ติดตั้ง ClamAV ให้กับ Directadmin เสริมทัพด้วย rule พิเศษ


ด้วยโฮสติ้งที่เปิดให้บริการอยู่ มีหลายเว็บที่ทำด้วย CMS และธรรมดาที่ CMS เหล่านี้จะมีช่องโหว่ ทำให้ผู้ไม่หวังดีมีแอบทำมิดีมิร้ายกับเว็บลูกค้าเรา เช่น ฝังสคริปบ้าง ใช้โจมตีเว็บชาวบ้านบ้าง เฮ้ย!! แบบนี้ไม่ได้สิ เราเป็นเจ้าของเซิร์ฟเวอร์ จะให้คนอื่นมาทำแบบนี้มิด้ายยยยยยย ต้องหาตัวช่วยยยยยยยยย

โฮสผมใช้ Directadmin เป็น Control panel ก็เคยค่อนข้างสะดวกที่จะติดตั้งเครื่องมือช่วยนี้ สั่ง build จาก Custombuild ของ Directadmin ได้เลย เมื่อพร้อมแล้ว…เริ่ม!!

SSH เข้าเซิร์ฟเวอร์ให้เรียบร้อย จากนั้นก็ copy คำสั่งไปรันได้เลย

cd /usr/local/directadmin/custombuild
./build update
./build set clamav yes
./build clamav

เสร็จสิ้นการติดตั้งครับ จากนั้นก็ปรับแต่งนิดหน่อย

เปลี่ยน Mirror สำหรับอัพเดทฐานข้อมูลของ ClamAV (อันเดิมมันช้าเหลือเกิน) โดยการเปิดไฟล์ /etc/freshclam.conf แล้วมองหา DatabaseMirror ใส่คอมเม้นท์บรรทัดนี้ไว้ครับ จากนั้นสั่งคำสั่งนี้ลงไป

DatabaseMirror clamav.sran.net

จากนั้นเพิ่ม Rules จาก rfxn สำหรับค้นหา PHP Shell / Backdoor เข้าไปในไฟล์เดิมนั่นแหละ ก็จะได้ประมาณนี้

DatabaseCustomURL http://www.rfxn.com/downloads/rfxn.ndb
DatabaseCustomURL http://www.rfxn.com/downloads/rfxn.hdb

จากนั้นก็อัพเดท rule สักหน่อย ด้วยคำสั่ง “freshclam” (ไม่ต้องใส่เครื่องหมายฟันหนูเด้อ copy คำสั่งไปโล้ด)

มาทดสอบการสแกน รันด้วยคำสั่ง “clamscan -ri –move=/tmp/virus /home” ความหมายก็คือ สแกนที่พาร์ท /home ถ้าเจอไฟล์ต้องสงสัยก็ให้ย้ายไฟล์ไปไว้ที่ /tmp/virus

สแกนเสร็จก็จะสรุปผลให้เราทราบ หรือจะมาถูกว่ามีไฟล์อะไรบ้างที่ถูกจับแยกมาขังไว้

หรือถ้าใครอยากตั้งเวลาให้สแกนแบบอัตโนมัติ ก็ลองทำตามนี้ครับ

จากตัวอย่าง ผมตั้งให้ระบบทำการสแกนพาร์ท /home ทุกวันเวลา 2.30น. หากต้องการเปลี่ยนเวลาสแกนก็ปรับแก้ตามต้องการนะครับ

จากที่ได้ใช้งานมา สำหรับผมแล้วเป็นที่น่าพอใจ ถึงแม้จะไม่ 100% แต่ก็น่าจะมากกว่า 90% ความเร็วในการสแกนก็ขึ้นอยู่กับจำนวนไฟล์ที่อยู่ในพาร์ทที่เราสแกนครับ ไฟล์เยอะก็สแกนนานหน่อย แต่ถ้าเซิร์ฟเวอร์แรงก็ไม่น่าห่วง

 

แสดงความคิดเห็น

ความเห็น