ClamAV 비공식 DB 사용하기

Posted by Everyharu
2016. 10. 29. 19:28 IT/서버세팅

ClamAV는 분명 오픈소스진영에서의 훌륭한 바이러스 검사 툴이지만 아무래도 상용툴들에 비교하자면 조금 부족한것도 사실이다.

하지만 이를 매우기 위해 여러 진영에서 DB를 공유한걸로 보인다. 이를 위한 툴이

clamav-unofficial-sigs

라고 하는 놈이다.

Github 프로젝트로 등록되어 있으며 설치방법도 함께 소개가 되어있다.

분명히 비공식인지라 신뢰는 잘 가지 않지만 조금이라도 더 DB를 갖춰서 검사 정확도를 높이고자 한다면 써봄직 하다.

일단 분명한건...YARA와 같은 다른 곳들의 데이터가 있는건 좋지만 호환이 완벽하다고 보기도 어렵고..사실 사용상에 에러가 날 수 있다.

어디까지나 참고용이다.


설치방법

사전준비 : 당연하지만 기본적으로 ClamAV 를 설치(http://haru.kafra.kr/82)하고 세팅이 되어있어야 한다., Wget이 설치가 되어있어야 한다.

wget -q --no-check-certificate https://github.com/extremeshok/clamav-unofficial-sigs/archive/master.zip -O /tmp/clamav-unofficial-sigs.zip

cd /tmp

unzip /tmp/clamav-unofficial-sigs.zip

cp /tmp/clamav-unofficial-sigs-master/clamav-unofficial-sigs.sh /usr/local/bin/

chmod 755 /usr/local/bin/clamav-unofficial-sigs.sh

mkdir /etc/clamav-unofficial-sigs/

cp /tmp/clamav-unofficial-sigs-master/config/* /etc/clamav-unofficial-sigs/

cd /etc/clamav-unofficial-sigs/

ll

여기까지 했으면 

os.xxxx.conf 라고 되어있는 많은 파일이 보일것이다. 자신의 OS에 맞는놈을 골라서 os.conf 로 이름을 바꾸어준다.

필자는 centos7 이다.

cp os.centos7.conf os.conf

그리고 vim os.conf 를 하여 자신의 환경에 맞도록 설정한다.

필자가 이전에 쓴 글대로라면 clamd_reload_opt 부분에서 config-file 의 경로를 /etc/clamd.conf 로 바꿔야한다.


그리고 vim user.conf 를 하여 유저파일도 수정해야한다. 귀찮으니 필자는 다음과 같이 설정한다.

# Default dbs rating
# valid rating: LOW, MEDIUM, HIGH
default_dbs_rating="LOW"


# Per Database
# These ratings will override the global rating for the specific database
# valid rating: LOW, MEDIUM, HIGH, DISABLE
sanesecurity_dbs_rating="LOW"
securiteinfo_dbs_rating="LOW"
linuxmalwaredetect_dbs_rating="LOW"
yararulesproject_dbs_rating="LOW"

user_configuration_complete="yes"


자 이제 실제로 설치하여 db를 내려받으면 된다.

/usr/local/bin/clamav-unofficial-sigs.sh --install-cron

/usr/local/bin/clamav-unofficial-sigs.sh --install-logrotate

/usr/local/bin/clamav-unofficial-sigs.sh --install-man

위와 같이 하고나면 설정파일들이 로드된다.

그리고

/usr/local/bin/clamav-unofficial-sigs.sh

를 실행한다. 그럼 db들을 다운받게된다.


이제 성공적으로 db가 추가되었는지 확인할 차례이다.

clamscan --debug 2>&1 /dev/null | grep "loaded"


를 해보면 우리가 방금 추가한 비공식 DB인 YARA 와 같은 파일들을 볼 수 있다.