免费杀毒软件 f-prot:我的网络机房杀毒方案
一个学期又要结束了,我发现,作为一个管理200台机器的民办大学网管,最应该感谢的是f-prot。 本文小结一下,一个网管的杀毒经历与方案。
在病毒、木马泛滥成灾的今天,一个管理数百台机器的局域网网管,由于经费原因,不可能购置极为昂贵的网络杀毒软件,他的日子会多么辛苦,用户的抱怨,一般人,是难以体会的。
这几年,管理的网络逐步扩大,机器数量越来越多,杀毒的任务也越来越艰巨。
QQ病毒木马、爱情后门都曾经严重影响用户的使用,但升级IE,限制普通用户(学生帐户是主体,都是普通用户)的文件权限,锁定注册表开机自动运行部分的权限等,也就基本搞定了。
但是有个别病毒,自从来了之后,始终就无法完全剿灭,始终为害网络,
在我们网络,典型代表就是W32/parite.B病毒。
记得那是2003年秋天,那个学期,上机课的老师,经常着急的找我,说大部分学生上机课都无法登录。
满机房的学生都等着我处理,我查看linux服务器,samba服务正常,网络硬件也都正常,我感到出现新情况了。关闭交换机,关闭服务器,2分钟后,重新启动,登录缓慢得无法完成的问题,总算临时地对付了一下。
后来经常出现这种情况,我意识到,应该是蠕虫病毒捣乱。后来才知道就是W32/parite病毒在这个局域网大联欢的结果,整个网络被蠕虫彻底堵死了。关闭服务器,关闭交换机,可以临时地应付一阵子。
当时的网络状况是,100多台机器,拥挤在同一个网段中,由于设备原因,没有分vlan。蠕虫病毒的交叉传播,是畅通无阻,服务器、工作站都没有任何防护措施、杀毒措施,当时的网络堪称病毒的快乐大本营。
2004年夏,我对蠕虫病毒的危害,已经高度警觉,如临大敌。因为如果不采取措施,新学年网络规模进一步扩大,重新启动服务器的办法,肯定无法应付。
采取了软硬“双管齐下”的措施。
硬的措施主要是:购置可网管交换机,将网络分隔成9大vlan。
软的措施主要是:在服务器配置杀毒软件,并在工作站限定文件、注册表权限,限制病毒、木马的活动,用专杀工具在工作站定期拉网式清剿重点病毒、木马。
经过网络搜索,终于找到了二款适合linux平台上samba服务器使用的杀毒软件:clamav、 f-prot。clamav的优点是开源软件,能够获得源码,可以二次开发,并能够与第三方杀毒软件结合。但其缺点也很明显,目前能查病毒,而不能够有效清除病毒,只提供对带毒文件的删除功能,并且其病毒库也比f-prot小得多。
f-prot的linux版非常强大,其病毒库与windows版一致,能查病毒,也能清出病毒,并且其杀毒的效率也是非常高的。
下载:
<a href ="http://www.f-prot.com/download/trial_forms/linux-ws-tgz.html" target="_blank">免费下载f-prot的linux版本</a>,只要简单地填一个表格,就行了。文件不大,只有2Mb多。
安装:
安装也很简单,简单地解开就可以了。我的做法是:
cd /usr/.local
tar zxvf f-prot-linux.tar.gz
这样,f-prot就被安装在/usr/local/f-prot里面了。f-prot自带一个小脚本程序f-prot,把它copy到/usr/bin里面,就可以用f-prot命令使用f-prot了。
使用:
f-prot的使用也非常简单,无非是组合使用f-prot的一些命令参数,为了方便管理,我自己还编了几个小shell脚本,本文copy如下,供参考。
1. k
#!/bin/bash
# added on 2004-10-20
# kill virus
f-prot -auto -disinf -noarchive -noboot -report=/logs/k.log $1
这是最常用的,自动清除某个目录里面的病毒,并将杀毒的日志写入/logs目录里面。例如: k /home/test8
2. k2
#!/bin/bash
# added on 2004-10-20
# kill virus
f-prot -auto -delete -noarchive -noboot $1
这个命令与上一个基本相同,主要区别是,自动扫描之后,对发现病毒的文件,自动删除。
我的做法,一般是先用k命令自动清楚某个目录里面的病毒,?定期杀毒。
kall
#!/bin/bash
# added on 2005-02-24
# kill virus
k /home
k /users
k /users2
k /users3
k /users4
k /temp/home
k /mp3/hom3
k2 /home
k2 /users
k2 /users2
k2 /users3
k2 /users4
k2 /temp/home
k2 /mp3/hom3
下面的脚本稍微复杂一点,是每天自动运行的crontab任务,担负着服务器杀毒的主要任务。它在下午5:13以及晚上11:13运行,自动清除当天登录用户的在服务器上的个人文件夹里面的病毒。
avNow
#!/bin/sh
# added on 2004-10-21, aiming to anti viurs
# rev on 2004-11-04, new vonline, fixed date format bug.
mydate=`date +%H`
touch /logs/$mydate.log
cd /ntws
/ntws/vonline > users
cat users | sed '1,2d' | sed '$d' | sed '$d' > users2
while read user
do
cd /home/$user
/usr/local/bin/f-prot -auto -disinf -noarchive -noboot -report=/logs/$mydate$user.log /home/$user
done< users2
# clean up
/usr/bin/dl
主脚本avNow调用了2个小脚本作为辅助工具,其中的vonline脚本还调用了一个自己用c语言编写的格式化当天日前的小程序,并从另外的计费服务器的postgresql数据库中取得当日登录的学生帐户列表。
avNow调用的第二个小脚本dl(delete log),是用来清除未发现病毒的杀毒log文件,根据观察,在我的服务器上,avNow产生的文件大小如果小于512字节,则一般是该用户目录里面没有发现病毒。
dl
#!/bin/bash
# added on 2004-10-23
cd /logs
find . -type f -size -560c -exec rm -f {} \;
为什么有kall,还要相对费劲的avNow呢?
因为在我们的环境中,由于samba服务器上文件太多(有200多Gb,数百万个文件),如果执行一遍得耗费很长时间,实际上近2000个学生帐户中,每天实际登录的只是其中一小部分,未登录的用户的个人文件夹是不可能在当天感染新的病毒的,因此没有必要通杀一遍。另外,如果每天都对200多G的文件进行扫描杀毒,服务器硬盘的寿命也会受影响。
因而,我们每天例行的杀毒由avNow完成,由杀单个目录的k/k2辅之。
每周对150台工作站(学生用机)进行一次拉网式杀毒时,服务器上执行kall来全面杀毒,相互配合,以确保杀毒效果。
工作站杀毒
从2003年开始,w32/parite.B病毒在我们机房流行,在2003-2004学年达到了非常猖狂的地步,前文所述的网络堵死、被迫在用机高峰期重新启动服务器,主要就是其所为。至今未能彻底剿灭。
在机房网络杀毒实践过程中,我们意识到,对付w32/parite.B之类的文件型病毒,主要战场一个是工作站。
我们也增加考虑过在工作站安装杀毒软件。曾经在一个机房50台机器上全部安装了Macafee杀毒,并升级到当天的最高版本,但是只管用了几天,就被病毒突破防线。
后来也试验过几天瑞星杀毒软件,证明也不行。在网络机房中,一般的杀毒软件的作用非常有限,尽管它们可能比较胜任单机用户的杀毒工作。还有一点,现在大部分流行的杀毒软件,都允许用户自行决定是否准许某些网络包通过,这就直接动摇了我们的计费系统,因为学生可以通过杀毒软件阻止工作站向计费服务器发送计费信息包。这就坚定了我们放弃在工作站安装常规杀毒软件的设想。
工作站杀毒的难点是杀文件型病毒,尤其是寄生能力、传播能力很强的蠕虫病毒,在我们机房中典型的例子就是w32/parite.B病毒
在与病毒斗争的实践中,我们也积累了一些遏制恶性病毒传播、蔓延的方法。
操作系统打最新最??知道的常识,也是前提,防范病毒的基础。
锁定文件系统的权限,对普通用户,主要是锁定其对重要的系统文件夹的权限,执行最小权限的安全原则。
对绝大部分的以exe为代表的可执行文件设定为所有用户只读。
锁定注册表中的关键部分的权限,不允许普通用户安装开机自运行程序。
以上做法,只是限制了文件型病毒的活动范围。
但对传播能力非常强的象w32/parite.B这样的病毒,其主攻部队应该是专杀工具。
我们选择了大名鼎鼎的CA的专杀工具:clnpinfi.com。非常好使,速度也很快。
以上的杀毒组合,使得我们的机房在2004年下半年开始安静下来,蠕虫病毒泛滥的情况得到初步遏制。
在病毒、木马泛滥成灾的今天,一个管理数百台机器的局域网网管,由于经费原因,不可能购置极为昂贵的网络杀毒软件,他的日子会多么辛苦,用户的抱怨,一般人,是难以体会的。
这几年,管理的网络逐步扩大,机器数量越来越多,杀毒的任务也越来越艰巨。
QQ病毒木马、爱情后门都曾经严重影响用户的使用,但升级IE,限制普通用户(学生帐户是主体,都是普通用户)的文件权限,锁定注册表开机自动运行部分的权限等,也就基本搞定了。
但是有个别病毒,自从来了之后,始终就无法完全剿灭,始终为害网络,
在我们网络,典型代表就是W32/parite.B病毒。
记得那是2003年秋天,那个学期,上机课的老师,经常着急的找我,说大部分学生上机课都无法登录。
满机房的学生都等着我处理,我查看linux服务器,samba服务正常,网络硬件也都正常,我感到出现新情况了。关闭交换机,关闭服务器,2分钟后,重新启动,登录缓慢得无法完成的问题,总算临时地对付了一下。
后来经常出现这种情况,我意识到,应该是蠕虫病毒捣乱。后来才知道就是W32/parite病毒在这个局域网大联欢的结果,整个网络被蠕虫彻底堵死了。关闭服务器,关闭交换机,可以临时地应付一阵子。
当时的网络状况是,100多台机器,拥挤在同一个网段中,由于设备原因,没有分vlan。蠕虫病毒的交叉传播,是畅通无阻,服务器、工作站都没有任何防护措施、杀毒措施,当时的网络堪称病毒的快乐大本营。
2004年夏,我对蠕虫病毒的危害,已经高度警觉,如临大敌。因为如果不采取措施,新学年网络规模进一步扩大,重新启动服务器的办法,肯定无法应付。
采取了软硬“双管齐下”的措施。
硬的措施主要是:购置可网管交换机,将网络分隔成9大vlan。
软的措施主要是:在服务器配置杀毒软件,并在工作站限定文件、注册表权限,限制病毒、木马的活动,用专杀工具在工作站定期拉网式清剿重点病毒、木马。
经过网络搜索,终于找到了二款适合linux平台上samba服务器使用的杀毒软件:clamav、 f-prot。clamav的优点是开源软件,能够获得源码,可以二次开发,并能够与第三方杀毒软件结合。但其缺点也很明显,目前能查病毒,而不能够有效清除病毒,只提供对带毒文件的删除功能,并且其病毒库也比f-prot小得多。
f-prot的linux版非常强大,其病毒库与windows版一致,能查病毒,也能清出病毒,并且其杀毒的效率也是非常高的。
下载:
<a href ="http://www.f-prot.com/download/trial_forms/linux-ws-tgz.html" target="_blank">免费下载f-prot的linux版本</a>,只要简单地填一个表格,就行了。文件不大,只有2Mb多。
安装:
安装也很简单,简单地解开就可以了。我的做法是:
cd /usr/.local
tar zxvf f-prot-linux.tar.gz
这样,f-prot就被安装在/usr/local/f-prot里面了。f-prot自带一个小脚本程序f-prot,把它copy到/usr/bin里面,就可以用f-prot命令使用f-prot了。
使用:
f-prot的使用也非常简单,无非是组合使用f-prot的一些命令参数,为了方便管理,我自己还编了几个小shell脚本,本文copy如下,供参考。
1. k
#!/bin/bash
# added on 2004-10-20
# kill virus
f-prot -auto -disinf -noarchive -noboot -report=/logs/k.log $1
这是最常用的,自动清除某个目录里面的病毒,并将杀毒的日志写入/logs目录里面。例如: k /home/test8
2. k2
#!/bin/bash
# added on 2004-10-20
# kill virus
f-prot -auto -delete -noarchive -noboot $1
这个命令与上一个基本相同,主要区别是,自动扫描之后,对发现病毒的文件,自动删除。
我的做法,一般是先用k命令自动清楚某个目录里面的病毒,?定期杀毒。
kall
#!/bin/bash
# added on 2005-02-24
# kill virus
k /home
k /users
k /users2
k /users3
k /users4
k /temp/home
k /mp3/hom3
k2 /home
k2 /users
k2 /users2
k2 /users3
k2 /users4
k2 /temp/home
k2 /mp3/hom3
下面的脚本稍微复杂一点,是每天自动运行的crontab任务,担负着服务器杀毒的主要任务。它在下午5:13以及晚上11:13运行,自动清除当天登录用户的在服务器上的个人文件夹里面的病毒。
avNow
#!/bin/sh
# added on 2004-10-21, aiming to anti viurs
# rev on 2004-11-04, new vonline, fixed date format bug.
mydate=`date +%H`
touch /logs/$mydate.log
cd /ntws
/ntws/vonline > users
cat users | sed '1,2d' | sed '$d' | sed '$d' > users2
while read user
do
cd /home/$user
/usr/local/bin/f-prot -auto -disinf -noarchive -noboot -report=/logs/$mydate$user.log /home/$user
done< users2
# clean up
/usr/bin/dl
主脚本avNow调用了2个小脚本作为辅助工具,其中的vonline脚本还调用了一个自己用c语言编写的格式化当天日前的小程序,并从另外的计费服务器的postgresql数据库中取得当日登录的学生帐户列表。
avNow调用的第二个小脚本dl(delete log),是用来清除未发现病毒的杀毒log文件,根据观察,在我的服务器上,avNow产生的文件大小如果小于512字节,则一般是该用户目录里面没有发现病毒。
dl
#!/bin/bash
# added on 2004-10-23
cd /logs
find . -type f -size -560c -exec rm -f {} \;
为什么有kall,还要相对费劲的avNow呢?
因为在我们的环境中,由于samba服务器上文件太多(有200多Gb,数百万个文件),如果执行一遍得耗费很长时间,实际上近2000个学生帐户中,每天实际登录的只是其中一小部分,未登录的用户的个人文件夹是不可能在当天感染新的病毒的,因此没有必要通杀一遍。另外,如果每天都对200多G的文件进行扫描杀毒,服务器硬盘的寿命也会受影响。
因而,我们每天例行的杀毒由avNow完成,由杀单个目录的k/k2辅之。
每周对150台工作站(学生用机)进行一次拉网式杀毒时,服务器上执行kall来全面杀毒,相互配合,以确保杀毒效果。
工作站杀毒
从2003年开始,w32/parite.B病毒在我们机房流行,在2003-2004学年达到了非常猖狂的地步,前文所述的网络堵死、被迫在用机高峰期重新启动服务器,主要就是其所为。至今未能彻底剿灭。
在机房网络杀毒实践过程中,我们意识到,对付w32/parite.B之类的文件型病毒,主要战场一个是工作站。
我们也增加考虑过在工作站安装杀毒软件。曾经在一个机房50台机器上全部安装了Macafee杀毒,并升级到当天的最高版本,但是只管用了几天,就被病毒突破防线。
后来也试验过几天瑞星杀毒软件,证明也不行。在网络机房中,一般的杀毒软件的作用非常有限,尽管它们可能比较胜任单机用户的杀毒工作。还有一点,现在大部分流行的杀毒软件,都允许用户自行决定是否准许某些网络包通过,这就直接动摇了我们的计费系统,因为学生可以通过杀毒软件阻止工作站向计费服务器发送计费信息包。这就坚定了我们放弃在工作站安装常规杀毒软件的设想。
工作站杀毒的难点是杀文件型病毒,尤其是寄生能力、传播能力很强的蠕虫病毒,在我们机房中典型的例子就是w32/parite.B病毒
在与病毒斗争的实践中,我们也积累了一些遏制恶性病毒传播、蔓延的方法。
操作系统打最新最??知道的常识,也是前提,防范病毒的基础。
锁定文件系统的权限,对普通用户,主要是锁定其对重要的系统文件夹的权限,执行最小权限的安全原则。
对绝大部分的以exe为代表的可执行文件设定为所有用户只读。
锁定注册表中的关键部分的权限,不允许普通用户安装开机自运行程序。
以上做法,只是限制了文件型病毒的活动范围。
但对传播能力非常强的象w32/parite.B这样的病毒,其主攻部队应该是专杀工具。
我们选择了大名鼎鼎的CA的专杀工具:clnpinfi.com。非常好使,速度也很快。
以上的杀毒组合,使得我们的机房在2004年下半年开始安静下来,蠕虫病毒泛滥的情况得到初步遏制。
hofman
2005-06-19 17:25:57
评论:6
阅读:4397
引用:0
做过f-prot与squid集成的没有
@2006-08-25 08:42:17 张首国
在网上找了些squid杀毒的方案,基本是支持clamav的,没发现支持f-prot.我想用f-prot,主要也是看它的病毒库比较大。
谢谢。
@2005-10-21 20:03:11 菜网管
谢谢您的指点!谢谢。
回网管
@2005-10-21 17:45:39 hofman
你执行的时候,它就会自己显示了。f-prot有一个自动升级的脚本。但我没有使用过。因为我的samba服务器为了安全起见,是有意与外网隔离的。f-prot的linux版本升级得很慢,我一般都是重新去官方站点down,解压到原来的目录,就可以直接用了。
回cindy
@2005-10-21 17:41:45 hofman
对,在安全模式下杀毒比较保险。这个文件夹是临时文件夹,可以删除的。如果删除不了,应该是有相应的病毒进程居留在内存所致,关闭它,再删。
请求帮助~
@2005-10-21 14:36:42 cindy
在C:\Documents and Settings\dong\Local Settings\Temporary Internet Files路径下感染了Exploit.HTML.CodeBaseExec病毒~怎么杀也杀不掉~
但是KV能查到~是要到安全模式下杀吗?
希望您能帮帮我~谢谢
但是KV能查到~是要到安全模式下杀吗?
希望您能帮帮我~谢谢
怎样升级?
@2005-10-19 20:12:35 菜网管
查看程序版本和病毒库版本用什么命令?
如何升级?
详细说说好吗?谢谢了。
如何升级?
详细说说好吗?谢谢了。