Loading...

ติดตั้ง ClamAV ใน Directadmin และเพิ่ม rule พิเศษสำหรับค้าหา PHP Backdoor

ติดตั้ง ClamAV ใน Directadmin และเพิ่ม rule พิเศษสำหรับค้าหา PHP Backdoor

ClamAV เป็น Software ป้องกันไวรัสที่ได้รับความนิยมสูงในผู้ใช้งาน Linux และในเนื้อหาวันนี้จะแนะนำการ Install ใน Directadmin และเพิ่ม rule พิเศษสำหรับการค้นหา  PHP Backdoor / Malware

 

ติดตั้ง ClamAV บน Directadmin

cd /usr/local/directadmin/custombuild
./build update
./build set clamav yes
./build clamav

เพิ่ม Rules จาก rfxn สำหรับค้นหา PHP Shell / Backdoor โดยแก้ไขไฟล์  /etc/freshclam.conf  และเพิ่มคำสั่งด้านล่างเข้าไป

DatabaseCustomURL http://www.rfxn.com/downloads/rfxn.ndb
DatabaseCustomURL http://www.rfxn.com/downloads/rfxn.hdb

 

สั่ง Update rule

freshclam

 

ทดสอบ Scan Virus/Malware

 clamscan -ri --move=/tmp/virus /home 

ความหมายคือให้ scan Virus ทุกไฟล์ใน /home โดยถ้าเจอจะนำไปเก็บไว้ที่ /tmp/virus

 

 

ผมได้ทดสอบนำ malware / backdoor ต่างๆมาทดสอบแล้วได้ผลและค้าหาเจอมากกว่า 90%  และเจอในส่วนของ false positive บ้าง ในบทความต่อๆไปจะม่พูดเรื่องการ custom rule ของ ClamAV เพื่อลด false positive อีกครั้ง

 

แหล่งที่มา : https://d.thaihosttalk.com/t/clamav-anti-malwere-php/40398