Większość z nas miała problemy z zawirusowanymi komputerami. Różni ludzie mają różne podejście do problemu. Skrypt lms-antyvir wykrywa wirusy zagrażające stabilności sieci. Jest oparty na programie tcpdump, przy pomocy którego możemy spróbować wykryć wirusy/trojany same się rozprzestrzeniające jak Mydoom itp. Cechą wspólną prawie wszystkich tego typu programów jest skanowanie sieci na portach 135 i 445 oraz dodatkowych w zależności od odmiany wirusa. Oczywiście MS Windows też korzysta z tych portów, ale nie w takim stopniu. Po wykryciu nadmiernego ruchu wyświetlana jest informacja na standardowe wyjście lub włączane jest ostrzeżenie ze zdefiniowanym komunikatem.
Konfigurację lms-antyvir dokonuje się w sekcji [antyvir] pliku lms.ini, a masz do dyspozycji następujące opcje:
logfile
Lokalizacja tymczasowych pliku(ów) z logami tcpdumpa. Domyślnie: /tmp/antyvir
Przykład: logfile = /var/log/antyvir
interfaces
Lista oddzielonych spacją nazw interfejsów, z których tcpdump ma zbierać dane. Domyślnie: eth0
Przykład: interfaces = eth0 eth1
ports
Lista oddzielonych spacją portów, z których tcpdump ma zbierać dane. Dla każdego tworzony jest osobny proces, więc nie przesadzać. Domyślnie: 135 445
Przykład: ports = 445
packets
Określa liczbę pakietów po odebraniu której tcpdump kończy pracę. Domyślnie: 1000
Przykład: packets = 500
threshold
Określa liczbę pakietów, po przekroczeniu której program uznaje ruch w sieci za podejrzany. Domyślnie: 50
Przykład: threshold = 100
field
Ma to związek z tcpdumpem i jego różnymi wersjami. W starszych wersjach powinno być tu 6. Jak to sprawdzić? tcpdump -i eth1 -enp -c 1 otrzymujemy 00:03:38.613761 0:40:f4:b3:1c:67 0:30:84:b3:bb:8d 0800 1414: 10.100.0.52.4314 > 172.181.172.35.4662: .... interesuje nas pole w tym wypadku 6 czyli adres IP nadawcy. Domyślnie: 11
Przykład: field = 6
message
Treść ostrzeżenia, w którym można zastosować zmienną %DATE dla bieżącej daty i godziny. Jeśli pusta, ostrzeżenie nie zostanie włączone. Domyślnie: pusta
Przykład: message = Wykryto wirusa w dniu %DATE
Poprzedni | Spis treści | Następny |
Ostrzeżenia + squid | Początek rozdziału | FAQ |