Интеграция c Virusdie

Введение

Антивирусная система Virusdie позволяет проверять сайты пользователей на наличие вредоносного кода (включая вирусы, трояны, спам-боты и другие угрозы) в файлах PHP, JS, HTML и системных файлах, а также выполнять лечение зараженных файлов. В этой статье описаны особенности интеграции ISPmanager 5 с антивирусной системой.

Официальный сайт Virusdie .

Страница модуля интеграции Virusdie на сайте ISPmanager.

Установка Virusdie доступна для всех версий ISPmanager 5 с версии 5.79.0 и выше.

Внимание! Установка и работа плагина возможна только если у вас на сервере используется "белый" IP адрес. За NAT данный модуль работать не будет.

Покупка плагина

Если Вы не приобретали плагин — сделайте это согласно инструкции.

Установка и настройка

После покупки плагина интеграции необходимо установить антивирусную систему на сервер. Данная операция доступна по кнопке "Установить" в списке плагинов (меню "Интеграция" ⇾ "Модули").

По нажатию на кнопку "Установить" откроется форма настройки. Нажатия кнопки "Ок" достаточно, чтобы антивирусная система установилась на сервер.

В момент установки IP-адрес сервера будет сообщен биллинговой системе, и в лицензии ISPmanager будет обновлена информация о лицензионном ключе Virusdie. Как только лицензионный ключ будет получен, ISPmanager с его помощью скачивает установочный пакет антивирусной системы. Архив установки разворачивается на сервере (в директорию /usr/local/vdserver/), в файл настроек Virusdie (/usr/local/vdserver/config.json) прописывается лицензионный ключ (используется для скачивания обновлений антивирусного сканера).

Внимание! IP-адрес лицензии ISPmanager должен соответствовать IP-адресу, с которого будет отправлен запрос на скачивание Virusdie.

Как только Virusdie будет успешно развернут на сервере, становится доступен модуль администрирования ("Инструменты" ⇾ "Virusdie"). В данном модуле отображаются все пользователи сервера, для которых кнопками "Вкл" и "Выкл" можно включать или выключать доступ к настройкам Virusdie.

Форма настроек Virusdie доступна в модуле "Инструменты" ⇾ "Virusdie" ⇾ "Настройки Virusdie".

С помощью этой формы администратор может:

• Узнать лицензионный ключ
• Узнать текущую версию и версию доступную для обновления
• Указать количество одновременных проверок
• Указать максимальное количество потоков при проверке
• Выбрать опции для сканирования архивов и отключения фильтра файлов по расширениям (по умолчанию Virusdie сканирует следующие расширения: htm, html, php, phps, phtml, js, pl, perl, asp, aspx, inc, tpl, class, htaccess, svg, png, gif, jpg, jpeg, ico, tif, tiff, bmp, tga)
• Удалить Virusdie с сервера
• Указать максимальный размер антивирусного отчета, обрабатываемого панелью управления (см. ниже).

Панель управления предусматривает ручной запуск антивирусного сканера по требованию администратора или пользователя, а также автоматический ежедневный (каждую ночь) запуск проверки на вирусы. По окончании проверки на вирусы будет сгенерирован отчет о данной операции. Сведения отчета в дальнейшем будут доступны в панели управления.

Доступ пользователей к проверке на вирусы

Если Virusdie развернут на сервере, суперпользователь панели ISPmanager может управлять доступом пользователей к Virusdie. Для этого следует зайти "Учётные записи" ⇾ "Пользователи", затем выделить нужного пользователя и нажать "Изменить".

В свойствах пользователя (раздел "Доступ") имеется два флажка:

• Автозапуск проверки на вирусы (Virusdie) — если флаг установлен, для домашней директории пользователя будет автоматически запускаться ежедневная проверка на вирусы (каждую ночь);
• Разрешить доступ к Virusdie — если флаг установлен, то пользователь получит доступ к просмотру отчетов о проверках на вирусы, а также сможет самостоятельно вручную запускать проверку на вирусы.

Этими же настройками можно управлять и в модуле администрирования ("Инструменты" ⇾ "Virusdie").

Настройки проверки на вирусы

Администратор и пользователь панели управления имеют различные настройки проверки на вирусы. Изменить эти установки можно с помощью формы "Инструменты" ⇾ "Virusdie" ⇾ "Параметры".

Если во время проверки на вирусы антивирусный сканер определяет, что файл заражен и обнаруженная угроза излечима, Virusdie может произвести лечение файла. За поведение сканера в этом случае отвечают два флажка:

• Автоматическое лечение — произвести лечение зараженного файла;
• Разрешить удалять файлы целиком — если лечение требует, чтобы файл был удален целиком, установка данного флажка разрешает удаление зараженного файла (в противном случае файл попадет в отчет, но удален не будет).

Также на этой форме можно указать:

• Максимальное количество хранимых отчетов
• Максимальный размер файла при сканировании — проверяться будут файлы меньше указанного размера
• Дату изменения файлов — проверяться будут файлы после указанной даты

Настройки, примененные в этой форме администратором, будут использоваться при запуске проверки администратором вручную либо при автоматическом ежедневном запуске проверки домашней директории пользователя. Настройки, примененные пользователем, будут использоваться только для проверки, запущенной этим пользователем вручную.

Администратор также указывает с помощью поля "Хранить отчетов" максимальное количество отчетов о проверке, сохраняемых для выбранного пользователя. Если количество отчетов пользователя достигло указанного, то при создании нового отчета наиболее старый будет удален.

Исключение файлов из проверки

Администратор и пользователь могут управлять исключениями — указывать список файлов или директорий, которые не будут проверены антивирусным сканером. Список исключений доступен в меню "Инструменты" ⇾ "Virusdie" ⇾ "Исключения".

Проcмотр отчетов о проверках на вирусы

Вы можете посмотреть отчет о проверки на вирусы, сколько вредоносных объектов обнаружено, сколько из них удалено. Для это необходимо нажать кнопку "Отчеты", выбрать нужную проверку и нажать кнопку "Подробнее".

Кнопка "Подробнее" активна только в том случае, когда отчет не пустой, т.е. когда угрозы обнаружены и в таблице нет нулей в столбцах — Угрозы, Излечимых, Вылечено, Ошибок, Статус.

Подробное описание статуса вредоносных объектов

В отчетах можно выделить угрозу, нажать на кнопку “Описание угрозы” и перейти на сайт virusdie.

Перейдя по ссылки можно видеть не только имя угрозы, но еще и уровень опасности угрозы, ее расширенное описание и рекомендации по дальнейшим действиям.

А также понимать — заражение это или подозрение, и видеть доступность автоматического лечения.

Алгоритм проверки на вирусы

1. В базу данных панели ISPmanager, в таблицу virusdie_reports, вносится информация об ожидаемом отчете;
2. В домашней директории пользователя проверяется наличие директории virusdie;
3. В домашней директории пользователя в директории virusdie создается файл excludes.txt, содержащий список исключений (директории имеют символ "/" на конце);
4. Выполняется запуск фонового задания антивирусного сканера (скрипт /usr/local/mgr5/var/virusdie/runvdscan.sh) с нужными парамтерами;
5. Каждую минуту запускается периодическое задание, собирающее информацию об ожидаемых отчетах:
   1. Если фоновое задание проверки на вирусы уже запущено для пользователя, отчеты пропускаются;
   2. Если фоновое задание не запущено, проверяется наличие сгенерированного файла отчета (домашняя директория пользователя/virusdie):
      • Если файл отчета существует, информация об отчете загружается в базу данных панели управления, а файл описания угроз (scan.json) из архива отчета копируется в директорию /usr/local/mgr5/var/virusdie/имя_пользователя/;
      • Если файл отчета отсутствует, отчет помечается в базе данных панели как подозрительный;
      • Если файл отчета отсутствует, и отчет помечен в базе данных панели как подозрительный (то есть это уже вторая проверка на наличие отчета), информация об отчете удаляется из базы данных панели управления;
6. Успешно проверенный отчет начинает отображаться в списке отчетов.

Если файл описания угроз scan.json или файл статистики stat.json, находящиеся в архиве отчета, превышают размер, указанный в параметре "Максимальный размер отчета" формы настроек Virusdie, то такой отчет не будет загружен в панель управления, но файл отчета будет доступен в директории (домашняя директория пользователя/virusdie).

Обновление базы данных

База данных Virusdie располагается на непосредственно на серверах Virusdie. База данных обновляется раз в сутки. Каждый раз при запуске сканера проверяется наличие обновлений.

Логирование

Ошибки возникающие во время сканирования по расписанию, можно увидеть в var/virusdierun.log. Так же с какими параметрами и когда запустился скан вручную можно посмотреть в логе var/longtask.log.

Обновление информации о лицензии Virusdie

Если по каким-либо причинам у вас сменился ключ лицензии Virusdie, который записывается в файл конфигурации самого сканера, вам нужно пройти в Модули → Настройки Virusdie и обновить информацию о лицензии.

Плановая проверка пользователей

В панели ISPmanager 5 начиная с версии 5.85.0 и выше будут доступны дополнительные настройки для плановой ежедневной проверки пользователей на вирусы.

На форме настроек плагина Вы сможете выбрать максимальное число единовременных проверок и приоритет процессов проверок.

Ознакомительная версия

Особенности ознакомительной версии

• Необходима активная лицензия на панель ISPmanager
• Доступна одна проверка в месяц
• Проверка осуществляется администратором с правами суперпользователя
• Проверяется вся директория /var/www
• Включение\выключение доступа к плагину для пользователей недоступно
• Возможность лечения\удаления\просмотра зараженных файлов недоступна

Переход на полную версию

Для того, чтобы перейти на полную версию плагина Вам достаточно заказать в биллинге модуль Virusdie для Вашей лицензии ISPmanager. Далее возможны несколько вариантов развития событий:

• Если Вы перешли к заказу Virusdie через кнопку Купить на форме Интеграция → Модули, то в момент перехода на форму Virusdie Вы будете перенаправлены на форму перехода к полной версии, если к этому моменту в файле лицензии панели будет информация о модуле Virusdie.

• Если переход в биллинг был осуществлен другим способом, то в момент, когда переход на полную версию станет доступен, на форме Virusdie появится уведомление

Нажатие на ссылку Подробнее переключить Вас на вышеописанную форму конвертации.

Почтовые уведомления

Начиная с версии 5.106.0 доступны почтовые уведомления о результатах проверок модуля VirusDie

Настройка

Для начала, в настройках модуля администратор панели должен включить возможность работы VirusDie с почтой. Для этого на форме настроек выберите пункт почтовые уведомления

Уведомления включаются отдельно для администратора и каждого пользователя. Для включения уведомлений администратора выберите появившийся пункт Уведомления администратора и заполните следующую информацию:

• email для отправки уведомлений
• периодичность проверки возможности отправки отчетов

Если на сервере до этого не были настроены почтовые уведомления, то перед сохранением данных Вы будете перенаправлены на форму их настройки.

Далее, каждый пользователь, имеющий доступ к VirusDie сможет настроить себе почтовые уведомления, которые будут приходить после каждой проверки на вирусы.

Отправка отчетов

Для пользователя, у которого настроены уведомления, отчеты будут отправляться после каждой проверки.

Для администратора, с указной периодичностью, идет проверка наличия новых отчетов о проверках. Если такие имеются, то будет сформирован общий отчет, содержащий информацию о количестве проверенных пользователей и общем количестве угроз.

VirusDie показывает в подробностях отчета только сайты с опасными файлами. Незараженые сайты в подробности не входят.

Уведомления почтового ящика

После того как сканер обнаружил на сервере вредоносные объекты, на Ваш почтовый ящик, указанный в настройках, будет отправлено письмо, информирующее вас о найденных угрозах. Отчет так же сообщит о том, заблокирован ли Ваш сайт и даст необходимые рекомендации по дальнейшим действиям.

Триальная лицензия

Для установки триальной лицензии VirusDie на вашем сервере должна быть установлена коммерческая лицензия ISPmanager. Триальная лицензия VirusDie не выдается для триальной лицензии ISPmanager.

Подозрительные файлы

В версии 5.151.0 добавляется возможность отправить на проверку в Virusdie подозрительные сигнатуры файлов.

Большинство современных антивирусов, сканеров уязвимостей используют «синтаксические» сигнатуры, взятые непосредственно из тела файла вируса или сетевого пакета. Для улучшения работы антивируса, вы можете загрузить файлы, указав их тип ошибки — как Ложно-Отрицательным/Ложно-Положительный.

Если после проверки сканером антивируса, файл был определен как вирус, но таким явно не является, то необходимо выбрать тип ошибки — Ложно-Положительный.

Если после проверки сканером антивируса, файл был определен как безопасный, но таким явно не является, то необходимо выбрать тип ошибки — Ложно-Отрицательным.

Интерфейс

Переход в список отправленных сигнатур осуществляется с помощью кнопки Сигнатуры на главной форме Virusdie как для администратора, так и для пользователя. Отправка файлов администратором поддерживается только в Lite версии панели.

Отправка

Для отправки файла на проверку нужно нажать кнопку Загрузить.

Этот механизм позволяет отправить только те файлы, которые содержатся в домашних директориях пользователей.

Так же есть возможность отправки сигнатур из менеджера файлов.

Для этого нужно выбрать один или несколько файлов и нажать на кнопку Сигнатура.

Последний способ отправить файл существует в отчетах сканера Virusdie. В списке обнаруженных угроз нужно выбрать файл, который был ошибочно принят за вредоносный, и нажать кнопку Сигнатура.

Обновить

По кнопке Обновить будет запрошен статус отправленных файлов и выставлен актуальный статус обработки запросов.

Сигнатуры отправляются на сервер VirusDie. Команда VirusDie меняет и создает правила обнаружения или лечения угроз. Файлы обрабатываются на усмотрение команды VirusDie и могут быть проигнорированы. В этом случае статус сигнатуры при обновлении станет "Файл проигнорирован". Если файл был обработан, и на его основе создано правило, то у сигнатуры вернется статус "Обработка закончена".

Обращаем внимание на то, что удалить можно только уже обработанный запрос.