本文實作將使用ClamAV提供的掃描程式,並配合ModSecurity模組的機制,針對上傳至網站伺服器的檔案進行掃描,若發現上傳檔案內含病毒,就會立即拒絕該檔案的上傳作業。
以下為一簡單規則設定,緊接其後的是內容的說明:
此規則設定表示,將檢查使用者的瀏覽器資訊是否有nikto(這是一種網頁掃描軟體),如果條件成立,即記錄並拒絕該來源的連線。
系統實作
在完成相關的軟體安裝後,最後還要再下載一個modsec-clamscan.pl檔案,可從「http://www.filewatcher.com/m/ modsec-clamscan.pl.1334-0.html」下載,此檔案是一支簡單的Perl程式,可與ModSecurity模組配合,取得上傳檔案並呼叫clamscan進行掃描。然後,設定modsec-clamscan.pl檔案內的$CLAMSCAN變數,將此變數設定成clamscan程式的所在位置,例如:
接下來,繼續設定httpd.conf。此為Apache網站伺服器的組態檔,如下所示:
設定完成之後,可在網路上下載Eicar的測試病毒檔案,此檔案並非是真正的電腦病毒,而是用來測試系統上的防毒軟體是否可正常的運作。可連結至下列網址下載:
https://imperia.trendmicro-europe.com/tw/support/virus-primer/eicar-test-files/index.html
而後,可透過上傳檔案的方式將此測試檔案上傳至網站伺服器。如果一切正常,在上傳的過程中會出現拒絕(403 forbidden)的訊息而無法正常上傳,並且在mod_sec.log檔案內會找到如圖6所示的訊息,顯示已偵測到Eicar病毒的訊息。
 |
| ▲圖6 偵測到Eicar病毒。 |
至此,ModSecurity模組已可針對上傳的檔案進行病毒掃描。
<本文作者:吳惠麟,多年資安經驗,喜好利用開源碼建構相關解決方案,著有「資訊安全原理與實驗」等書。>