ClamAV ist ein Open-Source-Antivirus-Tool verfügbar für Linux-Distributionen . Es integriert Mailserver, um empfangene Anhänge zu scannen. Neben dem Scannen von E-Mail-Anhängen bietet es Schutz für Unternehmensnetzwerke. Zu den weiteren Funktionen gehört auch das Webscannen.
In diesem Artikel würden wir besprechen, wie ClamAV Antivirus in installiert wird Debian 11 Bullseye und Ubuntu 20.04.
Funktionen von ClamAV :
- integrierte Unterstützung für verschiedene Archivformate, darunter Zip, Tar, Gzip, Bzip2, OLE2, Cabinet, CHM, BinHex, SIS und andere.
- integrierte Unterstützung für fast alle E-Mail-Dateiformate
- integrierte Unterstützung für ausführbare ELF-Dateien und tragbare ausführbare Dateien, die mit UPX, FSG, Petite, NsPack, wwpack32, MEW, Upack komprimiert und mit SUE, Y0da Cryptor und anderen verschleiert wurden;
- integrierte Unterstützung für gängige Dokumentformate, einschließlich Microsoft Office- und Mac Office-Dateien, HTML, RTF und PDF.
- unterstützt mehrere Signatursprachen wie Hash-basierte Signaturübereinstimmung, Wildcards, boolesche Logik und alle benutzerdefinierten Regeln, die in der Bytecode-Sprache geschrieben sind.
ClamAV enthält einen Multithread-Scanner-Daemon, Befehlszeilenprogramme für das Scannen von Dateien auf Abruf und automatische Signaturaktualisierungen. Eine seiner Hauptanwendungen ist auf Mailservern als serverseitiger E-Mail-Virenscanner.
Installieren und verwenden Sie ClamAV unter Debian 11 Bullseye / Ubuntu 20.04
Geben Sie den folgenden Befehl zum Aktualisieren und Installieren ein Repositories undClamAV Antivirus bzw..
$ sudo apt update $ sudo apt install clamav clamav-daemon
Nachdem die Installation abgeschlossen ist, müssen Sie den Daemon stoppen, damit Sie die ClamAV-Datenbank manuell aktualisieren können. Stoppen Sie den Daemon mit dem Befehl:
$ sudo systemctl stop clamav-freshclam
Wenn der Daemon gestoppt ist, aktualisieren Sie ClamAV mit dem Befehl:
$ sudo freshclam
Wenn freshclam fertig ist, laden Sie die neueste Datenbank-Signaturdatei mit dem folgenden Befehl herunter:
$ sudo wget https://database.clamav.net/daily.cvd
Kopieren Sie diese Datei mit dem Befehl:
in das erforderliche Verzeichnis$ sudo cp daily.cvd /var/lib/clamav/
Starten Sie den freshclam-Daemon mit dem Befehl:
$ sudo systemctl start clamav-freshclam
Wie man ein Verzeichnis manuell scannt
Um Verzeichnisse zu scannen, müssen wir den folgenden Befehl im Terminal eingeben:
$ clamscan -r -i --bell /home/
wo:
-r , um Unterverzeichnisse rekursiv zu scannen,
-ich , um infizierte Dateien zu drucken,
–Klingel , ein Glockenton, wenn ein Virus erkannt wird,
/home/ , Verzeichnis, das wir scannen möchten – Sie können Verzeichnisse Ihrer Wahl verwenden. Dieser Befehl scannt nur Verzeichnisse und liefert uns die Liste der infizierten Dateien. Was aber, wenn wir vorhaben, infizierte Dateien in ein anderes Verzeichnis zu verschieben. Es könnte eine bessere Wahl sein, da das Entfernen einer infizierten Datei unser System beschädigen kann. Daher gehen wir mit Vorsicht vor und verschieben die infizierte Datei in ein anderes Verzeichnis. Wir müssen den folgenden Befehl im Terminal eingeben:
$ clamscan -i -r --move="/home//Downloads/" /home
Der obige Befehl scannt das Verzeichnis /home/ und wenn dann infizierte Dateien erkannt werden, werden diese Dateien in das Verzeichnis /home/<home-directory>/Downloads/ .
Geben Sie clamscan -h ein für weitere Optionen.
So stellen Sie ClamAV so ein, dass es automatisch scannt
Jetzt erstellen wir ein Bash-Skript, das /var/www/html/ scannt Verzeichnis und erstellen Sie dann einen Cron-Job, um ihn jede Nacht auszuführen. Wie Sie dies tun, hängt davon ab, ob Sie E-Mails von der Maschine senden können. Wenn dies der Fall ist, können Sie das Skript möglicherweise so verwenden, wie es ist, oder Sie müssen es möglicherweise ändern, je nachdem, welchen SMTP-Server Sie auf dem Server eingerichtet haben. Im folgenden Beispiel wird der Befehl mail verwendet.
Erstellen Sie zuerst das Skript mit dem Befehl:
$ nano /usr/local/bin/clamscan_daily.sh
Fügen Sie in dieser Datei Folgendes ein:
#!/bin/bash
LOGFILE="/var/log/clamav/clamav-$(date +'%Y-%m-%d').log";
EMAIL_MSG="Please see the log file attached";
EMAIL_FROM="[email protected]";
EMAIL_TO="[email protected]";
DIRTOSCAN="/var/www/html";
for S in ${DIRTOSCAN}; do
DIRSIZE=$(du -sh "$S" 2>/dev/null | cut -f1);
echo "Starting scan of "$S" directory.
Directory size: "$DIRSIZE".";
clamscan -ri --remove --detect-pua=yes "$S" >> "$LOGFILE";
#find /var/log/clamav/ -type f -mtime +30 -exec rm {} \;
MALWARE=$(tail "$LOGFILE"|grep Infected|cut -d" " -f3);
if [ "$MALWARE" -ne "0" ];then
echo "$EMAIL_MSG"|mail -a "$LOGFILE" -s "Malware Found" -r "$EMAIL_FROM" "$EMAIL_TO";
fi
done
exit 0
Wobei [email protected] ist die FROM-Adresse und [email protected] ist die E-Mail-Adresse, an die alle Benachrichtigungen gesendet werden.
Geben Sie dieser Datei Ausführungsberechtigungen mit dem Befehl:
$ sudo chmod u+x /usr/local/bin/clamscan_daily.sh
Erstellen Sie den Cronjob mit dem Befehl:
$ sudo crontab -e
Fügen Sie am Ende der Datei die folgende Zeile hinzu, um den Scan jeden Tag um 1 Uhr morgens auszuführen:
1 1 * * * /usrlocal/bin/clamscan_daily.sh > /dev/null 2>&1
Speichern und schließen Sie die Datei.
An dieser Stelle ClamAV wird automatisch gescannt der /var/www/html Verzeichnis nach bösartigen Dateien und warnt Sie, wenn es etwas findet. Wenn Ihr Server nicht so eingerichtet ist, dass er tatsächlich E-Mails versenden kann, müssen Sie die generierte Protokolldatei manuell mit dem folgenden Befehl anzeigen:
less /var/log/clamav/clamav-DATE
Wobei DATUM der Zeitstempel der Datei ist, die Sie anzeigen müssen. Wenn Sie dies nicht für manuelle E-Mail-Benachrichtigungen einrichten, überprüfen Sie regelmäßig die ClamAV-Protokolldatei .
Schlussfolgerung
Und das ist alles, was Sie brauchen, um ClamAV auf Ihrem Debian 11-Server einzurichten, um bösartige Dateien zu erkennen und sich davor zu schützen. Wenn Sie Fragen haben, können Sie gerne einen Kommentar hinterlassen