Copy & Paste ระวัง ตรง --remove=yes และ Cron ด้วยนะครับ เอาไปลองดูก่อนก็ได้
/usr/local/directadmin/custombuild/build set clamav yes
/usr/local/directadmin/custombuild/build clamav
mkdir /virus/
echo 'clamscan -i -v -r /home/ --move=/virus/ --log=/virus/clamscan.log' > /etc/cron.daily/clamscan
chmod a+x /etc/cron.daily/clamscan
service crond restart
แก้ไขแล้ว ไฟล์ไม่ถูกลบแล้วครับ แต่จะถูกย้ายไปที่ /virus/ หากมีปัญหาจากลูกค้า สามารถกลับไปดูได้ที่ /virus/ ซึ่งจะมี owner ติดมาด้วย หากไม่รู้ว่ามาจาก dir ไหนก็ให้ cat & grep ที่ไฟล์ clamscan.log ได้เลย
ความสามารถใช้ได้ประมาณ 80%
ขอบคุณมากๆ คร้าบบบบบบบบบบ
kke
May 14, 2013, 11:28pm
4
แทนที่จะเพิ่มใน cron.daily เพิ่มใน cron.d แล้วกำหนดเวลาที่ต้องการให้เริ่มทำการ scan น่าจะดีกว่าครับ เลือกเวลาที่ไม่ชนกับ backup และคนเข้าเว็บไม่มาก
echo ‘0 2 * * * root clamscan -i -v -r --remove=yes /home/’ > /etc/cron.d/clamscan
แต่ผมไม่เคยคิดจะ scan /home เลย เพราะเสียเวลาเปล่า ส่วนมากไวรัสมากับ attach email มากกว่า ส่วนเว็บที่โดนแทรก link ก็เป็น link ไปยังไฟล์โทรจันที่อยู่บน server อื่นไม่ใช่ server เราเอง มีแต่ link scan ไม่เจออยู่ดี
จากที่ลอง scan ดูก่อน ก็เจอ web shell script เลยครับ น่าจะเป็น script ที่พวก hacker ใช้ส่งไฟล์ขึ้นไปบน host อีกที
หลังจากมันสแกนพบมันทำอะไรให้บ้างครับ
360
May 15, 2013, 10:15am
7
อย่าสแกนเลยเปลือง CPU เปล่า ๆ ไม่ค่อยเจอด้วยครับ. ยิ่งถ้า script encoded มานี่จบเลย ข้ามตลอด
ทำไมไม่สแกนเฉพาะ exim กับ proftpd ล่ะครับ ตรงจุดกว่านะผมว่า
ClamAV สามารถตั้งให้ แสกน exim กับ proftpd ได้ไหมครับ
ผมลงแล้วเป็นอย่างงี้หน่ะครับ แก้ยังไงหรอครับ
Shutting down freshclam: [FAILED]
360
May 15, 2013, 8:32pm
12
mkdir /usr/local/updatescriptcd /usr/local/updatescripthttp://tools.web4host.net/update.script
ที่เหลือก็แก้ exim.conf ตาม help ของ da ครับ
ค่อนข้างเสี่ยงนะครับ คำสั่งนี้คือลบไฟล์เลย หลายๆครั้งจะถูกแทรกสคริบลงไปกับสคริบของเราอย่าง index แล้วก็ clamav ตัวใหม่ๆมันก็รู้จัก iframe พวกนี้จะซะด้วย
พยายามเลี่ยนการลบไฟล์อัตโนมัติดีกว่าครับ ถ้าไ่ม่อยากปวดหัว