: [ OK ]
crondを起動中: [ OK ]
これでウィルスデータベースの更新とウィルススキャンが実行される。
|
|
|
|
|
|
|
|
|
|
● |
パッケージ更新の自動化 |
|
|
|
セキュリティホールを無くすためにcronを編集してパッケージの更新を自動で行うようにする |
|
|
|
# vi /etc/crontab
以下を追記する
10 4 * * * root apt-get update && apt-get -y upgrade
編集終了 保存
|
|
|
|
|
|
chkrootkitの導入 |
|
rootkitとはサーバーに不正侵入を行ったハッカーが侵入を隠蔽する為のログ改ざんツールです。
chkrootkitはこのようなrootkitを検出してくれるツールです。 |
|
|
|
chkrootkitのダウンロード
# wget http://jp.chkrootkit.org/download/chkrootkit.tar.gz
Linux機からのダウンロードが、どうしてもうまく行かなかったのでWindows機からダウンロードしてLinux機rootにアップロードした。
# tar zxvf chkrootkit.tar.gz 展開
# cd chkrootkit-0.50 展開されたディレクトリに移動
# make sense インストール
エラー発生@/@!!
cc -static -o strings-static strings.c
/usr/bin/ld: cannot find -lc
collect2: ld はステータス 1 で終了しました
make: *** [strings-static] エラー 1
いろいろ調べてみると。。
どうも、glibc-staticをインストールすればいいらしい
と言うことで。。。glibc-staticをインストール
# apt-get install glibc-static
再度インストールを試みる
# make sense
cc -static -o strings-static strings.c
cc -o chkutmp chkutmp.c
うまく行ったらしい^^;
スキャンしてみる
# ./chkrootkit
ROOTDIR is `/'
Checking `amd'... not found
・
・
・
Checking `OSX_RSPLUG'... not infected
rootkitが検出されなければ「not infected」と表示される
検出された場合は「INFECTED」と表示される
# cd /rootに戻る
# mv chkrootkit-0.50 /usr/local/bin/rootkit リネームしてディレクトリを移動
# rm -rf chkrootkit.tar.gz ダウンロードしたファイルを削除
|
|
|
|
|
|
● |
自動実行設定 |
|
|
|
# vi rootkit.sh
以下を入力する
#!/bin/sh
rootkit='/usr/local/bin/rootkit/chkrootkit'
LOG='/var/log/chkrootkit.log'
DISCOVERY='discovery'
$rootkit > $LOG
grep "INFECTED" $LOG > $DISCOVERY
if [ -s $DISCOVERY ];
then
cat $DISCOVERY|mail -s "rootkit discovery" root
fi
chmod 600 $LOG
rm -f $DISCOVERY
編集終了 保存
# chmod 700 rootkit.sh 実行権を与える
Cronの編集
# crontab -e
以下を追記する
00 02 * * * /root/rootkit.sh 毎日02:00分にスクリプトが実行される
編集終了 保存
cron再起動
# /etc/rc.d/init.d/crond restart
crondを停止中: [ OK ]
crondを起動中: [ OK ]
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|