2008-09-30 28 views
9

Potrzebuję skanować przesłane pliki w poszukiwaniu wirusów na serwerze Linux, ale nie jestem pewien, jak to zrobić.Skanowanie po stronie serwera

Jakie są moje opcje, jeśli istnieją? Interesuje mnie również sposób, w jaki skanery działają, gdy wielu użytkowników wysyła wiele plików jednocześnie.

+0

Czy chcesz skanować współdzielone systemy plików lub ruch pocztowy w MTA? – Yaba

+0

Bardziej przypomina sprawdzanie plików dokumentów przesłanych przez użytkownika. Jeśli ktoś prześle plik zip za pomocą formularza wejściowego, chciałbym go sprawdzić przed zezwoleniem na jego wyświetlenie, na przykład na tablicy dyskusyjnej. –

Odpowiedz

13

Chciałbym rzucić okiem na Clam AntiVirus. Zapewnia program clamscan, który może skanować dany plik i zwracać wskazanie pass/fail. Jest bezpłatny i regularnie aktualizuje swoją bazę danych.

Jeśli chodzi o integrację takiego produktu z procesem przesyłania plików, będzie to dotyczyło każdego procesu przesyłania pliku, którego faktycznie używasz.

+0

Clamav działał świetnie i było zaskakująco łatwe, aby go zagrać razem z pytonem. –

3

Jeśli martwisz się o wydajność, rozważ użycie clamd/clamdscan jako swojej implementacji. clamd działa jako demon, więc wszystkie koszty inicjalizacji są wykonywane tylko raz. Kiedy następnie skanujesz plik za pomocą programu clamdscan, po prostu przesuwa on plik do rozwidlonego clamd, aby wykonać rzeczywiste skanowanie. Jeśli masz masę ruchu, jest to o wiele bardziej wydajne.

Jeśli masz wątpliwości dotyczące wydajności, powinieneś rozważyć użycie produktu komercyjnego. Większość dużych graczy ma obecnie wersje Linux/Unix.

+0

Myślę, że Yahoo używa programu Symantec do obsługi poczty. Hotmail poszedł z Trendem, jak sądzę. Na razie spróbuję clamd/clamscan i postaram się o poradę od F-Secure, ponieważ to chyba jedyna fińska firma robiąca takie rzeczy. –

0

Powinieneś spróbować znaleźć dostawcę oprogramowania antywirusowego, który ma publiczny interfejs API dla swojego skanera. W ten sposób można programowo skanować plik. Na dłuższą metę będzie to znacznie łatwiejsze niż próba pomylenia z innymi procesami za pomocą skryptu przesyłania.

+0

Dokładnie, każdy pomysł, który z nich może być? – htm11h

+0

powiązane z komentarzem iDisposable, OPSWAT posiada również [API] (https://www.metascan-online.com/en/public-api) do skanowania plików (w tym zipów i innych archiwów) – captnaimerica

17

Oto moje wyniki dla ClamAV podczas testów przed znanymi wirusami:

[zainfekowany] => AdvancedXPFixerInstaller.exe

[wprost] => auto.exe

[wprost] => Cartão eXE

[zakażonych] => cartoes_natal.exe

[wprost] => codec.exe

[przechodzą] => e421.exe

[wprost] => fixtool.exe

[zakażonych] => flash_install.exe

[zakażonych] => issj.exe

[zakażonych] => iwmdo.exe

[zakażonych] => jobxxc.exe

[zakażonych] => kbmt.exe

[przechodzą] => killer_cdj.exe

[przechodzą] => killer_javqhc.exe

[zakażonych] => killer_rodog.exe

[zakażonych] => kl.exe

[zainfekowany] => MacromediaFlash.Exe

[zakażonych] => MacromediaFlashPlayer.exe

[zakażonych] => paraense.exe

[zakażonych] => pibzero.exe

[wprost] => SCAN.EXE

[wprost] => uaqxtg.exe

[wprost] => vejkcfu.exe

[zakażonych] => VIDeoSS.exe

[zakażonych] => wujowpq.exe

[przechodzą] => X IrCBOT.exe

Problemem jest to, że żaden z nich nie powinien być przekazany .

+2

+1 za ten cenny wkład –

0

Czy przeprowadziłeś je przez skanery komercyjne? Byłem administratorem produktu, który równolegle przesyła pliki przez 4 skanery komercyjne. Miałem testowy corpus wirusa z kilkoma setkami i żaden z komercyjnych skanerów nie znalazł ich wszystkich ...

+0

Jeszcze nie. Ten pakiet testowy został polecony przez lokalną społeczność antywirusową, więc wyobrażam sobie, że reprezentują one najnowsze i najczęstsze wirusy. Zdaję sobie sprawę, że współczynnik wykrywania wynosi zwykle od 20% do 80%, co wcale nie jest tak dobre. –

2

Powinieneś zajrzeć do opswat's MetaScan. To narzędzie służy do zarządzania aktualizacją i skanowaniem plików za pomocą wielu silników. Zawiera pakiety AVG, CA eTrust ™. ClamWin, ESET NOD32 Antivirus Engine, silnik eScan MicroWorld, Norman Virus Control i VirusBuster EDK. Dodatkowo uruchomi Nortony i takie. Zaletą jest to, że masz wiele uruchomionych silników w stosunku do pliku.

0

Clamscan skanuje pliki, gdy są one przechowywane, a nie zapobiec przed przesłanych zainfekowany plik lub pobrać

Mam kalmary (https + cache) < ->HAVP (z ClamAV) < -> Konfiguracja odwrotnego proxy Tomcat. HAVP (http://www.server-side.de/) jest drogą do skanowania ruchu http ClamAV lub innego komercyjnego oprogramowania antywirusowego. Zapobiegnie to pobieraniu zainfekowanych plików przez użytkowników.

Mimo to nie działa przy przesyłaniu, więc nie uniemożliwia przechowywania plików na serwerach, ale zapobiega pobieraniu i propagowaniu plików. Więc używaj go do regularnego skanowania plików (np. Clamscan)

Powiązane problemy