리눅스 백신 ClamAV 스캔 결과 메일로 받아보기

| Updated

일전에 서버 및 워드프레스 보안을 위한 무료 리눅스 백신 ClamAV 이용 및 문제 해결법에 대해 포스팅 했습니다. 그 후 리눅스 서버에서 정기적으로 멀웨어가 있는지 ClamAV 스캔 후 그 결과를 관리자 메일로 보내는 방법을 고민해 봤습니다.

여기서는 리눅스 서버에서 ClamAV 스캔 후 멀웨어가 있는 경우와 없는 경우로 나우어 서버 관리자에게 메일로 알려주는 방법에 대해서 살펴보도록 하겠습니다.

우선 무료 리눅스 백신 ClamAV 사용법에 대해서는 아래 글을 참조하시기 바랍니다. ClamAV 설치 및 기본 이용 방법에 대해서는 이 글을 참조하시라고 별도로 설명하지는 않겠습니다.

ClamAV 멀웨어 스캔 결과를 메일로 보내는 방법

다행히 우분투 서버에서 ClamAV 스캔 후 메일로 보내는 방법들이 소개되어 있어 이를 기반으로 오류를 수정해 우분투 서버에 적용할 수 있었습니다.

비교적 자세히 설명된 자료는 아래를 참고하시기 바랍니다.

Configure Clamav for daily system scans and email notification on Debian

저도 이 사용법대로 사용해 봤는데 잘 안되어서 몇가지를 수정했습니다.

메일 발송 시스템

우선 저는 서버 메일 발송 시스템으로 지메일 릴레이 기능을 이용했다는 점을 밝히고 싶습니다. 메일 발송 시스템에 따라서 설정이 달라질 수 있다는 생각입니다.

이전 포스팅에서도 밝혔지만 제가 선택한 지메일 이용은 지메일에서 제공하는 릴레이 기능을 활용하므로 안전하고 스팸 메일로 분류될 가능성이 아주 적습니다. 다만 하루 500통 정도로 메일 발송횟수가 제한된다는 한계는 있습니다.

그렇기때문에 ClamAV로 스캔 후 메일 보낼 시 SMTP 메일 발송 옵션을 명기해 지메일 SMTP로 메일이 갈 수 있도록 했습니다.

아래와 같은 내용을 추가합니다.

# ClamAV 검사 및 메일 보내기 smtp_server=smtp.gmail.com:587 smtp_auth=Yes smtp_pass=지메일메일

바이러스 데이타베이스 업데이트

스캔전에 ClamAV가 가지고 있는 바이러스 데이타베이스를 업데이트해야 하는데요.

저의 경우는 일부 에러가 나타나서 아래와 같이 강제적으로 바이러스 데이타베이스 업데이트하도록 만들었습니다.

# 바이러스 데이타베이스 업데이트 lsof /var/log/clamav/freshclam.log pkill -15 -x freshclam /etc/init.d/clamav-freshclam stop freshclam /etc/init.d/clamav-freshclam start

ClamAV로 바이러스 스캔 및 결과 이메일로 보내기

여기서는 ClamAV로 바이러스 감염여부를 스캔한 후 감염 파일이 있는지 아닌지에 따라 다른 내용의 메일을 보내는 방법을 설명합니다.

먼저 앞부분에서 로그파일 위치, 이메일 주소, 스캔할 폴더 등을 지정해 줍니다.

LOGFILE="/var/log/clamav/clamav-$(date +'%Y-%m-%d').log"; EMAIL_FROM="발송 이메일 주소"; EMAIL_TO="수신 이메일 주소"; DIRTOSCAN="ClamAV가 스캔할 폴더";

다음으로 ClamAV로 스캔 및 그 결과를 메일로 보내는 쉘 스크립터를 작성합니다. 이는 쉡 스크립터에서 사용하는 if – then – else – fi 명령을 사용합니다.

이 스크립트에서 제가 아는 범위내에서 설명을 추가했으니 참고하시기 바랍니다.

for S in ${DIRTOSCAN}; do DIRSIZE=$(du -sh "$S" 2>/dev/null | cut -f1); echo "Starting scan of "$S" directory. Directory size: "$DIRSIZE"."; # 스캔한 폴더 용량 표시, 다른 표현 명령 Amount of data to be scanned is "$DIRSIZE"."; clamscan -ri "$S" >> "$LOGFILE"; # 감염 파일을 옮기는 경우 다음 명령 사용, clamscan -ri --remove "$S" >> "$LOGFILE"; # 멀웨어 등에 감염된 라인이 있는 지 확인, get the value of "Infected lines" # find /var/log/clamav/ -type f -mtime +30 -exec rm {} \; MALWARE=$(tail "$LOGFILE"|grep Infected|cut -d" " -f3); # 멀웨어 감염 파일이 0이 아니라면, 즉 감염 파일이 있다면 멀웨어가 발견되었다는 메세지와 함께 로그 파일 첨부해 메일 발송, # if the value is not equal to zero, send an email with the log file attached if [ "$MALWARE" -ne "0" ]; then # using heirloom-mailx below echo "오늘 ClamAV로 서버를 스캐닝했습니다. 그 결과 오늘 스캔한 $DIRTOSCAN에서 멀웨어가 발견되었습니다. 자세한 내용은 첨부 로그 파일을 참조하시기 바랍니다."|mail -A "$LOGFILE" -s "멀웨어가 발견되었습니다!!" -r "$EMAIL_FROM" "$EMAIL_TO"; else echo -e "오늘 ClamAV로 서버를 스캐닝했습니다. 그 결과 다행히 아무런 멀웨어가 발견되지 않았습니다. 따라서 오늘 스캔한 $DIRTOSCAN 부분은 안전하다고 할 수 있습니다. 자세한 내용은 첨부 로그 파일을 참조하시기 바랍니다."|mail -A "$LOGFILE" -s "스캔 결과 다행히 감염 파일은 없었습니다!!" -r "$EMAIL_FROM" "$EMAIL_TO"; fi done exit 0

최종 자동 실행 시키기

위에서 정리한 내용을 토대로 리눅스 서버 크론탭에서 자동으로 실행되도록 만들겠습니다.

우선 실행 파일을 만듭니다. 실행 파일은 clamav.sh로 정하죠. 편집기를 열어 파일 편집 준비를 합니다.

nano clamav.sh

이 파일에 위에서 정리한 내용을 추가합니다. 그리고 저장해야죠.

#!/bin/sh # 바이러스 데이타베이스 업데이트 lsof /var/log/clamav/freshclam.log pkill -15 -x freshclam /etc/init.d/clamav-freshclam stop freshclam /etc/init.d/clamav-freshclam start # ClamAV 검사 및 메일 보내기 smtp_server=smtp.gmail.com:587 smtp_auth=Yes smtp_pass=지메일메일"/var/log/clamav/clamav-$(date +'%Y-%m-%d').log"; EMAIL_FROM="발송 이메일 주소"; EMAIL_TO="수신 이메일 주소"; DIRTOSCAN="ClamAV가 스캔할 폴더"; for S in ${DIRTOSCAN}; do DIRSIZE=$(du -sh "$S" 2>/dev/null | cut -f1); echo "Starting scan of "$S" directory. Directory size: "$DIRSIZE"."; # 스캔한 폴더 용량 표시, 다른 표현 명령 Amount of data to be scanned is "$DIRSIZE"."; clamscan -ri "$S" >> "$LOGFILE"; # 감염 파일을 옮기는 경우 다음 명령 사용, clamscan -ri --remove "$S" >> "$LOGFILE"; # 멀웨어 등에 감염된 라인이 있는 지 확인, get the value of "Infected lines" # find /var/log/clamav/ -type f -mtime +30 -exec rm {} \; MALWARE=$(tail "$LOGFILE"|grep Infected|cut -d" " -f3); # 멀웨어 감염 파일이 0이 아니라면, 즉 감염 파일이 있다면 멀웨어가 발견되었다는 메세지와 함께 로그 파일 첨부해 메일 발송, # if the value is not equal to zero, send an email with the log file attached if [ "$MALWARE" -ne "0" ]; then # using heirloom-mailx below echo "오늘 ClamAV로 서버를 스캐닝했습니다. 그 결과 오늘 스캔한 $DIRTOSCAN에서 멀웨어가 발견되었습니다. 자세한 내용은 첨부 로그 파일을 참조하시기 바랍니다."|mail -A "$LOGFILE" -s "멀웨어가 발견되었습니다!!" -r "$EMAIL_FROM" "$EMAIL_TO"; else echo "오늘 ClamAV로 서버를 스캐닝했습니다. 그 결과 다행히 아무런 멀웨어가 발견되지 않았습니다. 따라서 오늘 스캔한 $DIRTOSCAN 부분은 안전하다고 할 수 있습니다. 자세한 내용은 첨부 로그 파일을 참조하시기 바랍니다."|mail -A "$LOGFILE" -s "스캔 결과 다행히 감염 파일은 없었습니다!!" -r "$EMAIL_FROM" "$EMAIL_TO"; fi done exit 0

다음으로 크론탭에 이 실핼 파일을 정기적으로 작동하라고 명령합니다.

다 아시겠지만 크론탭 명령을 등록 편집하는 것은 crontab -e 옵션을 사용합니다.

crontab -e

크론탬 명령을 추가합니다. 저는 매일 새벽 3시 15분에 실행하도록 했습니다. 다른 명령과 겹치다보니 이 시간이 나왔네요.

15 03 * * * clamav.sh

크론탭 명령을 추가했으면 크론을 재 실행시킵니다.

service cron start

실행 후 이런 메일이 날라오는군요. 다행히 멀웨어에 걸린 워드프레스 파일들은 없다고요.

무료 리눅스 백신 Clamav 실핼 시킨 후 결과 메일

서울에 생긴 Vultr 서버 100$ 프로모션 안내

안녕하세요?
새로운 사이트 구축을 위한 신규 서버를 고민하신다면 , 서울 리젼이 생겨 더욱 빨라진 Vultr 서버를 Vultr 100$ 프로모션으로 이용해 보세요.

아래 프로모션 코드 링크를 통해 Vultr에서 서버 구축 후 1달 이상 사용 및 $25이상 결제 時 추가 100$을 주는 프로모션을 진행 中입니다.

아래 이미지를 클릭해 등록할 수 있습니다.

Vultr는 서울에도 리젼이 있어 매우 빠르고, 아마존 웹 서비스(AWS)보다 성능이 높으며 가장 가성비가 뛰어납니다.

거기다 사용자 UI도 좋고, 15개까지 스냅샷을 무료로 제공하기 때문에 관리하기 좋습니다. 그리고 지금 100$ 프로모션처럼 가격적인 메리트도 있습니다.

저는 2016년부터 Vultr 서버를 사용했는데요. 지금까지 잘 사용해 오고 있습니다. 아래 사용기도 참고해 보세요.

도쿄 리젼과 비교해 본 Vultr 서울 리젼 사용기

가성비가 뛰어난 Vultr 가상서버호스팅(클라우드호스팅,VPS) 사용기

Vultr 가상서버호스팅의 새상품 High Frequency 사용기

가상 서버를 운영하고픈 勇者에게 전하는 가상 서버 운영 입문 노하우 – Vultr 가상서버호스팅(VPS)를 중심으로

해외 가상서버호스팅(VPS)이 국내 호스팅보다 빠르다? – 아이비호스팅과 해외 가상서버호스팅 VULTR간 비교

사이트 운영을 위한 안내 – 웹서버 세팅에서 워드프레스 설치까지(우분투 17.10, NGINX 1.13.6, Marian DB 10.2, PHP7.2)

워드프레스 최적화를 위한 18개월간의 고민, 그 노하우를 담다.

Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments