ClamAV เป็น Software ป้องกันไวรัสที่ได้รับความนิยมสูงในผู้ใช้งาน Linux และในเนื้อหาวันนี้จะแนะนำการ Install ใน Directadmin และเพิ่ม rule พิเศษสำหรับการค้นหา PHP Backdoor / Malware
ติดตั้ง ClamAV บน Directadmin
cd /usr/local/directadmin/custombuild ./build update ./build set clamav yes ./build clamav
เพิ่ม Rules จาก rfxn สำหรับค้นหา PHP Shell / Backdoor โดยแก้ไขไฟล์ /etc/freshclam.conf และเพิ่มคำสั่งด้านล่างเข้าไป
DatabaseCustomURL http://www.rfxn.com/downloads/rfxn.ndb DatabaseCustomURL http://www.rfxn.com/downloads/rfxn.hdb
สั่ง Update rule
freshclam
ทดสอบ Scan Virus/Malware
clamscan -ri --move=/tmp/virus /home
ความหมายคือให้ scan Virus ทุกไฟล์ใน /home โดยถ้าเจอจะนำไปเก็บไว้ที่ /tmp/virus
ผมได้ทดสอบนำ malware / backdoor ต่างๆมาทดสอบแล้วได้ผลและค้าหาเจอมากกว่า 90% และเจอในส่วนของ false positive บ้าง ในบทความต่อๆไปจะม่พูดเรื่องการ custom rule ของ ClamAV เพื่อลด false positive อีกครั้ง
แหล่งที่มา : https://d.thaihosttalk.com/t/clamav-anti-malwere-php/40398
