Necesito escanear archivos cargados para detectar virus en un servidor Linux, pero no estoy seguro de cómo hacerlo.Escaneo de virus del lado del servidor
¿Cuáles son mis opciones, si hay alguna? También me interesa cómo funcionan los escáneres cuando varios usuarios envían varios archivos al mismo tiempo.
Me gustaría echar un vistazo a Clam AntiVirus. Proporciona un programa clamscan que puede escanear un archivo determinado y devolver una indicación de aprobación/falla. Es gratis y actualiza automáticamente su base de datos regularmente.
En cuanto a la integración de dicho producto en el proceso de carga de archivos, eso sería específico para cualquier proceso de carga de archivos que utilice realmente.
Clamav funcionó muy bien, y fue sorprendentemente fácil de tocar junto con Python. –
Si le preocupa el rendimiento, considere usar clamd/clamdscan como su implementación. clamd se ejecuta como daemon, por lo que todos los costos de inicialización solo se realizan una vez. Cuando escanea un archivo con clamdscan, simplemente carga el archivo a un clamd bifurcado para realizar el escaneo real. Si tienes mucho tráfico, es mucho más eficiente.
Si tiene problemas de rendimiento además de eso, debería considerar el uso de un producto comercial. La mayoría de los grandes jugadores tienen versiones de Linux/Unix en estos días.
Creo que Yahoo usa Symantec por correo. Hotmail fue con Trend, supongo. Trataré de clamd/clamscan por ahora y trataré de obtener algunos consejos de F-Secure, ya que son prácticamente la única compañía finlandesa que hace este tipo de cosas. –
Debería intentar encontrar un proveedor de antivirus que tenga una API pública para su escáner. De esta forma, puede escanear un archivo programáticamente. Hará que sea mucho más fácil a largo plazo que tratar de meterse con otros procesos a través de su script de carga.
Exactamente, ¿alguna idea de cuál de estos podría ser? – htm11h
relacionada con el comentario de IDisposable, OPSWAT también tiene [una API] (https://www.metascan-online.com/en/public-api) para la digitalización de archivos (incluyendo las cremalleras y otros archivos) – captnaimerica
Aquí están mis resultados para ClamAV cuando se prueba contra los virus conocidos:
[infectados] => AdvancedXPFixerInstaller.exe
[pase] => auto.exe
[pase] => cartao .exe
[infectados] => cartoes_natal.exe
[pase] => codec.exe
[pass] => e421.exe
[pase] => fixtool.exe
[infectados] => flash_install.exe
[infectados] => issj.exe
[infectados] => iwmdo.exe
[infectados] => jobxxc.exe
[infectados] => kbmt.exe
[pasar] => killer_cdj.exe
[pasar] => killer_javqhc.exe
[infectados] => killer_rodog.exe
[infectados] => kl.exe
[infectado] => MacromediaFlash.exe
[infectados] => MacromediaFlashPlayer.exe
[infectados] => paraense.exe
[infectados] => pibzero.exe
[pase] => scan.exe
[pase] => uaqxtg.exe
[pase] => vejkcfu.exe
[infectados] => VIDeoSS.exe
[infectados] => wujowpq.exe
[clave] => X-IrCBOT.exe
El problema es que ninguno de los que debería haber pasado .
1 para este valioso aporte –
¿Los ha ejecutado a través de escáneres comerciales? Solía ser un administrador de un producto que ejecutaba archivos a través de 4 escáneres comerciales en paralelo. Tenía un corpus virus de prueba de varios cientos y ninguno de los escáneres comerciales podrían encontrar a todos ellos ...
Aún no. Este paquete de prueba fue recomendado por una comunidad local de antivirus, así que supongo que representan los virus más recientes y más comunes. Soy consciente de que la tasa de detección suele oscilar entre el 20% y el 80%, lo que en realidad no es tan bueno. –
Usted debe mirar en opswat's MetaScan. Esta herramienta gestiona la actualización y el análisis de varios motores de archivos. Se combina con AVG, CA eTrust ™. ClamWin, ESET NOD32 Antivirus Engine, MicroWorld eScan Engine, Norman Virus Control y VirusBuster EDK. Además invocará a los Norton y tal. La ventaja es que obtiene múltiples motores ejecutándose contra el archivo.
clamscan analiza los archivos una vez que se almacenan, y no impiden que un archivo infectado de ser cargado o descargado
tengo un calamar (https + caché) < - (ClamAV con )>HAVP < -> configuración de proxy inverso de Tomcat. HAVP (http://www.server-side.de/) es una manera de escanear http tráfico aunque ClamAV o cualquier otro software antivirus comercial. Evitará que los usuarios descarguen archivos infectados.
Sin embargo, no funciona en carga, por lo que no impedirá que los archivos que se almacenan en los servidores, pero evitar que los archivos que se descargan y así propagan. Por lo tanto, úselo con un escaneo de archivos normal (por ejemplo, clamscan)
¿Desea escanear sistemas de archivos compartidos o el tráfico de correo electrónico en un MTA? – Yaba
Más como verificar archivos de documentos enviados por el usuario. Si alguien envía un archivo zip a través de un formulario de entrada, me gustaría poder verificarlo antes de permitir que se muestre, por ejemplo, en un foro de discusión. –