ライン

ポイント:Server OSでも無料で利用できる

ライン

 はじめに

ClamWin

 Windows Server 2003のマシンがクラックされている可能性が否定できなくなったので、まずはウィルスチェックをしたいと思ったのがきっかけです。ClamAVは、FreeBSDでは利用してきましたが、Windows版は試用段階でいつも利用はしていませんでした。

 今回は、いきなり現用機に導入してしまうメモなのでドキドキです。

 導入と設定

導入

 導入は、ダウンロードページから行います。
clamwin-0.95.2-setup.exe を入手し、導入を行うことになります。

ClamWinのダウンロード

 では導入を開始します。英語ですが、特に気にせず入れてしまいましょう。

ClamWinのダウンロード






 のように、導入は進みます。

ClamWinのダウンロード

 とやっと終了します。そして、左のようなシステムトレイには動作しているアイコンをみつけることができると思います。

 上記のように、既に勝手に動き出して、デフォルトの設定はされています。
ドキュメントは英語版のPDFファイルがありました。30ページ程度で安心です。

設定

 ログやパターンファイルなどは、以下のように All Users\.clamwin 以下のディレクトリにあります。

 ウィルス検知もしっかりできました。
サーバとしては大丈夫でしたが、ユーザごとのファイルにはいました。

----------- SCAN SUMMARY -----------

Known viruses: 575074

Engine version: 0.95.2

Scanned directories: 2624

Scanned files: 21906

Infected files: 50



Data scanned: 12259.42 MB

Data read: 26368.74 MB (ratio 0.46:1)

Time: 4783.047 sec (79 m 43 s)

--------------------------------------

Completed

--------------------------------------

 結構いました。結果からすると、サーバにサービス影響はなかったので安心でした。

 さて、設定ですが、

 というような設定画面です。Infected Files はウィルスを発見した際の動作をどのようにするかを設定するわけですが、既存はレポートのみとなっていました。"Remove" にすれば、ファイルごと削除されます。mbox形式のメールボックスなどだったりすると、他が巻き添えになりますので、少し考慮はいるでしょうが。それ以外だったらこの選択もありでしょう。
 "Move To Quarantine Folder" は、ウィルスを見つけた際に移動される一時保存です。該当するディレクトリに移されます。
 そのほかの部分は説明は不要でしょう。(見たままです)

 Filtersのタブは、除外するものと加えるものを入れます。ログやイベントログのファイル、OutlookのPSTファイルなどはデフォルト除外されていることがわかります。必要があれば、ここに追加・削除を行えばいいでしょう。

 Internet Updatesのタブは、パターンファイルをどこのサイトから入手するかを指定します。折角なので、日本のサイトに変更してあります。
更新タイミングは、日に1回などの選択ができます。

--------------------------------------
ClamAV update process started at Sun Jun 21 20:35:00 2009
main.cvd is up to date (version: 51, sigs: 545035, f-level: 42, builder: sven)
daily.cld is up to date (version: 9492, sigs: 30634, f-level: 43, builder: guitar)

のように更新できたことも確認済みです。

"Proxy"タブは、プロクシーを入れているのであれば指定をします。

"Scheduled Scans"タブは、自動でスキャンをかけるスケジュールを設定することができます。
今回はサーバであり、頻繁なチェックはCPU負荷をかけてしまうので設定しませんでした。

"Emal Alerts"タブは、ウィルス検知時にメールにてお知らせしてくれる機能です。設定後に「Send Test Email」をクリックすることでちゃんとメールが送信できるかを確認することができます。

このようなメールが届いていることが確認できたと思います。

"Limits"タブは、制限値を設定します。100MBを超えるファイルはスキャンをしない設定の例です。
Zip,Lzhなどのアーカイブファイルの制限については、見た通りです。解凍した状態が 150MBを超える、または500個を超える、または5つ以上のサブアーカイブがあるとスキャンをスキップするようになっています。
この辺りは自分で方針を変更してみてください。

"File Locations"タブは、触ることはほぼ無いでしょう。プログラムやパターンファイルのDBの絶対位置が設定されています。

"Reports"タブは、スキャン後のログの保存位置です。スキャン後にウィルスが検知されるとタスクトレイ上にポップアップがあがります。

"Advanced"タブは、拡張設定です。
好みにより設定しましょう。Excelのマクロなども対象にしたスキャンをするオプションなどを加えることができます。
メールボックス用の "Treat Files As Mailboxes" は、どのような動きをするのか不明です。
ウェブ検索した感じでは、メールボックス形式のファイルの検索でウィルスを検知した場合、Infected Filesでremoveやmoveの指定であっても、これを実施せずメッセージだけにするもののような書き込みは見つけることはできます。
PDFのファイルなどをみれば書いてありそうですが、現時点では未確認です。

スキャナ優先度の設定は、Lowのままでいいと思います。今回の全検索ではほぼ100%近いCPU利用率となっていたので、サーバ負荷を下げるためにもWindows Server上では、これが適切そうです。ログサイズの最大値は、50Mとか100Mでいいでしょう。この時代だし。

ClamScanのパラメータは、わかっている人が指定してください。
一応、ヘルプは出力しておきました。

                       Clam AntiVirus Scanner 0.95.2
           By The ClamAV Team: http://www.clamav.net/team
           (C) 2007-2009 Sourcefire, Inc.

    --help                -h             Print this help screen
    --version             -V             Print version number
    --verbose             -v             Be verbose
    --debug                              Enable libclamav's debug messages
    --quiet                              Only output error messages
    --stdout                             Write to stdout instead of stderr
    --no-summary                         Disable summary at end of scanning
    --infected            -i             Only print infected files
    --bell                               Sound bell on virus detection
    --show-progress                      Print progress indicator for each file

    --tempdir=DIRECTORY                  Create temporary files in DIRECTORY
    --leave-temps[=yes/no(*)]            Do not remove temporary files
    --database=FILE/DIR   -d FILE/DIR    Load virus database from FILE or load all supported db files from DIR
    --log=FILE            -l FILE        Save scan report to FILE
    --recursive[=yes/no(*)]  -r          Scan subdirectories recursively
    --file-list=FILE      -f FILE        Scan files from FILE
    --remove[=yes/no(*)]                 Remove infected files. Be careful!
    --move=DIRECTORY                     Move infected files into DIRECTORY
    --copy=DIRECTORY                     Copy infected files into DIRECTORY
    --exclude=PATT                       Don't scan file names containing PATT
    --exclude-dir=PATT                   Don't scan directories containing PATT
    --include=PATT                       Only scan file names containing PATT
    --include-dir=PATT                   Only scan directories containing PATT
    --memory                             Scan loaded executable modules
    --kill                -k             Kill/Unload infected loaded modules
    --unload              -u             Unload infected modules from processes

    --detect-pua[=yes/no(*)]             Detect Possibly Unwanted Applications
    --exclude-pua=CAT                    Skip PUA sigs of category CAT
    --include-pua=CAT                    Load PUA sigs of category CAT
    --detect-structured[=yes/no(*)]      Detect structured data (SSN, Credit Card)
    --structured-ssn-format=X            SSN format (0=normal,1=stripped,2=both)

    --structured-ssn-count=N             Min SSN count to generate a detect
    --structured-cc-count=N              Min CC count to generate a detect
    --scan-mail[=yes(*)/no]              Scan mail files
    --phishing-sigs[=yes(*)/no]          Signature-based phishing detection
    --phishing-scan-urls[=yes(*)/no]     URL-based phishing detection
    --heuristic-scan-precedence[=yes/no(*)] Stop scanning as soon as a heuristic match is found
    --phishing-ssl[=yes/no(*)]           Always block SSL mismatches in URLs (phishing module)
    --phishing-cloak[=yes/no(*)]         Always block cloaked URLs (phishing module)
    --algorithmic-detection[=yes(*)/no]  Algorithmic detection
    --scan-pe[=yes(*)/no]                Scan PE files
    --scan-elf[=yes(*)/no]               Scan ELF files
    --scan-ole2[=yes(*)/no]              Scan OLE2 containers
    --scan-pdf[=yes(*)/no]               Scan PDF files
    --scan-html[=yes(*)/no]              Scan HTML files
    --scan-archive[=yes(*)/no]           Scan archive files (supported by libclamav)
    --detect-broken[=yes/no(*)]          Try to detect broken executable files
    --block-encrypted[=yes/no(*)]        Block encrypted archives
    --mail-follow-urls[=yes/no(*)]       Download and scan URLs

    --max-filesize=#n                    Files larger than this will be skipped and assumed clean
    --max-scansize=#n                    The maximum amount of data to scan for each container file (**)
    --max-files=#n                       The maximum number of files to scan for each container file (**)
    --max-recursion=#n                   Maximum archive recursion level for container file (**)
    --max-dir-recursion=#n               Maximum directory recursion level

(*) Default scan settings
(**) Certain files (e.g. documents, archives, etc.) may in turn contain other
   files inside. The above options ensure safe processing of this kind of data.

 現状は、正常に導入と設定ができることは確認できました。サーバは MS Exchangeは利用していませんが、メールサーバは動作しているので、SMTP上を流れるデータの検知は行えるとベターとは思っています。

 とりあえず、様子見で動作させはじめました。何が動きがあればページは更新予定です。

【改訂履歴】作成:2009/06/21
【参考リンク】
Free Antivirus for Windows - Open source GPL virus scanner… ClamWin Free Antivirusのオフィシャルページ(英語)

Copyright © 1996,1997-2006,2007- by F.Kimura,

design テンプレート