ClamAV è uno strumento antivirus open source disponibile per le distribuzioni Linux . Integra i server di posta per scansionare gli allegati ricevuti. Oltre a scansionare gli allegati di posta, fornisce protezione alle reti aziendali. Altre funzioni includono anche la scansione web.
In questo articolo, discuteremo di come installare ClamAV Antivirus in Debian 11 Bullseye e Ubuntu 20.04.
Caratteristiche di ClamAV :
- supporto integrato per vari formati di archivio, inclusi Zip, Tar, Gzip, Bzip2, OLE2, Cabinet, CHM, BinHex, SIS e altri.
- supporto integrato per quasi tutti i formati di file di posta
- supporto integrato per eseguibili ELF e file Portable Executable compressi con UPX, FSG, Petite, NsPack, wwpack32, MEW, Upack e offuscati con SUE, Y0da Cryptor e altri;
- supporto integrato per i formati di documenti più diffusi, inclusi file Microsoft Office e Mac Office, HTML, RTF e PDF.
- supporta più linguaggi di firma come corrispondenza della firma basata su hash, caratteri jolly, logica booleana e qualsiasi regola personalizzata scritta in linguaggio Bytecode.
ClamAV include un demone dello scanner multi-thread, utilità della riga di comando per la scansione dei file su richiesta e gli aggiornamenti automatici delle firme. Uno dei suoi usi principali è sui server di posta come scanner di virus e-mail lato server.
Installa e usa ClamAV su Debian 11 Bullseye / Ubuntu 20.04
Digita il seguente comando per aggiornare e installa repository e ClamAV Antivirus rispettivamente.
$ sudo apt update $ sudo apt install clamav clamav-daemon
Al termine dell'installazione, dovrai interrompere il demone, in modo da poter aggiornare manualmente il database ClamAV. Ferma il demone con il comando:
$ sudo systemctl stop clamav-freshclam
Con il demone fermo, aggiorna ClamAV con il comando:
$ sudo freshclam
Al termine di freshclam, scarica l'ultimo file di firma del database con il comando:
$ sudo wget https://database.clamav.net/daily.cvd
Copia quel file nella directory necessaria con il comando:
$ sudo cp daily.cvd /var/lib/clamav/
Avvia il demone freshclam con il comando:
$ sudo systemctl start clamav-freshclam
Come scansionare manualmente una directory
Per scansionare le directory dobbiamo digitare il seguente comando nel terminale:
$ clamscan -r -i --bell /home/
dove:
-r , per scansionare le sottodirectory in modo ricorsivo,
-io , per stampare file infetti,
–campana , un campanello suona se rileva un virus,
/casa/ , directory che intendiamo scansionare:puoi utilizzare directory a tua scelta Questo comando scansiona solo le directory e ci fornisce l'elenco dei file infetti. Ma cosa succede se prevediamo di spostare i file infetti in un'altra directory. Potrebbe essere una scelta migliore in quanto la rimozione di un file infetto potrebbe danneggiare il nostro sistema. Pertanto, procediamo con cautela e spostiamo il file infetto in un'altra directory. Dobbiamo digitare il seguente comando nel terminale:
$ clamscan -i -r --move="/home//Downloads/" /home
Il comando sopra eseguirà la scansione della directory /home/ e se vengono rilevati file infetti, li sposterà nella directory /home/<home-directory>/Downloads/ .
Digita clamscan -h per ulteriori opzioni.
Come impostare ClamAV per la scansione automatica
Ora creeremo uno script bash che analizzerà il /var/www/html/ directory e quindi creare un processo cron per eseguirlo di notte. Il modo in cui lo fai dipenderà se puoi inviare e-mail dalla macchina. In tal caso, potresti essere in grado di utilizzare lo script così com'è o potresti doverlo modificare, in base al server SMTP che hai impostato sul server. L'esempio seguente utilizzerà il comando mail.
Innanzitutto, crea lo script con il comando:
$ nano /usr/local/bin/clamscan_daily.sh
In quel file, incolla quanto segue:
#!/bin/bash
LOGFILE="/var/log/clamav/clamav-$(date +'%Y-%m-%d').log";
EMAIL_MSG="Please see the log file attached";
EMAIL_FROM="[email protected]";
EMAIL_TO="[email protected]";
DIRTOSCAN="/var/www/html";
for S in ${DIRTOSCAN}; do
DIRSIZE=$(du -sh "$S" 2>/dev/null | cut -f1);
echo "Starting scan of "$S" directory.
Directory size: "$DIRSIZE".";
clamscan -ri --remove --detect-pua=yes "$S" >> "$LOGFILE";
#find /var/log/clamav/ -type f -mtime +30 -exec rm {} \;
MALWARE=$(tail "$LOGFILE"|grep Infected|cut -d" " -f3);
if [ "$MALWARE" -ne "0" ];then
echo "$EMAIL_MSG"|mail -a "$LOGFILE" -s "Malware Found" -r "$EMAIL_FROM" "$EMAIL_TO";
fi
done
exit 0
Dove [email protected] è l'indirizzo FROM e [email protected] è l'indirizzo email a cui verranno inviati gli avvisi.
Assegna a quel file le autorizzazioni eseguibili con il comando:
$ sudo chmod u+x /usr/local/bin/clamscan_daily.sh
Crea il cron job con il comando:
$ sudo crontab -e
Nella parte inferiore del file, aggiungi la seguente riga per eseguire la scansione ogni giorno all'una di notte:
1 1 * * * /usrlocal/bin/clamscan_daily.sh > /dev/null 2>&1
Salva e chiudi il file.
A questo punto, ClamAV eseguirà automaticamente la scansione il /var/www/html directory per file dannosi e ti avvisa se trova qualcosa. Se il tuo server non è configurato, in modo tale da poter effettivamente inviare e-mail, dovrai quindi visualizzare manualmente il file di registro generato con il comando:
less /var/log/clamav/clamav-DATE
Dove DATE è il timestamp del file che devi visualizzare. Se non lo stai configurando per avvisi e-mail manuali, assicurati di controllare regolarmente il file di registro ClamAV .
Conclusione
E questo è tutto ciò che serve per configurare ClamAV sul tuo server Debian 11, per rilevare e proteggere da file dannosi. Se hai domande, sentiti libero di lasciare un commento