Upload
trinhbao
View
225
Download
2
Embed Size (px)
Citation preview
ユーザーマニュアルユーザーマニュアルユーザーマニュアルユーザーマニュアルユーザーマニュアル
UNIXネットワークコンピュータ&シングルコンピュータ用
ドキュメント作成日:2006年4月
Sophos Anti-Virus UNIX ユーザーマニュアル
2
このマニュアルについて
このユーザーマニュアルでは、Sophos Anti-Virus for UNIX の使用方法、および次の事柄を環境設定する方法について説明します。
! ウイルス検索
! 感染ファイルの隔離
! 駆除
! セントラルレポート
また、一般的な問題に関する解決策、および UNIX サーバーから Sophos Anti-Virus
をアンインストールする方法についても説明します。
自動自動自動自動自動で Sophos Anti-Virus をインストールし、アップデートする方法は、Sophos
Anti-Virus Network Install CD(ネットワークインストール CD)上の「Sophos
Anti-Virus&Sophos Client Firewall スタートアップガイド」をご覧ください。手動手動手動手動手動で Sophos Anti-Virus をインストールし、アップデートする方法は、Sophos
Anti-Virus Supplementary CD(補足 CD)上の 「Sophos Anti-Virus UNIX スタートアップガイド」をご覧ください。
ソフォスのドキュメントは、Sophos CD および www.sophos.co.jp/support/docs/ にてリリースされています。
Sophos Anti-Virus UNIX ユーザーマニュアル
3
目次
Sophos Anti-Virus を使う
1 コンピュータのウイルス検索 6
2 感染ファイルの隔離 8
3 駆除 9
4 エラーコード 11
環境設定
5 Sophos Anti-Virus の環境設定 14
6 オプションスイッチ 16
セントラルレポート
7 セントラルレポートの開始と監視 26
8 セントラルレポートの環境設定 28
9 セントラルレポートのレポートレベルの設定 30
トラブルシューティング
10 トラブルシューティング 34
補足
補足1 Sophos Anti-Virus のアンインストール 40
用語集と索引
用語集 42
索引 45
テクニカルサポート 47
Sophos Anti-Virus UNIX ユーザーマニュアル
4
Sophos Anti-Virus を使う
コンピュータのウイルス検索
感染ファイルの隔離
駆除
エラーコード
6
Sophos Anti-Virus UNIX ユーザーマニュアル
1 コンピュータのウイルス検索
アイテムをウイルス検索する場合は、‘sweep’と入力し、続いて検索するアイテムのパスを入力します。
デフォルトで Sophos Anti-Virus は次のアイテムを検索します:
! Windows 実行ファイル
! .sh ファイル、.pl ファイル
! マクロを含むことのできるファイル
! HTML ファイル
! PKLite、LZEXE、Diet などで圧縮されたファイル
! 指定したディレクトリの下にあるディレクトリ
! シンボリックリンクで指定されたアイテム
検索されるファイルの種類の一覧は、オプションスイッチ‘ -vv’を使用してsweep を実行し、表示してください。
検索するアイテムの種類を変更する場合は、5項と6項をご覧ください。
Sophos Anti-Virus は、crontab 機能を使って、指定した時刻に UNIX コンピュータを自動検索できます。詳細はご使用システムのドキュメントをご覧ください。
1.1 ローカルコンピュータの検索
ローカルコンピュータをウイルス検索する場合は、次のように入力します:
sweep /
1.2 特定のディレクトリやファイルの検索
特定のディレクトリやファイルをウイルス検索する場合は、検索するアイテムのパスを指定します。例:
sweep /usr/mydirectory/myfile
1.3 ファイルシステムの検索
ファイルシステムをウイルス検索する場合は、ファイルシステム名を指定します。例:
sweep /home
コマンドラインで複数のファイルシステムを指定することができます。
7
Sophos Anti-Virus UNIX ユーザーマニュアル
1.4 ブートセクタの検索
ブートセクタのウイルス検索は、Linux/Intel(libc6)と FreeBSD(バージョン3以降)のみで実行できます。
論理ドライブおよび物理ドライブのブートセクタを検索できます。
ブートセクタを検索する場合は、(ディスクデバイスへアクセスするため)スーパーユーザーとしてログインし、次のいずれかのコマンドを使用します。
特定の論理ドライブのブートセクタを検索する場合:
sweep -bs=xxx, xxx,...
ここで xxx はドライブ名です。(例: /dev/fd0、/dev/hda1 など)
Sophos Anti-Virus がアクセスできるすべての論理ドライブのブートセクタを検索する場合:
sweep -bs
システム上のすべての固定物理ドライブのマスターブートレコードを検索する場合:
sweep -mbr
1.5 ウイルスを発見した場合
検索終了後、次のような警告メッセージが表示されます。
Sophos Anti-Virus がウイルスを発見するがウイルスを発見するがウイルスを発見するがウイルスを発見するがウイルスを発見すると、発見されたウイルスは、>>> に続いて、‘Virus’あるいは‘Virus fragment’と表示された行に報告されます。
SWEEP virus detection utilityVersion 3.90.0 [Linux/Intel]Virus data version 3.90, February 2005Includes detection for 99603 viruses, trojans and wormsCopyright (c) 1989-2005 Sophos Plc, www.sophos.com
System time 09:35:55, System date 16 February 2005
Quick Sweeping
>>> Virus 'EICAR-AV-Test' found in file /home/source/eicar.src
33 files swept in 2 seconds.1 virus was discovered.1 file out of 33 was infected.Please send infected samples to Sophos for analysis.For advice consult www.sophos.com, email [email protected] telephone +44 1235 559933End of Sweep.
駆除に関する情報は、3項をご覧ください。
8
Sophos Anti-Virus UNIX ユーザーマニュアル
2 感染ファイルの隔離
感染ファイルを隔離してアクセスを禁止するよう、Sophos Anti-Virus を環境設定できます。隔離は、感染ファイルの所有者とパーミッションを変更することによって行われます。
隔離を指定する場合は次のように入力します:
sweep パス名 --quarantine
ここで パス名 は、検索するパスです。
デフォルトで Sophos Anti-Virus は、感染ファイルの所有者を、Sophos Anti-Virus
を実行しているユーザーに変更し、ファイルのパーミッションを -r-------- (0400)
に変更します。
なお、感染ファイルに適用される所有ユーザーやグループ、およびファイルのパーミッションを予め指定することもできます。これには、次のパラメータを使用します:
<uid=nnn>
<user=username>
<gid=nnn>
<group=groupname>
<mode=ppp>
同一タイプのパラメータは、一度に1つしか指定できないことにご注意ください。例えば、username を二度指定したり、uid と username を同時に指定することはできません。
値を指定しなかったパラメータには、先程のデフォルト値が使用されます。
次のように指定すると、
sweep fred --quarantine:user=sweep,group=virus,mode=0400
感染ファイルを所有するユーザーは sweep に、グループは virus に、ファイルのパーミッションは -r-------- に変更されます。
隔離の他に駆除(3項)も指定した場合、Sophos Anti-Virus は駆除に失敗した場合のみに感染アイテムを隔離します。
9
Sophos Anti-Virus UNIX ユーザーマニュアル
3 駆除
この項では、UNIX コンピュータにある感染アイテムを駆除する方法について説明します。UNIX 以外のクライアントマシンの駆除方法については、該当するプラットフォーム用の Sophos Anti-Virus ドキュメントをご覧ください。
駆除方法は、感染アイテムがデータファイルか、プログラムか、ブートセクタかによって異なります。
3.1 データファイルを駆除する
(文書ファイルやスプレッドシートなど)特定のデータファイルを駆除する場合は、次のように入力します:
sweep [データファイルへのパス] -di
一方、システム上のあらゆるデータファイルやプログラム内のウイルスを検出し、駆除する場合は、次のように入力します:
sweep / -di
いずれの場合も、ウイルス駆除前に確認メッセージが表示されます。
駆除後は、駆除したデータファイルの内容を注意深く確認してください。駆除後は、駆除したデータファイルの内容を注意深く確認してください。駆除後は、駆除したデータファイルの内容を注意深く確認してください。駆除後は、駆除したデータファイルの内容を注意深く確認してください。駆除後は、駆除したデータファイルの内容を注意深く確認してください。Sophos
Anti-Virus はウイルスを除去できますが、副作用を元に戻すことはできません。はウイルスを除去できますが、副作用を元に戻すことはできません。はウイルスを除去できますが、副作用を元に戻すことはできません。はウイルスを除去できますが、副作用を元に戻すことはできません。はウイルスを除去できますが、副作用を元に戻すことはできません。
ソフォスソフォスソフォスソフォスソフォス Web サイトにある各ウイルスの解析情報を参照し、該当する場合、そサイトにある各ウイルスの解析情報を参照し、該当する場合、そサイトにある各ウイルスの解析情報を参照し、該当する場合、そサイトにある各ウイルスの解析情報を参照し、該当する場合、そサイトにある各ウイルスの解析情報を参照し、該当する場合、そ
の副作用についてもお読みください。の副作用についてもお読みください。の副作用についてもお読みください。の副作用についてもお読みください。の副作用についてもお読みください。
3.2 Windows プログラムを駆除する
プログラムファイル内のウイルスは、次の2通りの方法で除去できます。
特定の感染プログラムを駆除する場合特定の感染プログラムを駆除する場合特定の感染プログラムを駆除する場合特定の感染プログラムを駆除する場合特定の感染プログラムを駆除する場合は、以下のように入力します:
sweep [プログラムファイル名] -di
これによってウイルスの感染が食い止められます。しかしプログラムが破損している可能性があるので、駆除後はプログラムを削除し、バックアップより元のファイルと置き換えるようにしてください。
特定の感染プログラムを削除する場合特定の感染プログラムを削除する場合特定の感染プログラムを削除する場合特定の感染プログラムを削除する場合特定の感染プログラムを削除する場合は、次のように入力します:
sweep [プログラムファイル名] -remove
また、すべての感染プログラムを削除する場合は、次のように入力します:
sweep / -remove
いずれの場合も、プログラムを削除する前に確認メッセージが表示されます。
10
Sophos Anti-Virus UNIX ユーザーマニュアル
3.3 ブートセクタを駆除する
ブートセクタの駆除は、Linux/Intel(libc6)と FreeBSD(バージョン3以降)のみで実行できます。
ブートセクタを駆除する場合は、次のように入力します:
sweep -bs=xxx -di
ここで xxx はドライブ名です。
例えば、フロッピーディスク内のウイルスを駆除する場合は、次のように入力します:
sweep -bs=/dev/fd0 -di
11
Sophos Anti-Virus UNIX ユーザーマニュアル
4 エラーコード
エラーが発生したり、ウイルスが発見された場合、Sophos Anti-Virus はエラーコードを返します。
0 エラーがなく、ウイルスが発見されなかった場合
1 ユーザーが「Ctrl+c」キーを押して、実行を中断した場合
2 実行の継続を妨げるエラーが発生した場合
3 ウイルスやウイルスフラグメントが発見された場合
4.1 拡張エラーコード
コマンド sweep をオプションスイッチ‘-eec’を使用して実行した場合、前項とは異なった、次のようなエラーコードが返されます。
0 エラーがなく、ウイルスが発見されなかった場合
8 エラーが発生した場合
16 パスワードで保護されたファイルが発見された場合(ファイルは未検索です)
20 ウイルスが発見され、駆除された場合
24 ウイルスが発見され、駆除されなかった場合
28 メモリにウイルスが発見された場合
32 整合性チェックに失敗した場合
36 致命的なエラーが発生した場合
40 実行が中断された場合
12
Sophos Anti-Virus UNIX ユーザーマニュアル
環境設定
Sophos Anti-Virus の環境設定
オプションスイッチ
Sophos Anti-Virus UNIX ユーザーマニュアル
14
5 Sophos Anti-Virus の環境設定
この項では、以下の操作を行うため Sophos Anti-Virus を環境設定する方法について説明します。
! ファイル全種類の検索(5.1項)
! 圧縮ファイル内の検索(5.2項)
! リモートコンピュータの検索(5.3項)
! シンボリックリンクのあるアイテムを検索から除外(5.4項)
! 起動ファイルシステムや起動コンピュータのみを検索(5.5項)
環境設定オプションの全容は6項をご覧ください。
この項にあるコマンドで、「パス名」は検索するパスを指します。
5.1 ファイル全種類の検索
デフォルトで Sophos Anti-Virus は実行ファイルのみを検索します。ファイルの種類に関わらず、すべてのファイルを検索する場合は、以下のように入力します。
sweep パス名 -all
これは実行ファイルのみを検索する場合と比べて時間がかかり、使用中のファイルを Sophos Anti-Virus が開こうとした場合、サーバーのパフォーマンスに影響を与えることがあります。また、誤警告を引き起こす原因ともなり得ます。
5.2 圧縮ファイル内の検索
Sophos Anti-Virus は、オプションスイッチ‘-archive’を使用して実行した場合、圧縮ファイル内を検索できます。
sweep パス名 -archive
検索可能な圧縮ファイルは、ARJ、CMZ、GZip、LZH、RAR、TAR、Zip などです。
圧縮ファイル内に別の圧縮ファイルがある場合、(例えば、Zip ファイル内にTAR ファイルがある場合)、それは再帰的に検索されます。
また、特定の圧縮ファイルの検索を指定することもできます。例えば、TAR 内を検索する場合は以下のように入力します:
sweep パス名 -tar
また、TAR ファイルや Zip ファイルを検索する場合は、以下のように入力します。
sweep パス名 -tar -zip
Sophos Anti-Virus UNIX ユーザーマニュアル
15
複合アーカイブが多数ある場合、検索の実行速度が遅くなることが考えられるので、無人のスケジュールモード検索を実行する場合はこのことにご注意ください。
検索される圧縮ファイルの種類の一覧は、オプションスイッチ‘-vv’を使用して表示できます。
5.3 リモートコンピュータを検索する
デフォルトで Sophos Anti-Virus は、リモートコンピュータ上のアイテムをウイルス検索しません。(つまり、リモートのマウントポイントを介しません。)リモートコンピュータの検索を有効にする場合は、以下のように入力します。
sweep パス名 --no-stay-on-machine
5.4 シンボリックリンクのあるアイテムの検索を無効にする
デフォルトで Sophos Anti-Virus は、シンボリックリンクによって指定されるアイテムをウイルス検索します。これを無効にする場合は、以下のように入力します。
sweep パス名 --no-follow-symlinks
アイテムの検索を一度に限定する場合は、オプションスイッチ‘-backtrackprotection’を使用してください。
5.5 起動ファイルシステムのみを検索する
起動ファイルシステム以外にあるアイテムを検索しないよう(つまり、マウントポイントを介さないよう)Sophos Anti-Virus を環境設定できます。以下のように入力します。
sweep パス名 --stay-on-filesystem
Sophos Anti-Virus UNIX ユーザーマニュアル
16
6 オプションスイッチこの項にあるオプションスイッチを使用して、検索および駆除を環境設定できます。以下のようなオプションスイッチがあります。
! 他の OS用 Sophos Anti-Virus と共通なオプションスイッチ(6.1項)
! Sophos Anti-Virus for UNIX 特有のオプションスイッチ(6.2項)
! Linux および FreeBSD 特有のオプションスイッチ(6.3項)
この項にあるコマンドで、「パス名」は検索するパスを指します。
6.1 Sophos Anti-Virus オプションスイッチ
各オプションスイッチの頭に‘-n’を付けると逆の意味を持ちます。例えば、‘-nsc’は‘-sc’の逆です。
オプションスイッチの一覧を表示する場合は、以下のように入力します。
sweep -h
-all すべてのファイルをウイルス検索するすべてのファイルをウイルス検索するすべてのファイルをウイルス検索するすべてのファイルをウイルス検索するすべてのファイルをウイルス検索する
これを使用すると、Sophos Anti-Virus は、実行ファイルだけでなく、ファイルシステム内の全ファイルをウイルス検索します。
これは実行ファイルのみを検索する場合と比べて時間がかかり、使用中のファイルを Sophos Anti-Virus が開こうとした場合、サーバーのパフォーマンスに影響を与えることがあります。また、誤警告を引き起こす原因ともなり得ます。
-archive 圧縮ファイル内をウイルス検索する圧縮ファイル内をウイルス検索する圧縮ファイル内をウイルス検索する圧縮ファイル内をウイルス検索する圧縮ファイル内をウイルス検索する
これを使用すると、Sophos Anti-Virus は、ARJ、CMZ、GZip、LZH、RAR、TAR、Zip などの圧縮ファイル内を検索します。
圧縮ファイル内に別の圧縮ファイルがある場合、(例えば、Zip ファイル内にTAR ファイルがある場合)、それは再帰的に検索されます。
また、特定の圧縮ファイルの検索を指定することもできます。例えば、TAR 内を検索する場合は以下のように入力します:
sweep パス名 -tar
また、TAR ファイルや Zip ファイルを検索する場合は、以下のように入力します。
sweep パス名 -tar -zip
複合アーカイブが多数ある場合、検索の実行速度が遅くなることが考えられるので、無人のスケジュールモード検索を実行する場合はこのことにご注意ください。
Sophos Anti-Virus UNIX ユーザーマニュアル
検索される圧縮ファイルの種類の一覧は、オプションスイッチ‘-vv’を使用して表示できます。
-b ウイルス発見の際にベルを鳴らすウイルス発見の際にベルを鳴らすウイルス発見の際にベルを鳴らすウイルス発見の際にベルを鳴らすウイルス発見の際にベルを鳴らす
これを使用すると、Sophos Anti-Virus がウイルスやウイルスフラグメントを発見した際、ベルが鳴ります。これはデフォルトで指定されています。
-c ウイルス駆除・削除の前に確認メッセージを表示するウイルス駆除・削除の前に確認メッセージを表示するウイルス駆除・削除の前に確認メッセージを表示するウイルス駆除・削除の前に確認メッセージを表示するウイルス駆除・削除の前に確認メッセージを表示する
これを使用すると、Sophos Anti-Virus は、ファイルの駆除・削除の前に確認メッセージを表示します。これはデフォルトで指定されています。
-di 駆除する駆除する駆除する駆除する駆除する
これを使用すると、Sophos Anti-Virus は、データファイル、プログラム、およびブートセクタを自動駆除します。3項をご覧ください。
-dn 検索中のファイルのファイル名を表示する検索中のファイルのファイル名を表示する検索中のファイルのファイル名を表示する検索中のファイルのファイル名を表示する検索中のファイルのファイル名を表示する
これを使用すると、Sophos Anti-Virus は、時刻、および検索しているファイルのファイル名を表示します。
-eec エラーコードを使用するエラーコードを使用するエラーコードを使用するエラーコードを使用するエラーコードを使用する
これは、
-exc
これイテする
オププシ
swe
これ‘pe
オプを指
swe
これ(お
拡張拡張拡張拡張拡張
17
を使用すると、Sophos Anti-Virus は拡張エラーコードを使用します。詳細4項をご覧ください。
lude 検索からアイテムを除外する検索からアイテムを除外する検索からアイテムを除外する検索からアイテムを除外する検索からアイテムを除外する
を使用すると、コマンドラインでこのオプションスイッチの後に指定したアム(ファイル、ディレクトリ、またはファイルシステム)を、検索から除外よう指定することができます。
ション‘-exclude’を使用後は、オプション‘-include’を使用して、そのオョンの後に指定したアイテムを検索することを指定できます。例:
ep fred harry -exclude tom peter -include bill
は、アイテム‘fred’、‘harry’および‘bill’を検索しますが、‘tom’やter’は検索しません。
ション‘-exclude’は、他のディレクトリの下にあるファイルやディレクトリ定するためにも使用することができます。例:
ep /home/fred -exclude /home/fred/games
は、Fred の home ディレクトリすべてを検索しますが、ディレクトリ games
よびその下のディレクトリとファイルすべて)は除外します。
Sophos Anti-Virus UNIX ユーザーマニュアル
18
-ext= 実行ファイルと定義されているファイルの拡張子実行ファイルと定義されているファイルの拡張子実行ファイルと定義されているファイルの拡張子実行ファイルと定義されているファイルの拡張子実行ファイルと定義されているファイルの拡張子
デフォルトで Sophos Anti-Virus は、一定のファイル拡張子を持つ DOS 実行ファイルと Windows 実行ファイルを検索します。(使用するファイル拡張子の一覧は、オプションスイッチ‘-vv’を使用してsweep コマンドを実行して表示できます。)
Sophos Anti-Virus が検索するファイル拡張子を追加で指定する場合は、オプションスイッチ‘-ext=’で拡張子をコンマで区切って指定してください。
ファイル拡張子リストにあるファイルを検索から除外する場合は、‘-next’を使用してください。
UNIX で実行ファイルと指定されているファイルを検索する場合は、6.2項にあるオプションスイッチ‘--examine-x-bit’を参照してください。
-f フルモード検索フルモード検索フルモード検索フルモード検索フルモード検索
デフォルトで Sophos Anti-Virus は、ファイル内でウイルスが存在する可能性のある部分のみを検索します。フルモード検索は、各ファイルの内容すべてを調べるもので、このオプションスイッチを使って指定できます。
フルモード検索は、デフォルト検索より時間がかかります。
-h ヘルプ
UNIX 特有のオプションスイッチも含め、すべてのオプションスイッチが表示されます。
-idedir= 別のディレクトリからウイルス別のディレクトリからウイルス別のディレクトリからウイルス別のディレクトリからウイルス別のディレクトリからウイルス ID(((((IDE ファイル)を読み取るファイル)を読み取るファイル)を読み取るファイル)を読み取るファイル)を読み取る
これを使用すると、別の IDE 用ディレクトリを指定できます。例:
sweep パス名 -idedir=/ide
この場合、Sophos Anti-Virus はデフォルトのディレクトリ(通常 /usr/local/sav)からでなく、ディレクトリ /ide から IDE ファイルを読み取ります。
-mime MIME ファイルを検索するファイルを検索するファイルを検索するファイルを検索するファイルを検索する
これを使用すると、Sophos Anti-Virus は MIME ファイルを検索します。デフォルトで MIME ファイルの検索は無効無効無効無効無効になっています。
--no-stop-scan Sophos Anti-Virus が誤って「が誤って「が誤って「が誤って「が誤って「Zip bomb」と判断するファイルを」と判断するファイルを」と判断するファイルを」と判断するファイルを」と判断するファイルを検索する検索する検索する検索する検索する
デフォルトで Sophos Anti-Virus は、「Zip bomb」を検出すると、その検索を停止します。
Sophos Anti-Virus UNIX ユーザーマニュアル
19
「Zip bomb」は、ウイルス対策スキャナの動作を妨害する悪質なファイルです。一見、害のないアーカイブファイルのように見えますが、検索するために解凍すると、多大な時間、ディスク空き容量、またはメモリを消費します。
「Zip bomb」が検出されると、次のようなメッセージが表示されます。
Aborted checking /home/fred/misc/b.zip - appears to be a 'zip bomb'
Sophos Anti-Virus は、複合アーカイブが多数ある場合など、ファイルを誤って「Zip bomb」と検出し、検索を停止することがあります。このようなファイルを検索するには、--no-stop-scan オプションを使用してください。例:
sweep /home/fred/package.zip --no-stop-scan
この場合、「Zip bomb」として検出されても、package.zip は検索されます。
このオプションを使用すると、「Zip bomb」に実際にアクセスした際も Sophos
Anti-Virus は検索を続けるので、使用はなるべく避けてください。
-oe Outlook Express メールボックスを検索するメールボックスを検索するメールボックスを検索するメールボックスを検索するメールボックスを検索する
これを使用すると、Sophos Anti-Virus は Outlook Express メールボックスを検索します。デフォルトで Outlook Express メールボックスの検索は無効無効無効無効無効になっています。なお、このオプションスイッチを使用する場合は、オプションスイッチ‘-mime’も使用する必要があります。
-p=<ファイル名ファイル名ファイル名ファイル名ファイル名|デバイス名デバイス名デバイス名デバイス名デバイス名> 画面画面画面画面画面へへへへへの出力をファイルやデバイスにコピーするの出力をファイルやデバイスにコピーするの出力をファイルやデバイスにコピーするの出力をファイルやデバイスにコピーするの出力をファイルやデバイスにコピーする
これを使用すると、Sophos Anti-Virus は画面に出力した内容を、特定のファイルやデバイスにも送信します。例:
sweep パス名 -p=log.txt
この場合、Sophos Anti-Virus は画面への出力内容をファイル log.txt に送信します。
-rec 繰り返し検索する繰り返し検索する繰り返し検索する繰り返し検索する繰り返し検索する
これを使用すると、Sophos Anti-Virus はコマンドラインで指定したディレクトリの下にあるディレクトリも検索します。これはデフォルトで指定されています。
-remove 感染アイテムを削除する感染アイテムを削除する感染アイテムを削除する感染アイテムを削除する感染アイテムを削除する
これを使用すると、Sophos Anti-Virus は感染アイテムを削除します。
-s 検索中のエリアを表示しない検索中のエリアを表示しない検索中のエリアを表示しない検索中のエリアを表示しない検索中のエリアを表示しない
これを使用すると、Sophos Anti-Virus は検索中のエリアを画面に表示しません。これはデフォルトで指定されています。
Sophos Anti-Virus UNIX ユーザーマニュアル
20
-sc 圧縮ファイル内をウイルス検索する圧縮ファイル内をウイルス検索する圧縮ファイル内をウイルス検索する圧縮ファイル内をウイルス検索する圧縮ファイル内をウイルス検索する
これを使用すると、Sophos Anti-Virus は、PKLite、LZEXE、Diet などを使って圧縮されたファイルを検索します。これはデフォルトで指定されています。
-v バージョン番号バージョン番号バージョン番号バージョン番号バージョン番号
これを使用すると、Sophos Anti-Virus は、バージョン番号と現在使用中のウイルス定義ファイル(IDE ファイル)の一覧を表示します。
-vv 完全なバージョン情報完全なバージョン情報完全なバージョン情報完全なバージョン情報完全なバージョン情報
これを使用すると、Sophos Anti-Virus は、バージョン番号、現在使用中のウイルス定義ファイル(IDE ファイル)の一覧、検索するファイルの拡張子、および検索する圧縮ファイルの種類を表示します。
6.2 UNIX 特有のオプションスイッチ
以下のオプションスイッチは UNIX 特有のものです。オプションスイッチの頭に‘no-’を付けると逆の意味を持ちます。
例:‘--no-follow-symlinks’は‘--follow-symlinks’の逆です。
--args-file=[ファイル名ファイル名ファイル名ファイル名ファイル名] ファイルよりコマンドライン引数を読み取るファイルよりコマンドライン引数を読み取るファイルよりコマンドライン引数を読み取るファイルよりコマンドライン引数を読み取るファイルよりコマンドライン引数を読み取る
Sophos Anti-Virus はファイルよりコマンドライン引数を読み取ります。コマンドライン引数は、ディレクトリ名、ファイル名、オプションスイッチなどです。例:
sweep --args-file=scanlist
この場合、Sophos Anti-Virus は、ファイル scanlist からコマンドライン引数を読み取ります。ファイルの終わりに到達すると、今度はコマンドラインから引数を読み取ります。
[ファイル名] にて‘-’を指定すると、Sophos Anti-Virus は stdin(標準入力)から入力を得ます。なお、次のオプションスイッチは、ここで指定したファイル内で使用することはできません: -eec、-neec、-p=、-s、-ns、-dn、-ndn
--backtrack-protection バックトラッキングを防ぐバックトラッキングを防ぐバックトラッキングを防ぐバックトラッキングを防ぐバックトラッキングを防ぐ
これを使用すると、Sophos Anti-Virus は同じファイルを二度検索(バックトラッキング)しません。バックトラッキングは、シンボリックリンクによって引き起こされる問題です。このオプションはデフォルトで指定されています。
--examine-x-bit UNIX が実行ファイルと定義したアイテムをすべて検索するが実行ファイルと定義したアイテムをすべて検索するが実行ファイルと定義したアイテムをすべて検索するが実行ファイルと定義したアイテムをすべて検索するが実行ファイルと定義したアイテムをすべて検索する
これを使用すると、Sophos Anti-Virus は、Sophos Anti-Virus 実行ファイルリスト内の拡張子を持つアイテムの他に、UNIX が実行ファイルと定義したアイテムすべ
Sophos Anti-Virus UNIX ユーザーマニュアル
21
てを検索します。(ファイル拡張子の一覧は、オプションスイッチ‘-vv’を使って sweep コマンドを実行し、表示できます。)
--follow-symlinks シンボリックリンクが指定するアイテムを検索するシンボリックリンクが指定するアイテムを検索するシンボリックリンクが指定するアイテムを検索するシンボリックリンクが指定するアイテムを検索するシンボリックリンクが指定するアイテムを検索する
これを使用すると、Sophos Anti-Virus は、シンボリックリンクが指定するアイテムをウイルス検索します。これはデフォルトで指定されています。
--preserve-backtrack バックトラッキング情報を保存するバックトラッキング情報を保存するバックトラッキング情報を保存するバックトラッキング情報を保存するバックトラッキング情報を保存する
これを使用すると、Sophos Anti-Virus は検索セッション中、バックトラッキング情報を保存します。これはデフォルトで指定されています。
--quarantine 感染ファイルを隔離する感染ファイルを隔離する感染ファイルを隔離する感染ファイルを隔離する感染ファイルを隔離する
これを使用すると、Sophos Anti-Virus は感染ファイルを隔離します。隔離は、感染ファイルの所有者とパーミッションを変更することによって行われます。
ファイルの駆除も指定している場合、Sophos Anti-Virus は、まず駆除を試み、駆除に失敗した場合のみにファイルを隔離します。
特に指定のない限り、Sophos Anti-Virus は、感染ファイルの所有者を Sophos Anti-Virus
を実行しているユーザーに変更し、ファイルのパーミッションを -r -------- (0400)
に変更します。
このオプションスイッチは、次のようなパラメータと共に使用できます:
<uid=nnn>
<user=username>
<gid=nnn>
<group=groupname>
<mode=ppp>
なお、同一タイプのパラメータは、一度に1つしか指定できないことにご注意ください。例えば、username を二度指定したり、uid と username を同時に指定したりすることはできません。
値が指定されなかったパラメータには、デフォルト値が使用されます。
以下のように指定すると、
sweep fred --quarantine:user=sweep,group=virus,mode=0400
感染ファイルを所有するユーザーは sweep に変更され、グループは virus に変更され、ファイルのパーミッションは -r-------- に変更されます。
所有者やパーミッションの指定には、特別のアクセス権限を持つユーザーか、スーパーユーザーとしてログインしていることが必要な場合があります。
Sophos Anti-Virus UNIX ユーザーマニュアル
22
--reset-atime ファイルのアクセス時刻をリセットするファイルのアクセス時刻をリセットするファイルのアクセス時刻をリセットするファイルのアクセス時刻をリセットするファイルのアクセス時刻をリセットする
ファイル検索後、Sophos Anti-Virus はファイルへのアクセス時刻(atime)を検索前の時刻にリセットします。しかし、ファイルを駆除した場合、アクセス時刻と変更時刻は更新されます。このオプションスイッチはデフォルトで指定されています。
検索済みファイルすべてが、アーカイバによって常にバックアップされてしまうことがあります。これは、atime のリセットが、i ノードのステータス変更時刻(ctime)の変更に相当することによります。このような場合は、オプションスイッチ‘--no-reset-atime’を使って sweep コマンドを実行してください。
--show-file-details ファイル所有者の詳細を表示するファイル所有者の詳細を表示するファイル所有者の詳細を表示するファイル所有者の詳細を表示するファイル所有者の詳細を表示する
これを使用すると、Sophos Anti-Virus は、ファイル名を表示したり、ログに記載する際、ファイル所有者およびパーミッションの詳細を表示します。
--skip-special 特別なオブジェクトを検索しない特別なオブジェクトを検索しない特別なオブジェクトを検索しない特別なオブジェクトを検索しない特別なオブジェクトを検索しない
これを使用すると、Sophos Anti-Virus は、/dev、/proc、/devices のような特別なオブジェクトを検索しません。これはデフォルトで指定されています。
--stay-on-filesystem 起動ファイルシステムのみを検索する起動ファイルシステムのみを検索する起動ファイルシステムのみを検索する起動ファイルシステムのみを検索する起動ファイルシステムのみを検索する
これを使用すると、Sophos Anti-Virus はリモートのマウントポイントを介さずに、起動ファイルシステムのみをウイルス検索します。
--stay-on-machine 起動コンピュータのみを検索する起動コンピュータのみを検索する起動コンピュータのみを検索する起動コンピュータのみを検索する起動コンピュータのみを検索する
これを使用すると、Sophos Anti-Virus はリモートのマウントポイントを介さずに、起動コンピュータのみをウイルス検索します。これはデフォルトで指定されています。
6.3 Linux と FreeBSD に特有のオプションスイッチ
以下のブートセクタ検索オプションスイッチは、Sophos Anti-Virus for Linux(Libc6)と Sophos Anti-Virus for FreeBSD(バージョン3以降)のみで使用できます。
-bs=xxx, xxx,... 指定した論理ドライブのブートセクタを検索する指定した論理ドライブのブートセクタを検索する指定した論理ドライブのブートセクタを検索する指定した論理ドライブのブートセクタを検索する指定した論理ドライブのブートセクタを検索する
Sophos Anti-Virus は、指定した論理ドライブのブートセクタを検索します。ここで、xxx はドライブ名です(/dev/fd0 や /dev/hda1 など)。このオプションスイッチでは、フロッピーディスクドライブも論理ドライブに含めています。
このオプションスイッチを使用して、(Windows や DOS など)他の OS 用に作成されたフロッピーディスクのブートセクタを検索することができます。
Sophos Anti-Virus UNIX ユーザーマニュアル
23
-bs すべての既知ブートセクタを検索するすべての既知ブートセクタを検索するすべての既知ブートセクタを検索するすべての既知ブートセクタを検索するすべての既知ブートセクタを検索する
アクセスできるすべての物理ドライブから、Sophos Anti-Virus はパーティションテーブル情報を抽出し、すべての論理ドライブのブートセクタを検索します。これには、(Windows や DOS など)Linux や FreeBSD 以外のブートセクタも含まれます。
-cdr= CD のブートイメージを検索するのブートイメージを検索するのブートイメージを検索するのブートイメージを検索するのブートイメージを検索する
これを使用すると、ブート可能な CD のブートイメージを検索できます。例:
sweep -cdr=/dev/cdrom
この場合、Sophos Anti-Virus は、デバイス /dev/cdrom にある CD のブートイメージ(存在する場合)を検索し、ブートイメージを見つけると、そのブートセクタをブートセクタ感染型ウイルスに対して検索します。
ブートイメージ内にて、Sophos Anti-Virus 実行ファイルリストにある種類のファイルすべてをファイル感染型ウイルスに対して検索するには、オプションスイッチ‘-loopback’を使用します。例:
sweep -cdr=/dev/cdrom -loopback
この場合、Sophos Anti-Virus は、デバイス /dev/cdrom にある CD のブートイメージ(存在する場合)を検索し、ブートイメージを見つけると、そのブートセクタをブートセクタ感染型ウイルスに対して検索し、実行ファイルリストにあるファイルタイプのファイルすべてをファイル感染型ウイルスに対して検索します。
-mbr マスターブートレコードを検索するマスターブートレコードを検索するマスターブートレコードを検索するマスターブートレコードを検索するマスターブートレコードを検索する
Sophos Anti-Virus は、システムにあるすべての物理ドライブのマスターブートレコードを検索しようとします。
Sophos Anti-Virus UNIX ユーザーマニュアル
24
セントラルレポート
セントラルレポートの開始と監視
セントラルレポートの環境設定
セントラルレポートのレポートレベルの設定
Sophos Anti-Virus UNIX ユーザーマニュアル
26
7 セントラルレポートの開始と監視
InterCheck サーバーをインストールした場合、ネットワーク上の Windows クライアントマシンはサーバーにウイルスレポートを送信することができます。
使用されるディレクトリはデフォルトで /var/spool/intercheck です。
/var/spool/intercheck は、InterCheck を実行している UNIX 以外のクライアントマシンがアクセス可能な、エクスポートされたディレクトリであることが必要です。これには、infected と comms という2つのサブディレクトリがあり、共にユーザーかつグループ‘sweep’が所有者になっています。infected のパーミッションは0700で、comms のパーミッションは1777です。
この項では、以下の方法について説明します。
! InterCheck サーバーの開始
! InterCheck サーバーの停止
! InterCheck サーバー活動の監視
Sophos Anti-Virus UNIX ユーザーマニュアル
27
7.1 InterCheck サーバーの開始
InterCheck サーバーを初めてインストールした場合、あるいはシャットダウンされている場合は、以下のように入力して開始します。
icheckd
以下のオプションはコマンド icheckd と使用できます:
-d
デーモンとして実行します(デフォルト、かつ推奨モード)。
-nd
デーモンとして実行しません。InterCheck サーバーは画面の最前面で実行され、すべてのログ情報は画面に表示されます。
-c ファイル名ファイル名ファイル名ファイル名ファイル名
使用する環境設定ファイルを指定します。デフォルトは、/etc/icheckd.conf です。
-h
使用状況を表示します。
InterCheck サーバーが開始すると、環境設定ファイルを作成していない限りデフォルトの環境設定で実行されます。(8項)
InterCheck サーバーに SIGHUP シグナルを送ると、InterCheck サーバーを停止・再開始できます。
7.2 InterCheck サーバーの停止
InterCheck サーバーを停止するには、以下を入力します。
icheckd -stop
7.3 InterCheck サーバーの監視
InterCheck サーバーを監視するには、以下のファイルを参照します。
sweepic.res
ファイルには、InterCheck サーバー活動の統計と詳細があります。
デフォルトの場所:/var/spool/intercheck/comms
ファイル sweepic.res にあるデータは未処理なので、統計内容をわかりやすくするには、このファイルを処理するスクリプトを作成してください。
Sophos Anti-Virus UNIX ユーザーマニュアル
28
8 セントラルレポートの環境設定
InterCheck サーバーが使用する設定を変更する場合は、/etc/icheckd.conf という環境設定ファイルを設定し、8.1項にあるパラメータを入力します。環境設定ファイルの例は8.2項をご覧ください。
InterCheck サーバーは、起動するたびに設定情報をこのファイルから読み取ります。
InterCheck サーバーが新しい設定内容を直ちに使用するようにする場合は、SIGHUP シグナルを送ってください。(または7項の指示に従って、InterCheck
サーバーを停止・開始してください。)
8.1 InterCheck サーバー環境設定オプション
以下の環境設定オプションがあります:
EmailCmd=<ストリングストリングストリングストリングストリング>
このオプションは、ウイルス発見時やファイルシステムの空き容量がなくなりそうな時、ユーザーにメールを送信するために使用するメールプログラムを指定します。
このオプション(または EmailRecipient)で何も指定しないと、メールは送信されません。例:
EmailCmd=
デフォルトのメールプログラムは /bin/mail です。
EmailLevel=<数値数値数値数値数値>
このオプションは、ウイルス発見時やファイルシステムの空き容量がなくなりそうな時にユーザーにメールを送信する、最低のレポートレベルを指定します。
レポートレベルの詳細と設定方法は9項をご覧ください。
メールレベルがレポートレベルより低いまたは同じでない限り(例:レポートレベルが‘VIRUS’(または 2)でメールレベルが‘INFORMATION’(または 5)の場合)、メールは送信されません。
デフォルトは 0 で、常にメールが送信されます。
Sophos Anti-Virus UNIX ユーザーマニュアル
29
EmailCmd=<ストリングストリングストリングストリングストリング>
このオプションは、ウイルス発見時やファイルシステムの空き容量がなくなりそうな時に送信するメールの受信ユーザーを指定します。
このオプションや EmailCmd で何も指定しないとメールは送信されません。例:
EmailRecipient=
デフォルトユーザー名は‘sweep’です。
LogFacility=<ストリングストリングストリングストリングストリング>
このオプションは、情報をログする際に使用する syslog 機能を指定します。指定できる syslog 機能は、デーモン、local 0、local 1... local 7 などです。
デフォルトは‘デーモン’です。
Rootdirectory=<ストリングストリングストリングストリングストリング>
このオプションは、InterCheck サーバーのルートディレクトリ名を指定するために使用します。ディレクトリ comms と infected はこのルートディレクトリにあり、ディスクレスクライアントにインストールする際のディレクトリ lists もここにあります。
デフォルトでは /var/spool/intercheck です。
8.2 環境設定ファイルの例
以下は環境設定ファイルの例です:
RootDirectory=/var/spool/intercheck
EmailRecipient=sysadmin
EmailCmd=/bin/mail
Sophos Anti-Virus UNIX ユーザーマニュアル
30
9 セントラルレポートのレポートレベルの設定
InterCheck サーバーはデーモンとして実行されるので、レポート情報は UNIX のsyslog 機能によって返されます。
InterCheck サーバーが UNIX syslog にレポートするイベントのレベルを変更する場合は、以下のファイルを開き、
sweepic.ini
以下のフィールドを編集してください。
Reporting Level =
デフォルトでファイル sweepic.ini はディレクトリ /var/spool/intercheck/comms にあります。
レポートレベルには、‘NONE’(レポートなし)から‘VERBOSE’(詳細レポート)まであります。‘VERBOSE’レベルでは検索されたすべてのファイルの詳細がログされます。ウイルスに関する情報をログする場合は、最低‘VIRUS’レベルの指定が必要です。
レポートレベルを直接指定した場合、各レベルはストリングでなく、数値(0 から6)として表示されます。詳細は、9.1項をご覧ください。
レポートレベルが高い場合、ログファイルが急速にいっぱいになることが考えられるので、ファイルシステムの空き容量がなくなりそうかを調べ、随時、空き容量を確保してください。ファイルシステムの空き容量がなくなりそうな場合、InterCheck は(メールで)警告を送信しますが、あらかじめ空き容量を確保しておくのが賢明です。
デフォルトのレポートレベルは‘VIRUS’です。
Sophos Anti-Virus UNIX ユーザーマニュアル
31
9.1 レポートレベルと UNIX ログレベル
レポートレベルと UNIX ログレベルは次のように対応します。
レポートレベルレポートレベルレポートレベルレポートレベルレポートレベル UNIX ログレベルログレベルログレベルログレベルログレベル
NONE(または 0) 該当なし
FATAL(または 1) LOG_CRIT
VIRUS(または 2) LOG_CRIT
ERROR(または 3) LOG_ERR
WARNING(または 4) LOG_WARNING
INFORMATION(または 5) LOG_INFO
VERBOSE(または 6) LOG_NOTICE
UNIX のバージョンによっては、以下のような記述文を syslog 環境設定ファイル(通常、/etc/syslog.conf)に含めることで、InterCheck からレポート情報を送ることが可能になる場合があります:
daemon.notice /var/log/daemon
もちろん、syslog 環境設定ファイルに、既にこれと同様の記述がある場合も考えられます。
レポート情報の送信先ファイル名は、システムやユーザーの好み・要求に応じて異なります。
また、/etc/icheckd.conf で‘LogFacility’オプションを使用して、syslog 機能をデフォルト設定のデーモンから別の値に変更することもできます。
レポート情報のレベルは、以下のいずれか1つ、あるいは両方によって制限されることにご注意ください。
! InterCheck レポートレベル(上記参照)
! 環境設定ファイルで指定したレポートレベル(8.1項)
システムログやシステムログファイルについての詳細は、ご使用のシステムマニュアルをご覧ください。
Sophos Anti-Virus UNIX ユーザーマニュアル
32
トラブルシューティング
Sophos Anti-Virus UNIX ユーザーマニュアル
34
10 トラブルシューティング
この項では、Sophos Anti-Virus for UNIX を使用する際、起こりうる問題について検討します。(Sophos Anti-Virus for UNIX エラーコードの詳細は4項をご覧ください。)
発生した問題に関する説明がここにない場合は、ソフォス Web サイト(www.sophos.co.jp) にて、よくある質問(FAQ)、ウイルス解析情報、最新のウイルス定義ファイル、製品ダウンロード、技術資料などをご覧ください。
Web サイトにも説明がない場合は、ソフォステクニカルサポートまでお問い合わせください。
10.1 「見つかりません」または「ライブラリをロードできません」とシステムが報告する
Sophos Anti-Virus を実行しようとした際、システムがこのいずれかのメッセージを返した場合は、システム設定を変更する必要があると考えられます。また、ログインスクリプトやプロファイル内の環境変数に、Sophos Anti-Virus が使用するディレクトリが含まれるようにしてください。
! PATH に /usr/local/bin が含まれるようにする
! MANPATH に /usr/local/man が含まれるようにする
! LD_LIBRARY_PATH に /usr/local/lib が含まれるようにする
AIX でライブラリ環境変数は LIBPATH で、HPUX では SHLIB_PATH です。
FreeBSD や Linux などのシステムでは、ldconfig を実行して、Sophos Anti-Virus がSophos Anti-Virus 共有ライブラリを使用するようにできます。これには/etc/ld.so.conf の編集が必要になる場合があります。
いずれかの設定が含まれていない場合は、以下の例のように、それを各環境変数に追加してください。なお、既存の設定には変更を加えないようにしてください。
sh シェル、シェル、シェル、シェル、シェル、ksh シェル、またはシェル、またはシェル、またはシェル、またはシェル、または bash シェルを実行している場合シェルを実行している場合シェルを実行している場合シェルを実行している場合シェルを実行している場合は、以下を入力します:
PATH=$PATH:/usr/local/bin
export PATH
LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/usr/local/lib
export LD_LIBRARY_PATH
Sophos Anti-Virus UNIX ユーザーマニュアル
35
csh シェルやシェルやシェルやシェルやシェルや tcsh シェルを実行している場合シェルを実行している場合シェルを実行している場合シェルを実行している場合シェルを実行している場合は、以下を入力します。
setenv PATH [値] :/usr/local/binsetenv LD_LIBRARY_PATH [値] :/usr/local/lib
ここで [値] は、既存の設定値です。
/etc/login や /etc/profile を編集して、システム全体にこれらの設定を反映させるようにしてください。
ログインスクリプトがないないないないない場合は、サーバーを再起動するたびに、これらの値を再指定する必要があります。
10.2 Sophos Anti-Virus のディスク容量が足りなくなる
これは、複合圧縮ファイルをウイルス検索する際に起こることが考えられます。
圧縮ファイルを解凍する際、Sophos Anti-Virus は検索結果を /tmp ディレクトリに保存します。このディレクトリの容量が大きくない場合、ディスク容量が足りなくなることが考えられます。また、Sophos Anti-Virus が各ユーザーのディスク容量を越えた場合もこの問題が起こることが考えられます。
これは、/tmp の容量やユーザーのディスク容量を増やすことによって解決できます。または、環境変数 SAV_TMP を設定して、Sophos Anti-Virus が検索結果を保存するディレクトリを変更してください。
10.3 検索スピードが遅い
フルモード検索で作動しているフルモード検索で作動しているフルモード検索で作動しているフルモード検索で作動しているフルモード検索で作動している
デフォルトで Sophos Anti-Virus は、‘クイックモード’検索を行い、ウイルスが存在する可能性のある部分のみを検索します。一方、‘フルモード’検索が指定されている場合、全アイテムを検索し、検索にはより時間がかかります。
6.1項にある‘-f’オプションをご覧ください。
フルモード検索は一部のウイルスを検出する際に必要ですが、ソフォステクニカフルモード検索は一部のウイルスを検出する際に必要ですが、ソフォステクニカフルモード検索は一部のウイルスを検出する際に必要ですが、ソフォステクニカフルモード検索は一部のウイルスを検出する際に必要ですが、ソフォステクニカフルモード検索は一部のウイルスを検出する際に必要ですが、ソフォステクニカルサポートからの指示があった場合など、状況に応じてのみ有効にするようにしルサポートからの指示があった場合など、状況に応じてのみ有効にするようにしルサポートからの指示があった場合など、状況に応じてのみ有効にするようにしルサポートからの指示があった場合など、状況に応じてのみ有効にするようにしルサポートからの指示があった場合など、状況に応じてのみ有効にするようにしてください。てください。てください。てください。てください。
すべてのファイルをウイルス検索しているすべてのファイルをウイルス検索しているすべてのファイルをウイルス検索しているすべてのファイルをウイルス検索しているすべてのファイルをウイルス検索している
デフォルトで Sophos Anti-Virus は、実行ファイルとして定義されたファイルのみを検索します。すべてのファイルを検索する設定になっていると、より時間がかかります。実行ファイルの他に、特定の拡張子を持つファイルを検索する場合は、その拡張子をSophos Anti-Virus が実行ファイルとして定義する拡張子のリストに追加してください。
6.1項にあるオプションスイッチ‘-all’および‘-ext=’をご覧ください。
Sophos Anti-Virus UNIX ユーザーマニュアル
36
10.4 検索済みファイルすべてをアーカイバがバックアップする
Sophos Anti-Virus が検索したファイルすべてを、常にアーカイバがバックアップしてしまう場合があります。これは、Sophos Anti-Virus がファイルのステータス変更時刻(ctime)に変更を加えるために起きるものです。
デフォルトで Sophos Anti-Virus は、ファイルのアクセスタイム(atime)をウイルス検索前の時刻にリセットしようとしますが、これは、i ノードのステータス変更時刻(ctime)を変更することに相当します。アーカイバがファイルの変更をctime によって判断している場合、Sophos Anti-Virus が検索したファイルすべてをアーカイバがバックアップすることになります。
このようなバックアップを禁止するには、オプションスイッチ‘--no-reset-atime’を使用して sweep コマンドを実行してください。
10.5 InterCheck サーバーがシステムログに何も情報を記録しない
InterCheck サーバーが syslog 情報を作成しない場合には以下の理由が考えられます。
InterCheck サーバーが稼動していないサーバーが稼動していないサーバーが稼動していないサーバーが稼動していないサーバーが稼動していない
‘icheckd’を grep し、ps コマンドを使用して作動中のプロセスの一覧を表示してください。InterCheck サーバーが稼動していない場合は、7項の指示に従ってそれを起動してください。
レポートレベルの設定が低すぎるレポートレベルの設定が低すぎるレポートレベルの設定が低すぎるレポートレベルの設定が低すぎるレポートレベルの設定が低すぎる
デフォルトのレポートレベルは‘VIRUS’で、ウイルス警告と致命的エラーのみが syslog に記録されます。レポートレベルが‘NONE’に設定されると、何もメッセージは記録されません。一般に、設定されたレポートレベルが低すぎると、InterCheck サーバーが syslog 情報の作成に失敗することが考えられます。詳細は9項をご覧ください。
Syslog 環境設定ファイルが正しく設定されていない環境設定ファイルが正しく設定されていない環境設定ファイルが正しく設定されていない環境設定ファイルが正しく設定されていない環境設定ファイルが正しく設定されていない
Syslog 環境設定ファイルは、InterCheck サーバーログメッセージの送信先を指定し、一定以上のレベルのメッセージを指定する必要があります。7項をご覧ください。
システムログファイルがいっぱいであるシステムログファイルがいっぱいであるシステムログファイルがいっぱいであるシステムログファイルがいっぱいであるシステムログファイルがいっぱいである
システムログファイルがいっぱいのため、ファイルシステムに空き容量がなくなることが考えられます。これによって InterCheck サーバーが正常に作動しなくなる恐れがあり、システムログも作動しなくなることが考えられます。
Sophos Anti-Virus UNIX ユーザーマニュアル
37
10.6 ウイルスフラグメントが報告される
ウイルスフラグメントが報告された場合は、ソフォステクニカルサポートに対処方法についてお問い合わせください。
ウイルスフラグメントの報告は、ファイルにウイルスコードの一部と一致する部分があることを指します。これには以下のような3通りの原因が考えられます。
既知ウイルスの亜種である既知ウイルスの亜種である既知ウイルスの亜種である既知ウイルスの亜種である既知ウイルスの亜種である
新種のウイルスの多くは既知ウイルスを基にしたものなので、既知ウイルスの典型的なコードの一部が、新種ウイルスに感染したファイルに発見されることがあります。ウイルスフラグメントが報告された場合、Sophos Anti-Virus が新種のウイルスを検出した可能性があり、このウイルスはアクティブになることがありえます。
ウイルスが壊れているウイルスが壊れているウイルスが壊れているウイルスが壊れているウイルスが壊れている
増殖のルーチンにバグのあるウイルスが多いため、目的のファイルへの‘感染’が正しくできないことがあります。このような場合、ウイルス本体の一部(ウイルスの主要部分の可能性あり)だけがファイルの中に現れることがあり、Sophos
Anti-Virus はそれを検出します。壊れたウイルスは蔓延できません。
ウイルスを含むデータベースウイルスを含むデータベースウイルスを含むデータベースウイルスを含むデータベースウイルスを含むデータベース
フルモード検索を実行すると、データベースファイル内にウイルスフラグメントがあることを Sophos Anti-Virus が報告する場合があります。
Sophos Anti-Virus UNIX ユーザーマニュアル
38
補足
Sophos Anti-Virus のアンインストール
Sophos Anti-Virus UNIX ユーザーマニュアル
40
補足1 Sophos Anti-Virus のアンインストール
サーバーから Sophos Anti-Virus をアンインストールする場合は、次の操作を行ってください。
1. ルート権限のあるユーザー、あるいはスーパーユーザーとしてサーバーにログオンしていることを確認します。
2. /usr/local/bin で、以下を削除します。
sweep
icheckd
3. /usr/local/lib で、以下を削除します。
libsavi.so*
4. /usr/local/man で、以下を削除します。
icheckd.1
icheckd.conf.5
sweep.1
5. 以下を削除します。
/tmp/sav-install
/usr/local/sav
6. サーバーに接続しているクライアントマシンに Sophos Anti-Virus をインストールした場合は、サーバーに作成した InterChk 共有ディレクトリを削除してください。
7. InterCheck サーバーもインストールした場合は、以下を削除します。
/var/spool/intercheck
これで、サーバーから Sophos Anti-Virus をアンインストールできました。
用語集と索引
Sophos Anti-Virus UNIX ユーザーマニュアル
42
用語集
CID セントラルインストールディレクトリ:ネットワーク上にある、Sophos Anti-Virus のインストール/アップデート元。各 OS 専用の CID を作成し、常に最新版がインストールされているようにしてください。
IDE ウイルス ID ファイル:特定のウイルス検出するためにSophos Anti-Virus が使用するデータを含むファイルです。最新のウイルスに対する保護を提供できるよう、IDE ファイルは月次アップデート時以外にリリースされます。IDE
ファイルは月次アップデートにとって代わるものではありません。
InterCheck/ Sophos Anti-Virus のコンポーネントで、ファイルがアクセスされるたびに割り込み、チェックサムを使用してウイルス検索が必要かを判断。UNIX コンピュータには該当しません。
InterCheck サーバーサーバーサーバーサーバーサーバー Sophos Anti-Virus のコンポーネントで、クライアントマシンがサーバーにウイルス警告を送信できるようにするもの。
sweep Sophos Anti-Virus のコンポーネントで、イミディエートモード、スケジュールモードでウイルス検索を行うもの。
Syslog デーモンからのメッセージなど、システムメッセージをログする機能。デーモンを参照。
VDL Virus Description Language(ウイルス記述言語):ウイルスの特徴をアルゴリズムで表現するソフォス独自開発の言語。
イミディエートモード検索イミディエートモード検索イミディエートモード検索イミディエートモード検索イミディエートモード検索 ユーザーが開始するウイルス検索。検索対象アイテム、検索方法、ウイルス発見時の対処方法を環境設定することが可能です。
ウイルスウイルスウイルスウイルスウイルス 自身を(マクロやブートセクタなどの)他のプログラムにコピーして、コンピュータやネットワークで蔓延するコンピュータプログラム。
InterCheck クライアントクライアントクライアントクライアントクライアント
Sophos Anti-Virus UNIX ユーザーマニュアル
43
ウイルスウイルスウイルスウイルスウイルス ID IDE を参照。
クイックモード検索クイックモード検索クイックモード検索クイックモード検索クイックモード検索 デフォルトの検索モード。Sophos Anti-Virus は実行コードを含む可能性のある部分のファイルのみ検索します。
実行ファイル実行ファイル実行ファイル実行ファイル実行ファイル Sophos Anti-Virus は、デフォルトで(フルモード検索が指定されている場合でも)実行ファイルと定義されているもののみを検索します。すべてのファイルの検索、実行ファイルと定義されているファイルのリストの変更、UNIX が実行ファイルと定義するファイルすべての検索などを環境設定することができます。 6.1項、6.2項をご覧ください。
シンボリックリンクシンボリックリンクシンボリックリンクシンボリックリンクシンボリックリンク 他のファイルシステムやコンピュータ上の、ファイルやディレクトリへのリンク。
セントラルインストールセントラルインストールセントラルインストールセントラルインストールセントラルインストール CID を参照。
チェックサムチェックサムチェックサムチェックサムチェックサム データより算出される値。InterCheck はコンピュータにファイルのチェックサムリストを作成し、特定のファイルのチェックサムが変更していることがわかった場合、ウイルス感染の可能性があるので検索用に送信します。
デーモンデーモンデーモンデーモンデーモン バックグラウンドで(つまりユーザー操作に依存せず)実行されるプロセス。端末からの入力や端末への出力なしで行われます。
トロイの木馬トロイの木馬トロイの木馬トロイの木馬トロイの木馬 ユーザーが予期せぬ、有害な副作用を起こすコンピュータプログラム。トロイの木馬のプログラムは、通常の機能を持つかのように見せかけて、ユーザーをだまします。バックドアトロイの木馬は、インターネットを介して他人がユーザーのコンピュータを制御できるようにします。
ブートセクタブートセクタブートセクタブートセクタブートセクタ コンピュータに電源を入れた(ブートした)際、ディスクからメモリに最初に読み込まれる部分の OS。この後ブートセクタに保存されているプログラムが実行され、今度はそれによって、残りの OS をディスク上のシステムファイルからメモリにロードします。
ディレクトリディレクトリディレクトリディレクトリディレクトリ
Sophos Anti-Virus UNIX ユーザーマニュアル
44
ブートセクタ感染型ウイルスブートセクタ感染型ウイルスブートセクタ感染型ウイルスブートセクタ感染型ウイルスブートセクタ感染型ウイルス ブート過程の初期段階を破壊するコンピュータウイルス。ブートセクタ感染型ウイルスはマスターブートセクタか DOS ブートセクタに感染します。
フルモード検索フルモード検索フルモード検索フルモード検索フルモード検索 フルモード検索を指定すると、Sophos Anti-Virus はすべてのファイルにおいて、検索するよう設定されたエリア全部分を検索します。フルモード検索はクイックモード検索よりかなり時間がかかりますが、検出するためにこの種の検索が必要となるウイルスもあります。6.1項を参照。
マウントポイントマウントポイントマウントポイントマウントポイントマウントポイント 同じコンピュータの他のファイルシステム上のアイテムに、ユーザーには見えないリンクがある場所。シンボリックリンクを参照。
マクロウイルスマクロウイルスマクロウイルスマクロウイルスマクロウイルス データファイル内のマクロを使用して、メモリ内でアクティブになり、他のデータファイルに自らをコピーするウイルス。他のウイルスと異なり、ある程度の範囲でプラットフォームに依存せずに活動することもできます。
マスターブートセクタマスターブートセクタマスターブートセクタマスターブートセクタマスターブートセクタ ハードディスクの第一物理セクタ(セクタ1、ヘッド0、トラック0)で、コンピュータの電源を入れた(ブートした)際にロードされ、実行されるもの。パーティションテーブル、およびアクティブなパーティションのブートセクタをロード、かつ実行するためのコードを含んでいます。
リモートマウントポイントリモートマウントポイントリモートマウントポイントリモートマウントポイントリモートマウントポイント リモートコンピュータのファイルシステム上のアイテムにユーザーには見えないリンクがある場所。シンボリックリンクを参照。
ワームワームワームワームワーム キャリアとなるプログラムを必要とせずに複製できるウイルスの一種。ワームは自身を複製し、(メールプログラムなど)コンピュータ間の通信を使用して蔓延します。
Sophos Anti-Virus UNIX ユーザーマニュアル
45
索引
C
CD のブートイメージ 23
I
icheckd.conf 28
IDE
別のディレクトリを指定 18
InterCheck サーバー開始 27
環境設定 28-29
監視 27
停止 27
レポートレベル 30-31
M
MIME ファイル - 検索 18
S
Sophos Anti-Virus のアンインストール 40
SWEEP
オプションスイッチ 16
sweepic.ini 30
U
UNIX 実行ファイル検索 20
W
Windows/DOS 実行ファイル検索から除外 18
検索用に指定 18
Z
Zip bomb 18
アアアアア
圧縮ファイル検索 14, 16, 20
ウウウウウ
ウイルス駆除 9-10
クライアントマシンがレポート 26-27
警告 7
検索 6-7
フラグメントの報告 37
エエエエエ
エラーコード 11
拡張 17
オオオオオ
オプションスイッチ 20
カカカカカ
隔離 21
画面への出力、ファイル /デバイスにコピー 19
環境設定 14-15
感染アイテム駆除 9, 17
削除 19
ククククク
駆除 9-10
-di オプションスイッチ 17
確認メッセージの表示 17
データファイル 9-11
プログラム 9
繰り返し検索 19
ケケケケケ
検索 6-7
CD のブートイメージ 23
MIME ファイル 18
アイテムの除外 17
圧縮ファイル 14, 16, 20
オプション 14
起動ファイルシステムのみ 15
繰り返し 19
Sophos Anti-Virus UNIX ユーザーマニュアル
46
検索スピードが遅い 35
ディレクトリやファイル 6
デフォルト設定 6
特別なオブジェクト 22
ブートセクタ 7
ファイルシステム 6
ファイル全種類 14
フルモード検索 18
メールボックス 19
ローカルコンピュータ 6
検索済みファイルのバックアップ 36
シシシシシ
実行ファイルUNIX 20
Windows/DOS 18
シンボリックリンクが指定するアイテム検索 21
セセセセセ
セントラルウイルスレポート開始 26
環境設定 28-29
監視 27
停止 27
レベル 31
レポートレベル 30-31
テテテテテ
ディスク容量不足 35
トトトトト
特別なオブジェクト検索から除外 22
ハハハハハ
バックトラッキング防止 20
情報を保存 21
フフフフフ
ブートイメージ - CD 23
ブートセクタ検索 7
ファイルシステム検索 6
起動ファイルシステムのみの検索 15
フルモード検索 18
メメメメメ
メールボックスの検索 19
ラララララ
ライブラリをロードできません(メッセージ) 34
レレレレレ
レポートレベル 30-31
Sophos Anti-Virus UNIX ユーザーマニュアル
47
テクニカルサポート
テクニカルサポートに関する情報は、次の URL をご覧ください。
www.sophos.co.jp/support
テクニカルサポートにご連絡される場合は、ソフォス製品のバージョン番号、O S
環境、適用パッチレベル、エラーメッセージの正確な内容など、なるべく多くの情報をご提供いただきますようお願い申し上げます。
Copyright 2005, 2006 Sophos Group. All rights reserved. この出版物の一部または全部を、電子的、機械的な方法、写真複写、録音、その他いかなる形や方法においても、使用許諾契約の条項に準じてドキュメントを複製することが許可されている、もしくは著作権所有者からの事前の書面による許可がある場合以外、無断に複製、復元できるシステムに保存、または送信することを禁じます。
Sophos および Sophos Anti-Virus は、Sophos Plc および Sophos Group の登録商標です。その他記載されている、会社名、製品名は、各社の登録商標または商標です。