linux - source - Escaneo de virus del lado del servidor
linux server antivirus (7)
Necesito escanear archivos cargados para detectar virus en un servidor Linux, pero no estoy seguro de cómo hacerlo.
¿Cuáles son mis opciones, si hay alguna? También me interesa cómo funcionan los escáneres cuando varios usuarios envían varios archivos al mismo tiempo.
Debería intentar encontrar un proveedor de antivirus que tenga una API pública para su escáner. De esta forma, puede escanear un archivo programáticamente. Hará que sea mucho más fácil a largo plazo que tratar de meterse con otros procesos a través de su script de carga.
Si le preocupa el rendimiento, considere usar clamd / clamdscan como su implementación. clamd se ejecuta como daemon, por lo que todos los costos de inicialización solo se realizan una vez. Cuando escanea un archivo con clamdscan, simplemente carga el archivo a un clamd bifurcado para realizar el escaneo real. Si tienes mucho tráfico, es mucho más eficiente.
Si tiene problemas de rendimiento más allá de eso, debe considerar el uso de un producto comercial. La mayoría de los grandes jugadores tienen versiones de Linux / Unix en estos días.
Echaré un vistazo a Clam AntiVirus . Proporciona un programa clamscan
que puede escanear un archivo determinado y devolver una indicación de aprobado / desaprobado. Es gratis y actualiza automáticamente su base de datos regularmente.
En cuanto a la integración de dicho producto en el proceso de carga de archivos, eso sería específico para cualquier proceso de carga de archivos que utilice realmente.
Aquí están mis resultados para ClamAV cuando se prueban contra virus conocidos:
[infectado] => AdvancedXPFixerInstaller.exe
[pass] => auto.exe
[pass] => cartao.exe
[infectado] => cartoes_natal.exe
[pass] => codec.exe
[pass] => e421.exe
[pass] => fixtool.exe
[infectado] => flash_install.exe
[infectado] => issj.exe
[infectado] => iwmdo.exe
[infected] => jobxxc.exe
[infectado] => kbmt.exe
[pass] => killer_cdj.exe
[pass] => killer_javqhc.exe
[infectado] => killer_rodog.exe
[infectado] => kl.exe
[infectado] => MacromediaFlash.exe
[infectado] => MacromediaFlashPlayer.exe
[infectado] => paraense.exe
[infectado] => pibzero.exe
[pass] => scan.exe
[pass] => uaqxtg.exe
[pass] => vejkcfu.exe
[infectado] => VIDeoSS.exe
[infectado] => wujowpq.exe
[pase] => X-IrCBOT.exe
El problema es que ninguno de ellos debería haber pasado.
¿Los ha ejecutado a través de escáneres comerciales? Solía ser un administrador de un producto que ejecutaba archivos a través de 4 escáneres comerciales en paralelo. Tenía un corpus de virus de prueba de varios cientos y ninguno de los escáneres comerciales podría encontrarlos a todos ...
Deberías mirar el MetaScan de opswat . Esta herramienta gestiona la actualización y el análisis de varios motores de archivos. Se combina con AVG, CA eTrust ™. ClamWin, ESET NOD32 Antivirus Engine, MicroWorld eScan Engine, Norman Virus Control y VirusBuster EDK. Además invocará a los Norton y tal. La ventaja es que obtiene múltiples motores ejecutándose contra el archivo.
Clamscan escaneará los archivos una vez que estén almacenados y no impedirá que se cargue o descargue un archivo infectado.
Tengo un squid (https + caché) <-> HAVP (con clamAV ) <-> configuración de proxy inverso de Tomcat. HAVP ( http://www.server-side.de/ ) es una forma de escanear tráfico http a través de ClamAV o cualquier otro software antivirus comercial. Evitará que los usuarios descarguen archivos infectados.
Sin embargo, no funciona durante la carga, por lo que no impedirá que los archivos se almacenen en los servidores, pero evita que los archivos se descarguen y, por lo tanto, se propaguen. Por lo tanto, úselo con un escaneo de archivos regular (por ejemplo, clamscan)