开源网站云查杀方案,搭建自己的云杀毒 -搭建ClamAV服务器

开源网站云查杀方案,搭建自己的云杀毒

搭建ClamAV服务器

1        前言:

在上一篇我们已经演示了整个方案,传送门《开源网站云查杀方案,搭建自己的云杀毒》:https://www.cnblogs.com/dengjiahai/p/12437360.html#4514940。接着我就写一个文章来演示如何搭建ClamAV服务器,开始之前,我先说说关于陆陆续续收到一些同行的交流对话和疑问的这个问题,发表一些我个人的见解和看法:

 

  1. 在服务器安装杀软它不香嘛?为甚搞那么复杂?

答:的确,在服务器直接安装杀软也是一种防护方案。我们之所以弄了这个东西,肯定是因为杀软有一些地方满足不了我们的要求。我简单的说说我们能想到的应用情形。如果你看完了,觉得该方案对你有帮助,那么你可以继续往下探讨,如果你觉得毫无意义。那么说明这个东西满足不了你们,可以不用往下看了。

 

首先,来个简单的例子说明我们应用的情形。我们要做的其实就是类似VirSCAN这个网站的一些功能:传送门:https://www.virscan.org/antivirusvendor/clamav

 

 

我们要主要是考虑到一下几个方面,所以做出了这个选择。

• 我们主要是扫描,而不是为了杀毒,简单的说,我们是想从源头上面去防护。而不是等病毒入侵了,我们才去杀毒。你要知道,我们这个方案是不杀毒的,只是扫描病毒。根据clamav的解释,杀毒对于上传附件来说是毫无意义的,因为它既然检查出来病毒,把一些关键的文件杀掉了,剩下的文件应该也不能用了,即使能用,你信得过嘛?

• 我们在实验中发现,部分压缩包病毒下载到服务器,杀软居然不去扫描,手动一扫,病毒就出来了,具体什么原因我也不了解,当然不排除我设置的不对,但是我都安装的时候都是直接默认的。还有就是杀软往往清楚病毒还要重启才能清楚干净,很多时候,你体检电脑完了,杀软是不是提醒你重启电脑?

•有密码的压缩包应该是没有办法扫描的,但是我们上传附件的时候,我们是在流文件里面用密码打开压缩包,然后去扫描,是不是安全很多。而不是等用户直接在服务器解压到本地才触发杀软。

•  还有就是,杀软无法即使把杀毒情况反馈给用户,我们考虑这个方案的时候,主要是考虑附件上传的情况,如果说我是用户,并且我是无意去攻击的,然后我却发现,我上传了附件之后,系统提示我成功了,好,然后我安心的去干其他事情了,然后服务器才会去杀毒。把文件干掉。这个时侯用户完全不知情啊。我的东西为什么没了呢,你看像很多邮箱上传附件,都会立即查杀,并告知你结果,如果查杀不通过,不会给你发送的。

•  杀软还有一个局限是必须安装在本地服务器,假如服务器压力很大,杀毒扫描据我所知也比较耗费性能,据我以前的旧电脑的体验,特别是内存不是很足的时候,在线看视频,电脑很卡,把杀软推出后,居然快了很多。所以我们就用这个分布式部署的方案,单独一个服务器扫描。

•  ClamAV的®是邮件网关扫描软件的开源标准。

•  高性能,ClamAV包括一个多线程扫描程序守护程序,用于按需文件扫描和自动签名更新的命令行实用程序。

•   ClamAV支持多种文件格式,文件和存档解压缩以及多种签名语言。

•   开源

 

我们主要是考虑以上情形。工作原理我们主要是

 

 

 

 

 

如果看完了上边的,你觉得该方案对你有用,那么你可以继续关注,倘若该方案对你而言毫无意义。那么你可以无需看后面的了。

 

2        准备工作

ClamAV官网:https://www.clamav.net/

ClamAV文档:https://www.clamav.net/documents/clam-antivirus-user-manual

ClamAV 源码:https://github.com/Cisco-Talos/clamav-devel

目前最新版是0.102.2.我关注过官方,最近一直有更新维护的,而且挺频繁的。

 

 

 

 

2.1        ClamAV服务器要求

操作系统:我演示使用的是windows 10.(官方支持很多系统Unix / Linux / macOS/ Debian/ Ubuntu/Redhat/CentOS)等,源码是开源的,如果不支持,自行编译。

硬件配置:要求很低,感觉绝大部分电脑都能支持,至于在生产环境,则要根据自己的使用情况具体分配资源。

3        安装服务

官方文档应该自己看一遍,有个整体了解。

第一步,我们先去官网下载安装包或者压缩包。如果是下载安装包,则界面安装的方式安装。如果是压缩包,则解压到响应的目录即可。我演示的是使用ClamAV Windows Installer进行安装。首先下载安装包,下载地址: http : //www.clamav.net/downloads/production/ClamAV-0.102.1.exe。可能网络比较慢,如果网络太慢可能需要跳板下载。我公司的测试网络还是可以的。

 

右键单击ClamAV-0.102.1.exe并选择以管理员身份运行,切记要用管理员身份,否则可能安装失败,或者运行不正常。您可能会收到“ Windows保护您的PC”的警告消息。选择更多信息,然后选择总是允许。

 

 

 

 

 

选择I accept the agreement并单击Next。

 

 

   

 

 

 

 

 

 

 

 

 

 

Next再点击一次。如果您删除了以前安装的ClamAV,则可能会收到提示“文件夹...已存在...”。如果这样做,请选择Yes。点击Install。就开始安装。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

到此,ClamAV服务器就安装完成了。

 

4        配置

首先我们要把conf_examples文件夹里面的clamd.conf.sample和freshclam.conf.sample两个文件复制到根目录外面,并用记事本或者文本编辑工具打开配置文件。

首先看clamd.conf文件

找到Example 这一行。把它注释掉。否则运行会报错。

 

接着找到以下几行,把前面的注释(#)去掉

#LogFile "C:\Program Files\ClamAV\clamd.log"

 

 

 

  

 

#PidFile "C:\Program Files\ClamAV\clamd.pid"

 

 

  

配置数据库,我这里是默认路径,如果你需要更高数据库路径自行设置对应的盘符目录。后面需要把病毒库放在这里。

#DatabaseDirectory "C:\Program Files\ClamAV\database"

 

设置服务器端口,默认3310端口

#TCPSocket 3310

设置监听地址,可以设置多个地址。支持IPv6

#TCPAddr 127.0.0.1

这些是必须的配置,更多其他配置请自己根据配置文件的说明,按需开启。

 

接着配置freshclam.conf,这个主要是对病毒库的更新。

#注销Example 一行

 

#DatabaseDirectory "C:\Program Files\ClamAV\database"

#UpdateLogFile "C:\Program Files\ClamAV\freshclam.log"

#DatabaseMirror database.clamav.net

 

#PidFile "C:\Program Files\ClamAV\freshclam.pid"

 

病毒库地址,如果自己搭建镜像,则可以使用自己的镜像。

#DatabaseCustomURL http://myserver.example.com/mysigs.ndb

 

其他配置请自己按需开启。注意最好能及时的更新病毒库,否则新型病毒无法扫描出来。

 

5        使用

5.1    安装病毒库

在服务安装目录下面按ctrl +鼠标右键,在此处打开命令窗口,主要要用管理员打开,如果你打开的不是管理员身份,可以通过windows键,查找cmd,然后右键->管理员身份运行。进入到服务安装目录,执行 freshclam.exe.等待安装完成。

安装完成打开database文件夹。会看到三个病毒库。

 

如果你的服务器网络不通,可以自己搭建镜像,亦或自己手动下载病毒库。地址:https://www.clamav.net/downloads#collapseCVD

 

下载完成放到database里面去。

 

 

病毒库默认12小时更新一次,如果需要更改,自行更改配置文件。

 

5.2    使用服务

Clamscan

扫描指定位置的文件。如下是扫描了一个a.zip 文件。发现了一个病毒

 

 

 有太多选项无法在此处列出所有选项。因此,我们将仅介绍一些常见且更有趣的内容:

 

--log=FILE -将扫描报告保存到FILE

--database=FILE/DIR -从FILE加载病毒数据库或从DIR加载所有受支持的db文件

--official-db-only[=yes/no(*)] -仅加载官方签名

--max-filesize=#n -大于此大小的文件将被跳过并认为是干净的

--max-scansize=#n -每个容器文件要扫描的最大数据量

--leave-temps[=yes/no(*)]-不要删除临时文件

--file-list=FILE -从FILE扫描文件

--quiet -仅输出错误消息

--bell -检测病毒的声音

--cross-fs[=yes(*)/no] -扫描其他文件系统上的文件和目录

--move=DIRECTORY -将受感染的文件移至目录

--copy=DIRECTORY -将受感染的文件复制到目录中

--bytecode-timeout=N -设置字节码超时(以毫秒为单位)

--heuristic-alerts[=yes(*)/no] -切换启发式警报

--alert-encrypted[=yes/no(*)] -提醒加密的档案和文件

--nocerts -在PE文件中禁用Authenticode证书链验证

--disable-cache -禁用对扫描文件的哈希和进行缓存和缓存检查

 

Clamdscan

需要启动clamd服务,扫描速度快;
若不使用-r 参数指定路径,默认递归扫描子目录;

 

定时杀毒

#定制任务计划,凌晨3:00开始更新病毒库,3:30开始杀毒,扫描/home目录以及子目录文件,将扫描出来的病毒文件直接删除,并保存杀毒日志

 

签名测试与管理

许多工具可用于测试和管理签名。值得注意的是以下内容:

 

clambc -专门用于测试字节码

sigtool -用于一般签名测试和分析

freshclam -用于将签名数据库集更新为最新版本

 

还有更多的更能就不一一列举,如果我都全部列举了,那么跟翻译官方文档有什么区别。而且不是我们本文的关键。

 

如果上面的用法你都不会,那么没关系,我们都可以不用,但是,下面的用法一定要会,因为直接决定我们的方案成功与否

clamd是一个多线程守护程序,它使用libclamav扫描文件中的病毒。可以通过修改将扫描行为完全配置为适合大多数需求clamd.conf。

 

由于clamd需要一个病毒库运行,我们建议运行之前设置的ClamAV的官方签名clamd使用freshclam。

 

该守护程序通过侦听在中指定的套接字上的命令来工作clamd.conf。Unix本地套接字和TCP套接字都支持侦听。

 

重要说明: clamd当前不保护或认证通过TCP套接字的通信,这意味着它将接受来自任何来源的任何以下所有命令。因此,我们强烈建议您在设置clamd实例时遵循最佳联网实践。即不要将您的TCP套接字暴露给Internet。

 

这是clamd套接字接受的命令的快速列表。

 

PING

VERSION

RELOAD

SHUTDOWN

SCAN 文件/目录

RAWSCAN 文件/目录

CONTSCAN 文件/目录

MULTISCAN 文件/目录

ALLMATCHSCAN 文件/目录

INSTREAM

FILDES

STATS

IDSESSION, END

与大多数ClamAV工具一样,您可以通过调用以下命令来查找有关这些工具的更多信息:

 

上面一段是直接翻译官方的,是不是看的蒙?看不懂也没关系。你只要会一句命令就行了。

Clamd

在服务根目录用管理员打开cmd,输入Clamd.exe或者Clamd

 

如图所示就是已经成功启动服务了,然后就可以去我们的代码调试了。通过WebAPI,我们可以看到ClamAV 的版本。这就说明方案也使用成功了。然后你就可以愉快的实现自己的云杀毒业务了。

 

6        常见问题排查

  • 启动服务失败?防火墙是不是禁止端口?
  • 启动服务失败?是否用管理员安装?
  • 扫描病毒文件总是提示没有病毒?可能改病毒没有录入,也有可能你没有拉病毒库?
  • 启动服务失败?配置文件是否配置好?
  • 程序连接不上杀毒服务器?IP和端口是否一致?

 

代码已经开源,代码托管到Gitee。传送门:https://gitee.com/Jesai/JESAI.ClamAV.NetScanner.git

posted @ 2020-03-09 01:10  Jesai  阅读(3632)  评论(1编辑  收藏  举报