Как пользоваться clamav для linux

ClamAV (Русский)

Clam AntiVirus это антивирусный инструмент для UNIX с открытым исходным кодом (GPL). Он предоставляет несколько утилит, включая гибкий и масштабируемый многопоточный демон (службу), сканер для командной строки и расширенные средства для автоматического обновления баз. Поскольку ClamAV в основном используется на файловых и почтовых серверах в Windows-сетях, он предназначен для обнаружения Windows-вирусов и вредоносного ПО.

Contents

Установка

Запуск службы

Смотрите раздел Systemd:Использование юнитов для получения информации об управлении службами.

Название службы: clamd.service .

Обновление баз

Антивирусные базы обновляются при помощи команды:

Файлы баз сохраняются в:

Тестирование

Для того, чтобы убедиться что ClamAV и его антивирусные базы корректно установились, просканируйте тестовый файл EICAR [устаревшая ссылка 2022-09-17] (эмуляция вируса, см. Википедию):

В результатах сканирования должна быть строка:

В противном случае, см. раздел Решение проблем или воспользуйтесь форумом.

Сканирование

Команда clamscan используется для проверки отдельных файлов, каталогов или всей системы:

Для автоматического удаления инфицированных файлов добавьте параметр —remove , или можете использовать —move=/директория для перемещения их в карантин.

При использовании параметра -l /путь/к/файлу результаты сканирования будут записываться в указанный log-файл.

Решение проблем

Error: Clamd was NOT notified

Если при запуске freshclam вы получаете сообщение:

Создайте отсутствующий sock-файл:

Затем в файле /etc/clamav/clamd.conf раскомментируйте стоку:

Error: No supported database files found

Если при запуске службы вы получаете сообщение:

Создайте базу данных от имени пользователя root:

Error: Can’t create temporary directory

Если вы получили следующую ошибку, содержащую номера UID и GUID:

Источник

ИТ База знаний

Курс по Asterisk

Полезно

— Узнать IP — адрес компьютера в интернете

— Онлайн генератор устойчивых паролей

— Онлайн калькулятор подсетей

— Калькулятор инсталляции IP — АТС Asterisk

— Руководство администратора FreePBX на русском языке

— Руководство администратора Cisco UCM/CME на русском языке

— Руководство администратора по Linux/Unix

Навигация

Серверные решения

Телефония

FreePBX и Asterisk

Настройка программных телефонов

Корпоративные сети

Протоколы и стандарты

Установка и настройка ClamAV Linux

Опен сорс ПО для борьбы с вирусами

ClamAV является антивирусом с открытым исходным кодом. Его используют для обнаружения вирусов, вредоносных программ и вредоносного программного обеспечения на компьютерах под управлением Linux и даже в решениях именитых вендоров, так как эта разработка была выкуплена компанией Cisco, но все же оставлена в виде open-source. Угроза со стороны вирусов, троянов и других вредоносных программ всегда возможна, их количество растет в геометрической прогрессии как по количеству, так и по сложности, и антивирусное программное обеспечение всегда должно использовать сложные методы обнаружения. Никогда нельзя дать гарантии, что ваша система не станет жертвой этих нежелательных фрагментов кода, так что важно оставаться внимательным при использовании Интернета и совместном использовании файлов. Ну и отсюда вытекает необходимость реализации политик безопасности на основе здравого смысла и использовании современных антивирусных программ.

Бесплатный вводный урок на онлайн курс по Linux

Мы собрали концентрат самых востребованных знаний, которые позволят начать карьеру администраторов Linux, расширить текущие знания и сделать уверенный щаг в DevOps

Установка ClamAV

Чтобы установить ClamAV в CentOS / RHEL 7, нам нужно установить репозиторий EPEL:

Затем необходимо установить ClamAV со всеми его полезными инструментами:

Настройка антивируса ClamAV

Для настройки ClamAV в первую очередь нам нужно удалить конфигурацию по умолчанию, чтобы создать свою:

После удаления строк примера нужно сделать некоторые правки, чтобы определить тип сервера TCP и предоставить root права для запуска антивируса:

Значение, данное с LocalSocket, является файлом, использующим связи с внешними процессами. Следует выполнить следующую строку:

Добавляем эти две строки в конец файла и сохраняем:

Чтобы поддерживать базу данных сигнатур ClamAV в актуальном состоянии, необходимо включить инструмент под названием Freshclam. Поэтому нужно создать файл резервной копии из его файла конфигурации:

Freshclam читает свою конфигурацию из /etc/freshclam.conf. Файл содержит строку со словом Пример, чтобы пользователи не могли использовать значения по умолчанию, их необходимо удалить их или закомментировать, прежде чем сможем использовать freshclam. А так как не все настройки по умолчанию не подходят для наших целей, придется внимательно проверить файл и решить, что нам понадобится. Каждая команда также будет прокомментирована.

Нам нужно запустить Freshclam, чтобы обновить базу данных и проверить, успешно ли задана конфигурация:

Процесс выводит свой прогресс-бар в терминал, и вы можете увидеть несколько сообщений об ошибках. Например, он может сообщить, что ему не удалось загрузить нужный файл. Не паникуйте — freshclam попробует несколько зеркал. Он сообщает, что main.cvd, daily.cvd и bytecode.cvd обновляются, и по завершении, вы будете знать, что у вас есть последние сигнатуры.

Мы можем запустить freshclam в любое время, когда необходимо убедиться, что базы данных сигнатур обновлены, но было бы неудобно всегда запускать его вручную. При запуске с аргументом -d freshclam будет работать и периодически проверять наличие обновлений в течение дня (по умолчанию каждые два часа).

Чтобы сохранить некий порядок в системе, мы создали файл службы для запуска freshclam и зарегистрировали его в systemd:

Затем мы помещаем следующий код в файл и сохраняем его:

Раздел [Unit] определяет основные атрибуты сервиса, такие как его описание и его зависимость от сетевого соединения. Раздел [Service] определяет сам сервис, ExecStart будет запускать freshclam с аргументом -d, Type сообщает systemd, что процесс будет разветвляться и запускаться в фоновом режиме, а при перезапуске systemd отслеживает сервис и перезапускает его автоматически в случае. Раздел [Install] определяет, как он будет связан, когда запустится systemctl enable.

Перезагрузите systemd, чтобы применить изменения:

Далее запустите и включите сервис freshclam:

Если все работает нормально, добавляем его в службу запуска системы:

Теперь для настройки ClamAV необходимо создать файл сервиса ClamAV. У нас есть пример файла службы, который нам нужно скопировать в папку системных служб. Нам нужно изменить его имя на что-то понятное. Затем нам нужно внести в него небольшие изменения:

Поскольку мы изменили имя, нам нужно изменить его в файле, который также использует этот сервис:

Мы изменили первую строку, удалив @, чтобы это выглядело так:

В том же месте нам нужно изменить файл сервиса Clamd:

Мы добавляем следующие строки в конце:

Удаляем % i из опций Description и ExecStart. Затем изменяем их, чтобы они выглядели следующим образом:

Далее запустите сервис clamv

Если все хорошо, то включите сервис clamd.

Для проверки текущей папки мы запускаем следующую команду:

Мы надеемся вы правильно выполнили все этапы настройки ClamAV в RHEL / CentOS 7 Linux и они оказались полезны для вас в том или ином виде.

Бесплатный вводный урок на онлайн курс по Linux

Мы собрали концентрат самых востребованных знаний, которые позволят начать карьеру администраторов Linux, расширить текущие знания и сделать уверенный щаг в DevOps

Полезно?

Почему?

😪 Мы тщательно прорабатываем каждый фидбек и отвечаем по итогам анализа. Напишите, пожалуйста, как мы сможем улучшить эту статью.

😍 Полезные IT – статьи от экспертов раз в неделю у вас в почте. Укажите свою дату рождения и мы не забудем поздравить вас.

Источник

Ubuntu Documentation

ClamAV detects viruses on all platforms. Other antivirus programs running on Ubuntu can be found here.

By Default ‘ClamAV’ is in the Main repository so it can install it by the Software Center or Synaptic Package Manager. Just Search for ‘clamAV’ and install it.

ClamAV has two modes of operation, a program that loads into memory only when you want to scan a file, or for more regular use (such as scanning all incoming e-mail), a program that connects to a daemon that is always running.

Database updates can also be downloaded automatically.

For manual use: install the package clamav.

For automated use: install the package clamav-daemon.

Both methods will also install the updater clamav-freshclam.

If one wants a GUI, then install the package clamtk.

Using ClamAV in the Terminal

Update Virus Definitions

You will see an output like this:

Proxy

If you are using a http proxy to connect to the internet you will have to edit the file /etc/clamav/freshclam.conf adding:

Scan Files

Use clamscan to check nearly all files on the computer, and report only warnings and infections:

When ClamAV has finished scanning it will report a summary:

ClamAV can only read files that the user running it can read. If you want to check all files on the system, use the sudo command (see UsingSudo for more information).

Infected files reporting

when scanning recursively, one may generate a report via: sudo clamscan -v -r /FOLDERTOSCAN | grep FOUND >> /path/to/save/report/file.txt

ClamAV doesn’t disinfect files, it either moves or removes them. This can be problematic. For example, if using Wine and it deletes an infected file, it could break a program without having the data saved.

Run ClamAV as a Daemon

Install clamav-daemon. You can then use clamdscan where you would previously have used clamscan. Lots of programs, especially e-mail servers, can connect to a ClamAV daemon. This speeds up virus scanning as the program is always in memory.

The clamav-daemon package creates a ‘clamav’ user; in order to allow ClamAV to scan system files, such as your mail spool, you can add clamav to the group that owns the files.

Let ClamAV listen for Incoming Scans

There are cases where you may want ClamAV daemon to act as a scanner for other systems, so you don’t have to run everything locally on the system.

To do this, you simply have to modify the clamd.conf file and add TCPSocket PORTNUMBER and TCPAddr IPADDRESS arguments to the clamd.conf file and reload the daemon. The daemon will then accept connections to it via the IP address and Port combination you specify.

Check to find if Clamscan is running

Look for it in the processt list, or use this handy shortcut: ps ax | grep [c]lamd

Remove Infected Files

You can add —remove to the clamscan or clamdscan command-line.

Note: No virus scanner is 100% accurate. It is always best to manually check the files you delete, if you are not totally sure that this is what you want to do.

Find ClamAV Version Number

Learn About ClamAv’s Other Options

Schedule ClamAV

You can use the at command to schedule clamscan or freshclam. For example:

You have now scheduled a ClamAV scan to happen on your home directory at 3:30 AM tomorrow. The output (showing only infected files) will be sent to you by e-mail.

External Links

ClamAV (последним исправлял пользователь penalvch 2017-07-10 22:54:01)

The material on this wiki is available under a free license, see Copyright / License for details
You can contribute to this wiki, see Wiki Guide for details

Источник

Как пользоваться ClamAV

Антивирусный пакет ClamAV — это самый популярный антивирус для операционных систем на базе ядра Linux. Он очень простой и может только проверять передаваемые ему файлы на присутствие в них известных ему вирусов. Зато он полностью свободен и распространяется с открытым исходным кодом.

Антивирус можно использовать не только для проверки файлов в файловой системе, но и для проверки интернет сайтов или вложений в почте, для чего его часто применяют. В сегодняшней статье мы рассмотрим как пользоваться ClamAV для проверки файлов на вирусы.

Установка ClamAV

В большинстве дистрибутивов антивирус ClamAV есть в официальных репозиториях. Подробно про установку антивируса в Ubuntu я писал в этой статье. Установка в Debian выполняется аналогичным образом:

sudo apt install clamav

Для установки Fedora или CentOS команда будет выглядеть вот так:

sudo dnf install clamav

sudo pacman -S clamav

После установки можно переходить к использованию программы. Но сначала надо обновить вирусные базы данных. Для этого сначала остановите службу автоматического обновления:

sudo systemctl stop clamav-freshclam

Затем выполните обновление:

А потом снова запустите службу:

sudo systemctl start clamavfreshclam

Как пользоваться ClamAV

Основная утилита, которая используется для проверки файлов и папок на содержание вирусов в командной строке — clamscan. Именно её мы будем сегодня использовать. Давайте рассмотрим её синтаксис:

$ clamscan опции /путь/к/папке/или/файлу

Как видите, синтаксис очень простой. Теперь давайте рассмотрим основные опции, которые вы можете использовать. Настройка ClamAV выполняется именно с помощью этих опций:

• -V, —version — вывести версию программы;
• -v, —verbose — максимально подробный вывод;
• -a, —archive-verbose — выводить сообщения о проверяемых файлах внутри архивов;
• —debug — отображать отладочные сообщения;
• —quiet — выводить минимум информации;
• —no-summary — не отображать результат сканирования;
• -i, —infected — выводить информацию только об инфицированных файлах;
• —bell — воспроизводить звуковой сигнал при обнаружении вируса;
• -d, —database — загрузить вирусную базу данных из файла;
• -l, —log — сохранить результат сканирования в файл;
• -r, —recursive — рекурсивное сканирование директорий и поддиректорий;
• —move — перемещать инфицированные файлы в указанную папку;
• —copy — копировать инфицированные файлы в указанную папку;
• —exclude, —exclude-dir — не сканировать файлы и папки, имена которых подпадают под шаблон;
• —remove — удалять все инфицированные файлы;
• —scan-pe=yes/no — сканировать исполняемые файлы Windows, по умолчанию включено;
• —scan-elf=yes/no — сканировать исполняемые файлы Linux, по умолчанию включено;
• —scan-ole2=yes/no — сканировать документы Office, по умолчанию включено;
• —scan-archive=yes/no — сканировать архивы, по умолчанию включено;
• —max-filesize — максимальный размер данных, извлекаемых из архива, по умолчанию 25 Мб;
• —max-files — извлекать не больше указанного количества файлов из сканируемых файлов (архивы, документы, любой вид контейнеров), по умолчанию 10000;
• —max-recursion — максимальная глубина сканирования папок в архиве, по умолчанию 16;
• —max-dir-recursion — максимальная глубина сканирования папок в файловой системе, по умолчанию 15.

Это далеко не все опции программы. У неё есть много других опций, позволяющих настроить различные ограничения. Все их вы можете найти выполнив команду:

Теперь давайте разберем несколько примеров работы с утилитой. Для просмотра версии программы выполните:

Самый простой способ просканировать какую-нибудь папку — воспользоваться опцией -r для рекурсивного сканирования и опцией -i для вывода информации только об инфицированных файлах:

Когда проверка ClamAV будет завершена, программа выведет общую статистику:

Для того чтобы при обнаружении вируса проигрывался сигнал используйте опцию —bell:

clamscan -r -i —bell

Инфицированные файлы можно перемещать в специальную папку с помощью опции —move:

clamscan -r -i —move

Если вы хотите удалить все инфицированные файлы используйте опцию —remove:

clamscan -r -i —remove

Если вы хотите проверить корень файловой системы, то следует исключить папки с виртуальными файловыми системами. Там очень много файлов, и вирусов там нет, для этого воспользуйтесь опцией —exclude:

sudo clamscan -r -i —exclude-dir=»/sys|/proc|/dev» /

Поскольку надо исключить несколько директорий, то разделять их следует символом ИЛИ — «|». Сканирование может выполняться довольно долго. Если вы не хотите чтобы оно занимало терминал, можно запустить его в фоне, а результат выводить в лог-файл.

sudo clamscan -r -i —exclude-dir=»/sys|/proc|/dev» -l scan.log / &

Далее вы сможете посмотреть информацию о статусе проверки открыв файл журнала:

Выводы

В этой небольшой статье мы рассмотрели как пользоваться clamav и в частности утилитой clamscan для сканирования файлов на вирусы. Как видите, всё очень просто. Хотя для Linux не нужен такой же антивирус как для Windows, но с помощью ClamAV вы сможете найти Windows вирусы.

Источник