Almost Over

Установка Sophos антивируса на CentOS

Установка Sophos антивируса на CentOS

Многие владельцы движка «WordPress» или «Joomla» скорее всего не единожды сталкивались с проблемой вирусов на сайте. И одно дело - установить дополнительные модули защиты в самой CMS, совсем другое - автоматическое сканирование сразу всех сайтов на сервере сторонним антивирусом под CentOS.

Почему я выбрал именно «Sophos»? Почему не «ClamAV» или «F-Prot»? Да потому что последние два продукта набрали менее 80% по статистике обнаружения вирусов для Linux. «Sophos» же имеет около 95% обнаружения в Linux, а это самый большой показатель из всех бесплатных на данный момент продуктов под сервер. А под Windows, между прочим, этот показатель достигает 99,8%.

Как пример, имелся у меня один заражённый сайтик под WP. Поставил я «ClamAV», просканировал всю папку полностью - 0 найденных объектов. Снёс, поставил «Sophos», скананул - 14 вирусов найдено. А чтобы совсем отпали сомнения в данном продукте, скачал всю папку сайта на локалку и проверил KIS’ом - было найдено 8! Шутка ли, но теперь даже закрались мысли по поводу смены моего десктопного АВ, который к тому же ещё и платный.

Помимо всего вышеперечисленного, «Sophos» умеет сканировать и лочить файлы при доступе к ним и даже имеет внешний веб-интерфейс. И это далеко не все плюсы, которые он преимущественно имеет перед своими аналогичными собратьями.

В общем, если движок вашего сайта использует PHP (а особенно, если имеется в наличии «WordPress» или «Joomla»), установка антивируса на сервер будет как никогда кстати.

Имеется 2 варианта установки Sophos:

  1. Загрузить из официального источника, как описано в пункте выше (требуется регистрация, скачивание и загрузка архива).
  2. Загрузить уже заранее скачанный архив из нашего источника (ничего не требуется, грузим по прямой ссылке через wget).

Если Вы выбрали второй вариант, то пропускаем пункт «Загрузка Sophos» и переходим сразу к пункту «Установка Sophos».

Загрузка Sophos

  1. Регистрируем аккаунт по ссылке: secure2.sophos.com/en-us/mysophos/registration.aspx
    Обратите внимание, пароль должен содержать как минимум 1 заглавную букву, 1 маленькую, 1 цифру и 1 специальный символ (!%@#).
    Идём в почту, подтверждаем активацию аккаунта и логинимся на их сайте.
  2. Переходим на www.sophos.com/en-us/products/free-tools/sophos-antivirus-for-linux.aspx и жмём «Get Started».
  3. Далее, ваши данные после логина должны быть уже вписаны в поля, жмём «Submit».
    Появляется ссылка «Download», жмём её.
    Принимаем EULA, «Submit».
  4. И вновь предлагают заполнить форму в соответствии с требованиями U.S. government. Зачем им эти данные понятия не имею, поэтому можно заполнить фиктивные данные.
  5. И, наконец, появляется страница загрузки…
    На момент написания статьи архив sav-linux-free-9.tgz весит ~400mb.
  6. Самостоятельно закачиваем этот архив на сервер в папку tmp и идём в консольку.

Установка Sophos

Если был выбран 2-ой вариант установки, качаем архив из нашего CDN

$ cd /tmp && wget http://cdn.almostover.ru/files/2016/sav-linux-free-9.tgz

Далее, вне зависимости от выбранного варианта установки, распаковывем архив и устанавливаем Sophos

$ cd /tmp && tar zxvf sav-linux-free-9.tgz
$ cd sophos-av && ./install.sh

После начала установки жмём Enter, затем жмём Space до окончания пролистывания EULA.
Далее, параметры при установке оставляем практически по-умолчанию, за исключением:

  1. Принятие лицензии [Y].
  2. Бесплатная версия [F].
  3. Если у вас ограниченная оперативная память (RAM), выключаем опцию «on-access scanning» [N].
Лог установки:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
Do you accept the licence? Yes(Y)/No(N) [N]
> y

Where do you want to install Sophos Anti-Virus? [/opt/sophos-av]
>

Do you want to enable on-access scanning? Yes(Y)/No(N) [Y]
>

Sophos recommends that you configure Sophos Anti-Virus to auto-update.

It can update either from Sophos directly (requiring username/password details) or from your own server (directory or website (possibly requiring username/password)).

Which type of auto-updating do you want? From Sophos(s)/From own server(o)/None(n) [s]
>

Updating directly from Sophos.
Do you wish to install the Free (f) or Supported (s) version of SAV for Linux? [s]
> f

The Free version of Sophos Anti-Virus for Linux comes with no support.
Forums are available for our free tools at http://openforum.sophos.com/
Do you need a proxy to access Sophos updates? Yes(Y)/No(N) [N]
>

Обновляем Sophos

$ /opt/sophos-av/bin/savupdate
Лог обновления:
1
2
3
4
5
6
7
8
9
10
11
Updating from versions - SAV: 9.12.1, Engine: 3.64.0, Data: 5.27
Updating Sophos Anti-Virus....
Updating Talpa Binary Packs
Updating SAVScan on-demand scanner
Updating Virus Engine and Data
Updating Talpa Kernel Support
Updating Manifest
Selecting appropriate kernel support...
Update completed.
Updated to versions - SAV: 9.12.1, Engine: 3.64.0, Data: 5.29
Successfully updated Sophos Anti-Virus from sdds:SOPHOS

Команды Sophos

Справка по командам сканирования

$ savscan -h

Настройка конфигурации Sophos (выполняется при установке)

$ /opt/sophos-av/bin/savsetup

Устанавливаем обновления (работает, если при установке было выбрано обновлять из Sophos)

$ /opt/sophos-av/bin/savupdate

Сканирование Sophos

Сканируем указанную папку на сервере

$ savscan -sc -rec -dn -c -archive -pua -suspicious --stay-on-filesystem --stay-on-machine --backtrack-protection --preserve-backtrack --examine-x-bit --show-file-details /var/www/vhosts/%sitename%

Сканируем указанную папку на сервере, с запросом на удаление

$ savscan -remove -sc -rec -dn -c -archive -pua -suspicious --stay-on-filesystem --stay-on-machine --backtrack-protection --preserve-backtrack --examine-x-bit --show-file-details /var/www/vhosts/%sitename%

Сканируем указанную папку на сервере (All files)

$ savscan -all -sc -rec -dn -c -archive -pua -suspicious --stay-on-filesystem --stay-on-machine --backtrack-protection --preserve-backtrack --examine-x-bit --show-file-details /var/www/vhosts/%sitename%

Сканируем указанную папку на сервере, с запросом на удаление (All files)

$ savscan -all -remove -sc -rec -dn -c -archive -pua -suspicious --stay-on-filesystem --stay-on-machine --backtrack-protection --preserve-backtrack --examine-x-bit --show-file-details /var/www/vhosts/%sitename%

Сканируем VBR (Volume Boot Records)

$ savscan -bs=/dev/sda1
$ savscan -bs=/dev/sda1,/dev/sda2

Сканируем MBR (Master Boot Records) на всех носителях

$ savscan -mbr

Логи Sophos

Справка по просмотру лога

$ man savlog

Смотрим лог за сегодня

$ /opt/sophos-av/bin/savlog --today

Sophos «Live Protection»

Проверяем статус «Live Protection» (автоматическая защита в облаке)

$ /opt/sophos-av/bin/savconfig query LiveProtection

Включаем/выключаем «Live Protection»

$ /opt/sophos-av/bin/savconfig set LiveProtection true
$ /opt/sophos-av/bin/savconfig set LiveProtection false

Sophos «on-access scanning»

Смотрим статус «on-access scanning»

$ /opt/sophos-av/bin/savdstatus

Включаем/выключаем «on-access scanning»

$ /opt/sophos-av/bin/savdctl enable
$ /opt/sophos-av/bin/savdctl disable

ВНИМАНИЕ! Опция «on-access scanning» может потреблять от 500MB RAM и выше.