Linux服务器防病毒实战（2）

　主要特点：
　　拥有 avast! 杀毒内核的avast! for Linux/Unix 杀毒套装是专为 UNIX-like 作业系统而设的.此套装由命令行扫描器,相当于守护程序的常驻扫描器,和访问常驻扫描器的客户端组成.

• 杀毒内核

avast!For Linux 的杀毒内核跟 Windows 系统的是完全一样的, 那就是说,Linux 版本包含所有Windows杀毒内核的尖端功能.最新版本的 avast! 杀毒内核拥有突出的查杀效能,而且性能相当高,它可以检测出100%的流行病毒(已经在用户之间传播的病毒).还有出色的检测木马病毒功能和极低的误报 率. 此内核通过 ICSA实验室认证; 而且经常参加 Virus Bulletin 杂志的测试, 屡次获得 VB100 奖项. 像Windows版本的 avast!一样 , avast! 的 Linux 杀毒引擎有突出的解压功能. 它可以扫描, MAPI, CAB, ACE, CHM, 7ZIP 和 NTFS 流. 而且还可以扫描以下的压缩文档: ARJ, ZIP, MIME (+ 所有组合格式), DBX (Outlook Express 压缩档), RAR, TAR, GZIP, BZIP2, ZOO, ARC, LHA/LHX, TNEF (winmail.dat), CPIO, RPM, ISO, 和 SIS. 另外它还支持一些可执行压缩器 (例如 PKLite, Diet, UPX, AsPack, PeShield, PeProtect, FSG 和 MEW).

• 自动更新

病毒防护的另外一个关键是病毒数据库的更新. 当前版本并未采用增量式更新. 当病毒定义文件被更改整个 VPS 文件需要被新文件取替.

• 命令行扫描器

经验丰富的用户欣赏典型的从命令行控制的手动扫描器, . 它允许扫描指定目录里面的文件和本地及远程卷.当然命令行扫描器还可扫描通过网络挂载的卷. 程序是非常灵活的; 它可以接收大量参数指令. 它还能够创建大量供分析用的报告文件. 扫描器能够在STDIN/STDOUT 模式运作,把它用作管道过滤器. 这个模式主要是在shell脚本上使用的.

• 后台扫描器

杀毒daemon在后台运作.第三方应用程序可通过UNIX sockets访问杀毒daemon.Daemon可在指定用户的指定目录内使用.安装套装包括安装访问杀毒daemon的客户端.
　　1. 软件下载安装

#wget http://files.avast.com/files/lin ... ne-4.7.1-1.i586.rpm 　　#rpm –ivh libavastengine-4.7.1-1.i586.rpm 　　#wget http://files.avast.com/files/linux/avast4server-3.0.1-1.i586.rpm 　　#rpm –ivh avast4server-3.0.1-1.i586.rpm

注意安装顺序，默认软件包安装在/var/lib/avast4 目录下。另外注意: 程序需要一个有效的注册号才能正常运作，可在http://www.avast.com/cns/linux-server-demo-license.php 请求获得。
　　2. 查看avast手册页
　　avast是命令行下工作软件，软件提供请详细的手册页面。使用前请详细阅读。avast的手册页面如图1 。

　　图1 avast的手册页面

首先把获得许可证文件拷贝到：/var/lib/avast4 目录。

#cp License.dat /var/lib/avast4

Avast安装后会产生两个工具：
　　-病毒库守护进程 (名称是 "avastcmd")
　　-病毒扫描程序 (名称是 "avastd")
　　病毒库守护进程"avastcmd"在Redhat Linux 下的启动、停止、重新启动、重新加载配置文件、查看状态的命令如下：
　　/etc/init.d/avastd [start|stop|restart|reload|status]
　　在Slackware linux下的启动、停止、重新启动、重新加载配置文件、查看状态的命令如下：
　　/etc/rc.d/rc.avastd [start|stop|restart|reload|status]
　　在Freebsd操作系统下的启动、停止、重新启动、重新加载配置文件、查看状态的命令如下：
　　/usr/local/etc/rc.d/avastd.sh [start|stop|restart|reload|status]
　　如果希望病毒库守护进程"avastcmd"自动运行，可以打开如图2所示的窗口，在avast服务选项加上*(用空格键)，然后重新启动系统，这样系统会启动avast服务。

　　图2 自动启动服务守护进程

四、avastcmd命令行参数

avastcmd是基于命令行下的工具，配合一些参数可以更有效查杀Linux、Windows病毒。
　　格式：avastcmd [OPTION...]
　　[options]主要参数：
　　-_, --console :工作在STDIN/STDOUT模式下。
　　-a, --testall ：测试所有文件。
　　-b, --blockdevices ：扫描块设备文件。
　　-c, --testfull ：扫描所有文件。
　　-d, --directory ：说明目录，不包括子目录。
　　-i, --ignoretype ：忽略病毒报警信息。
　　-n, --nostats ：不统计病毒数量。
　　-p, --continue=1234 ：根据设定处理病毒文件，
　　1:删除, 2:没有设置2选项, 3:修复, 4:停止扫描工作
　　-r, --report=file 建立一个报告文件。
　　-t, --archivetype[=ZGBTIJRXOQHFVPYD6UWAN] 扫描文件后缀类型:
　　Z:ZIP(default),G:GZ(default), B:BZIP2(default), T:TAR(default),
　　I:MIME, J:ARJ, R:RAR, X:Exec(default), O:ZOO,
　　Q:ARC, H:LHA, F:TNEF, V:CPIO, K:CHM, P:RPM, Y:ISO,
　　D:DBX, 6:SIS, U:OLE(default), 1:INSTALL(default),
　　W:WINEXEC(default), A:All, N:None
　　-v, --viruslist=mask 显示所有病毒列表
-h, --help 显示帮助
　　--usage
　　-V, --version 打印版本信息
　　代表驱动器名称、文件名称或者目录名称。
　　五、测试avastcmd
　　您可以从网址(http://www.eicar.org/anti_virus_test_file.htm )下载一个测试感染文件 http://www.eicar.org/download/eicar_com.zip 将其放在一个临时目录中。使用avastcmd扫描该目录。然后查看结果，如果出现图2 界面表示安装fprot安装工作成功。

　　图3 测试avastcmd工作情况

从图中我们可以看到avastcmd程序版本、扫描引擎版本。以及发现病毒数量。
六、应用实例
　　例如需要可以检查本地系统加载的Windows分区，如果要检查C盘：使用命令：
　　#avastcmd /mnt/winc -report=cjh
　　上面这个命令还会生成一个名称cjh是报表文件。如果你能确认你的电子邮件服务器支持8—bit的字节，可以直接用命令发送报表到管理员邮箱 ：
　　cat <附件文件名> | mail <邮件地址>
　　cat(“concatenate”的缩写)命令是将几个文件处理成一个文件并将这种处理的结果保存到一个单独的输出文件，这里我们用它来合并邮件的文本。
　　cat cjh | mail goodcjh
　　上面的命令表示把内容为cjh文件内容的邮件给用户goodcjh。
　　查杀异构网络中Windows平台的计算机的步骤：
　 　另外我们通常使用Samba来做文件共享，Samba可以和使用Windows操作系统的机器很好的协作，在Windows的机器看来，Samba的服 务就是网上邻居里的显示的一台服务器，我们可以把Windows下的文件保存在这个服务器上面。你可以把其他Windows机器的共享挂到Samba的目 录下，然后一起杀，连Windows机器上的病毒也杀得干干净净。
　　映射网络驱动器
　　我们知道，在Windows下可以将共享目录映射为网络驱动器，这样就可以把共享目录当成本地文件夹使用。在Linux里也有类似的功能，可以借助于smbmount命令来实现：
　　首先在/mnt目录下创建一个目录，假设为/mnt/smb/A1，
　　#mkdir –p mnt/smb/A1
　　将远程计算机：A1的共享d磁盘挂载到/mnt/smb/A1，然后就像本地文件系统一样查杀计算机病毒：

#smbmount //A1/d /mnt/smb/A1 　　#cd /mnt/smb/A1 　　# avastcmd

2、卸载该映射目录，可以使用umount命令，然后挂载其他计算机查毒，方法是一样，此处不再赘述。
　　七、定时启动avastcmd方法
　　avastdwatch.sh是一个软件知道建立的脚步文件，通过它和cron可以定时使用avastcmd
　　在 Linux 中，任务可以被配置在指定的时间段、指定的日期、或系统平均载量低于指定的数量时自动运行。
　　1. 使用cron命令定时启动avastcmd
　　cron 是一个可以用来根据时间、日期、月份、星期的组合来调度对重复任务的执行的守护进程。cron 假定系统持续运行。cron 的主配置文件是 /etc/crontab，/etc/crontab 文件中的每一行都代表一项任务，它的格式是：
　　minute hour day month dayofweek command
　　· minute — 分钟，从 0 到 59 之间的任何整数。
　　· hour — 小时，从 0 到 23 之间的任何整数。
　　· day — 日期从 1 到 31 之间的任何整数(必须是该月份的有效日期)。
　　· month — 月份，从 1 到 12 之间的任何整数(或使用月份英文简写如 jan)。
　　· dayofweek — 星期从 0 到 7 之间的任何整数(或使用星期的英文简写如 sun等)。
　　· command — 要执行的命令。
　　应用实例：
　　首先建立定时器设置文件，文件名称mytype(名称自己设定)：
　　#crontab -e
　　文件内容：　

*/5 * * * * avastdwatch.sh -a=/var/run/avast4/local.sock -t=15 -d=/tmp -l=/var/log/avast4/avastdwatch.log

这样用户在每五分钟会自动对目录/tmp进行病毒扫描并且产生一个报表文件日志文件avastdwatch.log。
　 　到此为止我们介绍了基于命令行的Linux服务器防病毒软件的使用，大家可能觉得命令行的方式不太友好，后边笔者会介绍和avast! for Linux/Unix Servers 相似具有GUI界面的防病毒工具：avast! Linux Home Edition 。