2015年05月24日
Tweet
僕は前に、たくさん sophos を触っていました。しかし最近はWindowsぐらいしか触らず、Linuxへのsophosインストールはご無沙汰でした。
最近提案した案件で、sophos が売れたので、それをインストールすることになりました。
インストールはマニュアルの通りですが、めちゃ簡単です。
./sophos-av/install.sh を実行するだけ。あとは質問に答えるだけでOKです。
インストール後は、EICAR というテストウイルスをダウンロード、実行させて、どのように検知されるか確認してみました。
・オンデマンド検索
# savscan /
---------------------------------------------
SAVScan virus detection utility
Version 5.12.0 [Linux/AMD64]
Virus data version 5.13, March 2015
Includes detection for 8899461 viruses, Trojans and worms
Copyright (c) 1989-2015 Sophos Limited. All rights reserved.
System time XX:XX:XX PM, System date XX May 2015
Quick Scanning
Could not open /lib/modules/2.6.32-504.16.2.el6.centos.plus.x86_64/source
Could not open /lib/modules/2.6.32-279.el6.x86_64/source
>>> Virus 'EICAR-AV-Test' found in file /root/eicar.com
10368 files scanned in 1 minute and 12 seconds.
2 errors were encountered.
1 virus was discovered.
1 file out of 10368 was infected.
If you need further advice regarding any detections please visit our
Threat Center at: http://www.sophos.com/en-us/threat-center.aspx
End of Scan.
---------------------------------------------
上記の通りコンソール画面に出力されました。
/var/log/messages には以下の通り
May XX XX:XX:XX [host] savd: savscan.log: On-demand scan started.
May XX XX:XX:XX [host] savd: savscan.log: On-demand scan details: master boot records scanned: 0, boot records scanned: 0, files scanned: 10368, scan errors: 2, threats detected: 1, infected files detected: 1
May XX XX:XX:XX [host] savd: Threat detected in /root/eicar.com: EICAR-AV-Test during on-demand scan. (The file is still infected.)
May XX XX:XX:XX [host] savd: savscan.log: On-demand scan finished.
ただし、初期インストール後の状態では、(テストインストールということもあって、ライセンスキーなどは適当なものを入力していたため?)
オンアクセス検索がどうもうまくいきません。
■オンアクセスサービスのステータス確認
# service sav-protect status
Sophos Anti-Virus daemon is active
→ OKでした。
# service sav-protect stop
Stopping Sophos Anti-Virus daemon: [ OK ]
→ 停止もOK
# service sav-protect start
Starting Sophos Anti-Virus daemon: No TBP available, running savupdate:
→ 起動がうまくいってない?
ログは以下の通り
May XX XX:XX:XX [host] savd: talpa.startup: Unable to load Talpa modules.
とりあえずライセンスキーを入力してからもう一度試す必要がありそうです。
最近提案した案件で、sophos が売れたので、それをインストールすることになりました。
インストールはマニュアルの通りですが、めちゃ簡単です。
./sophos-av/install.sh を実行するだけ。あとは質問に答えるだけでOKです。
インストール後は、EICAR というテストウイルスをダウンロード、実行させて、どのように検知されるか確認してみました。
・オンデマンド検索
# savscan /
---------------------------------------------
SAVScan virus detection utility
Version 5.12.0 [Linux/AMD64]
Virus data version 5.13, March 2015
Includes detection for 8899461 viruses, Trojans and worms
Copyright (c) 1989-2015 Sophos Limited. All rights reserved.
System time XX:XX:XX PM, System date XX May 2015
Quick Scanning
Could not open /lib/modules/2.6.32-504.16.2.el6.centos.plus.x86_64/source
Could not open /lib/modules/2.6.32-279.el6.x86_64/source
>>> Virus 'EICAR-AV-Test' found in file /root/eicar.com
10368 files scanned in 1 minute and 12 seconds.
2 errors were encountered.
1 virus was discovered.
1 file out of 10368 was infected.
If you need further advice regarding any detections please visit our
Threat Center at: http://www.sophos.com/en-us/threat-center.aspx
End of Scan.
---------------------------------------------
上記の通りコンソール画面に出力されました。
/var/log/messages には以下の通り
May XX XX:XX:XX [host] savd: savscan.log: On-demand scan started.
May XX XX:XX:XX [host] savd: savscan.log: On-demand scan details: master boot records scanned: 0, boot records scanned: 0, files scanned: 10368, scan errors: 2, threats detected: 1, infected files detected: 1
May XX XX:XX:XX [host] savd: Threat detected in /root/eicar.com: EICAR-AV-Test during on-demand scan. (The file is still infected.)
May XX XX:XX:XX [host] savd: savscan.log: On-demand scan finished.
ただし、初期インストール後の状態では、(テストインストールということもあって、ライセンスキーなどは適当なものを入力していたため?)
オンアクセス検索がどうもうまくいきません。
■オンアクセスサービスのステータス確認
# service sav-protect status
Sophos Anti-Virus daemon is active
→ OKでした。
# service sav-protect stop
Stopping Sophos Anti-Virus daemon: [ OK ]
→ 停止もOK
# service sav-protect start
Starting Sophos Anti-Virus daemon: No TBP available, running savupdate:
→ 起動がうまくいってない?
ログは以下の通り
May XX XX:XX:XX [host] savd: talpa.startup: Unable to load Talpa modules.
とりあえずライセンスキーを入力してからもう一度試す必要がありそうです。