Clamav linux realtime scan

Использование ClamAV (clamscan) на Linux сервере

ClamAV — это антивирус с открытым исходным кодом, который позволяет убнаруживать трояны, руткиты и прочую гадость.
Clamscan — модуль сканивания.

Устанавливается из репозиториев програмного опебспечения. В случае с RedHat/CentOS нужно подключить Epel.

После установки нужно его обновить:

У модуля сканирования есть куча опций. Проверить их можно с помощью:

Сканирование выполняется следующей командой:

Если Вы хотите просканировать файлы в конкретном каталоге:

Для того что бы писать лог файл:

По умолчанию модуль будет выводить информацию о всех файлах, которые он отсканировал. Довольно удобно воспользоваться ключем -i и получать информацию только о инфецированых файлах.

Инфицированые файлы можно копировать либо перемещать в указаной место на сервере. На пример:

Папки /var/infected и /var/suspicious должны существовать.

Updated: March 01, 2015

You May Also Enjoy

Jenkins auth over AWS Cognito

Jenkins auth over AWS Cognito

Copy the Jenkins job

Copy the Jenkins job

Установка nginx из исходников

В разных случаях приходится компилировать ПО имея его исходники. Опять же хочу разводить демагогию на эту тему. Хочу рассказать как собрать nginx последней в.

Уникальные IP адреса в access.log Apache

Получить список уникальных IP адресов в лог файле вэбсервера Apache можно с помощью:

Источник

ClamAV

Clam AntiVirus is an open source (GPL) anti-virus toolkit for UNIX. It provides a number of utilities including a flexible and scalable multi-threaded daemon, a command line scanner and advanced tool for automatic database updates. Because ClamAV’s main use is on file/mail servers for Windows desktops, it primarily detects Windows viruses and malware with its built-in signatures.

Contents

Installation

Updating database

Update the virus definitions with:

If you are behind a proxy, edit /etc/clamav/freshclam.conf and update HTTPProxyServer, HTTPProxyPort, HTTPProxyUsername and HTTPProxyPassword.

The database files are saved in:

Start/enable clamav-freshclam.service so that the virus definitions are kept recent.

Starting the daemon

The service is called clamav-daemon.service . Start it and enable it to start at boot.

Testing the software

In order to make sure ClamAV and the definitions are installed correctly, scan the EICAR test file (a harmless signature with no virus code) with clamscan.

The output must include:

Otherwise; read the Troubleshooting part or ask for help in the Arch Forums.

Adding more databases/signatures repositories

ClamAV can use databases/signature from other repositories or security vendors.

To add the most important ones in a single step, install either clamav-unofficial-sigs AUR (see GitHub description) or python-fangfrisch AUR (see online documentation). Both will add signatures/databases from popular providers, e.g. MalwarePatrol, SecuriteInfo, Yara, Linux Malware Detect, etc.

Option #1: Set up Fangfrisch

Fangfrisch was designed as a more secure, flexible and convenient replacement for clamav-unofficial-sigs, and requires very little configuration.

Most importantly, Fangfrisch never needs to be run with root permissions, unlike clamav-unofficial-sigs.

Create database structure by running:

Option #2: Set up clamav-unofficial-sigs

This will regularly update the unofficial signatures based on the configuration files in the directory /etc/clamav-unofficial-sigs .

To update signatures manually, run the following:

To change any default settings, refer and modify /etc/clamav-unofficial-sigs/user.conf .

MalwarePatrol database

If you would like to use the MalwarePatrol database, sign up for an account at https://www.malwarepatrol.net/free-guard-upgrade-option.

In /etc/clamav-unofficial-sigs/user.conf , change the following to enable this functionality:

Scan for viruses

There are two options for on-demand scanning:

using the stand-alone scanner

clamscan can be used to scan certain files, home directories, or an entire system:

If you would like clamscan to remove the infected file add to the command the —remove option, or you can use —move=/dir to quarantine them.

You may also want clamscan to scan larger files. In this case, append the options —max-filesize=4000M and —max-scansize=4000M to the command. ‘4000M’ is the largest possible value, and may be lowered as necessary.

Using the -l /path/to/file option will print the clamscan logs to a text file for locating reported infections.

using the daemon

clamdscan is similar to the above but utilizes the daemon, which must be running for the command to work. Most options are ignored since the daemon reads the the settings specified in /etc/clamav/clamd.conf .

Using the milter

Milter will scan your sendmail server for email containing virus. Adjust /etc/clamav/clamav-milter.conf to your needs. For example:

For Postfix add the following lines to /etc/postfix/main.cf :

Check journalctl if the permission to access clamav-milter.socket for postfix is set accordingly, if not, add user postfix to group clamav .

OnAccessScan

On-access scanning requires the kernel to be compiled with the fanotify kernel module (kernel >= 3.8). Check if fanotify has been enabled before enabling on-access scanning.

On-access scanning will scan the file while reading, writing or executing it.

First, edit the /etc/clamav/clamd.conf configuration file by adding the following to the end of the file (you can also change the individual options):

Next, create the file /etc/clamav/virus-event.bash and add the following. This allows you to change/specify the debug message when a virus has been detected by clamd’s on-access scanning service:

If you are using AppArmor, it is also necessary to allow clamd to run as root:

Lastly, you will need to enable and start the clamav-clamonacc service.

Troubleshooting

Error: Clamd was NOT notified

If you get the following messages after running freshclam:

Add a sock file for ClamAV:

Then, edit /etc/clamav/clamd.conf — uncomment this line:

Save the file and restart clamav-daemon.service .

Error: No supported database files found

If you get the next error when starting the daemon:

This happens because of mismatch between /etc/clamav/freshclam.conf setting DatabaseDirectory and /etc/clamav/clamd.conf setting DatabaseDirectory . /etc/clamav/freshclam.conf pointing to /var/lib/clamav , but /etc/clamav/clamd.conf (default directory) pointing to /usr/share/clamav , or other directory. Edit in /etc/clamav/clamd.conf and replace with the same DatabaseDirectory like in /etc/clamav/freshclam.conf . After that clamav will start up successfully.

Error: Can’t create temporary directory

If you get the following error, along with a ‘HINT’ containing a UID and a GID number:

Tips and tricks

Run in multiple threads

Using clamscan

When scanning a file or directory from command line using clamscan only single CPU thread is used. This may be ok in cases when timing is not critical or you do not want computer to become sluggish. If there is a need to scan large folder or USB drive quickly you may want to use all available CPUs to speed up the process.

clamscan is designed to be single-threaded, so xargs can be used to run the scan in parallel:

In this example the -P parameter for xargs runs clamscan in as many processes as there are CPUs (reported by nproc at the same time. —max-lines and —max-args options will allow even finer control of batching the workload across the threads.

Using clamdscan

If you already have clamd daemon running clamdscan can be used instead (see #Starting the daemon):

Here the —multiscan parameter enables clamd to scan the contents of the directory in parallel using available threads. —fdpass parameter is required to pass the file descriptor permissions to clamd as the daemon is running under clamav user and group.

Источник

ClamAV (Русский)

Clam AntiVirus это антивирусный инструмент для UNIX с открытым исходным кодом (GPL). Он предоставляет несколько утилит, включая гибкий и масштабируемый многопоточный демон (службу), сканер для командной строки и расширенные средства для автоматического обновления баз. Поскольку ClamAV в основном используется на файловых и почтовых серверах в Windows-сетях, он предназначен для обнаружения Windows-вирусов и вредоносного ПО.

Contents

Установка

Запуск службы

Смотрите раздел Systemd:Использование юнитов для получения информации об управлении службами.

Название службы: clamd.service .

Обновление баз

Антивирусные базы обновляются при помощи команды:

Файлы баз сохраняются в:

Тестирование

Для того, чтобы убедиться что ClamAV и его антивирусные базы корректно установились, просканируйте тестовый файл EICAR (эмуляция вируса, см. Википедию):

В результатах сканирования должна быть строка:

В противном случае, см. раздел Решение проблем или воспользуйтесь форумом.

Сканирование

Команда clamscan используется для проверки отдельных файлов, каталогов или всей системы:

Для автоматического удаления инфицированных файлов добавьте параметр —remove , или можете использовать —move=/директория для перемещения их в карантин.

При использовании параметра -l /путь/к/файлу результаты сканирования будут записываться в указанный log-файл.

Решение проблем

Error: Clamd was NOT notified

Если при запуске freshclam вы получаете сообщение:

Создайте отсутствующий sock-файл:

Затем в файле /etc/clamav/clamd.conf раскомментируйте стоку:

Error: No supported database files found

Если при запуске службы вы получаете сообщение:

Создайте базу данных от имени пользователя root:

Error: Can’t create temporary directory

Если вы получили следующую ошибку, содержащую номера UID и GUID:

Источник

Антивирус Clamav на защите работы системы Ubuntu

Используя в повседневности Web-ориентированный клиент rtorrent на домашней системе призадумался. А что же получается, я скачиваю файлы они сохраняются ко мне в систему, позже я их копирую (преимущественно книги, аудиофайлы) для последующего изучения как на планшетник или мобильник дабы не терять то драгоценное время которое порой попусту проедается когда жду транспорт утром, еду в нем, возвращаюсь обратно, даже обед на работе частенько становится тем часом когда можно отдохнуть отвлекшись от рабочей суеты за прослушиванием какой-либо увлекательной книги. А потому, ведь системы на этих устройствах отличаются от моей основной — Ubuntu 12.04.5 Desktop amd64 – планшетник на Android, смартфон тоже на Android, а рабочий комп — стандарт де-факто Windows. И просто я же могу попросту не неся злой умысел подсадить к себе вирус, кейлоген, троянскую программу да и просто какой-либо зловред. Поэтому хоть и не бывает на системе Ubuntu вирусов, заразить то ее поставляемую из коробки да к тому же настроенную ой как не просто, а вот что с файлами перенесенными в другое место? Но на эту задачу есть решение, в репозитариях поставляемых совместно с Ubuntu входит утилита ClamAV – это набор различных утилит: демон, сканер с использованием командной строки (это я люблю) и конечно же утилита для автоматического получения новых баз содержащих все новые и новые сигнатуры по которым происходит распознавание нежелательных элементов.

Отличительные черты антивируса ClamAV:

Поддержка командной строки

Соответствие популярным почтовым форматам (используется на почтовых шлюзах)

• Провека различных архивных файлов : Zip, RAR, Dmg, Tar, Gzip, Bzip2, OLE2, Cabinet, CHM, BinHex, SIS and others
• Проверка исполняемых файлов ELF executables and Portable Executable files packed with UPX, FSG, Petite, NsPack, wwpack32, MEW, Upack and obfuscated with SUE, Y0da Cryptor and others
• Проверка популярных офисных форматов: MS Office and MacOffice files, HTML, Flash, RTF and PDF

Установка в систему проста как никогда:

$ sudo apt-get install clamav clamav-daemon clamav-freshclam clamfs -y

ClamAV 0.98.5/20025/Tue Feb 3 20:53:01 2015

Пояснение по утилитам входящим в состав пакета clamav:

• clamav-getfiles — Update script for clamav
• clamav — antivirus scanner for Unix
• clamav-base — base package for clamav, an anti-virus utility for Unix
• clamav-daemon — antivirus scanner daemon
• clamav-data — clamav data files
• clamav-docs — documentation package for clamav, an anti-virus utility for Unix
• clamav-freshclam — downloads clamav virus databases from the Internet
• clamav-milter — antivirus scanner for sendmail
• clamav-testfiles — use these files to test that your Antivirus program works
• clamav-dbg — debug symbols for clamav

Следующее действия это привести установленную антивирусную базу в обновленное состояние:

ClamAV update process started at Tue Feb 3 20:35:58 2015

и далее пошел процесс обновления, который через некоторое время успешно завершился.

Чтобы просканировать всю систему полностью и файлы (и директории) на других файловых системах, попросту говоря смонтированных сетевых ресурсах:

$ sudo clamscan / —recursive=yes —cross-fs=yes

( На заметку: если не указать где производить сканирование, то по умолчанию сканирование будет произведено в домашнем каталоге текущего пользователя )

Если же не хочется смотреть на консоль когда антивирус проходит по всем файлам, то можно задать специальную опцию с целью показа только тех файлов которые имеют место быть зараженными:

$ sudo clamscan / -i —recursive=yes —cross-fs=yes

Проверить конкретный файл:

$ cat /etc/passwd | clamscan —

Known viruses: 3736523

Engine version: 0.98.5

Scanned directories: 0

Scanned files: 1

Infected files: 0

Data scanned: 0.00 MB

Data read: 0.00 MB (ratio 0.00:1)

Time: 7.586 sec (0 m 7 s)

Проверить конкретный файл и в случае обнаружения инициализировать звуковой сигнал:

В обычном режиме программа просто сообщает о найденном вирусе. Используя дополнительные ключи, можно выполнить следующие действия: удалить вирус ( —remove ), переместить ( —move=путь ) или скопировать ( —copy=путь ) файлы в другой каталог.

Подключаю логический диск к каталогу для проверки антивирусом из под Ubuntu:

$ sudo mkdir /media/smb

$ sudo apt-get install smbfs -y

$ sudo smbmount //192.168.1.41/c$ /media/smb -o username=ekzorchik,

либо

$ sudo mount -t cifs //192.168.1.41/c$ /media/smb -o username=ekzorchik,

Запускаю сканирование каталога download на станции Windows, пройти по всем файлам и каталогам, нежелательные элементы удалять, отчет вывести в каталог пользователя ekzorchik в файл Log_scan.txt:

$ sudo clamscan /media/smb/download/ -i —recursive=yes —cross-fs=yes —remove —log=/home/ekzorchik/log_scan.txt

а вот и первые результаты по обнаружению нежелательных элементов:

• /media/smb/download/InstallScript/InstallScript/UP/Addons/1-MSXML4/Files/ForceCopy/SVCPACK/MSXML4.EXE: Win.Trojan.Agent-30620 FOUND
• /media/smb/download/InstallScript/InstallScript/UP/Addons/1-MSXML4/Files/ForceCopy/SVCPACK/MSXML4.EXE: Removed.

Как видно наглядно процесс идет и он непоколебим.

Также в процессе сканирования будут полезны опции задающие правила сканирования, т. е. Задавание какие каталоги следует пропистить при сканировании, а какие наоборот включить. Делается это с помощью опций:

— exclude → исключить из процесса сканирования (к примеру каталоги: / sys & /proc & dev

$ sudo clamscan -ri —exclude-dir=^/sys\|^/proc\|^/dev/ / — log=/home/ekzorchik/log_scan.txt

– include → добавить в процесс сканирования

Как и у большинства различных антивирусов clamav не обделен и расширенными настройками, за настройку отвечает конфигурационный файл: clamd.conf расположение которого легко узнается посредством команды:

$ sudo find / -name clamd.conf

следует заменить, что настройки в нем к сожалению не отражают всех перечисленных, потому как некоторые уже заранее заложены, как дефолтные и повторять их еще раз в файле кажется разработчикам излишне, чтобы отобразить все действущие делаем так:

Откуда же берется вывод действующих настроек, а все просто задействуются такие конфигурационные файлы, как: clamd.conf & freshclam.conf

$ sudo find / -name freshclam.conf

Для более подробной информации по опциям советую почитать справку по утилите clamav. (man clamav)

Чтобы каждый раз не запускать clamav на сканирование системы с целью проверки, а не подцепили ли Вы что-либо или проверить, что каталог со скачанными файлами из torrent выдают себя за те которые Вы скачать, можно настроить соответствующее задание на периодичность, к примеру раз час или как Вам лучше в зависимости от Ваших потребностей:

$ sudo nano /etc/cron.hourly/clamscan_download

/usr/bin/clamscan -ri —remove $SCAN_DIR >> $LOG_FILE

Сохраняем внесенные изменения, назначаем созданному файлу права на запуск:

$ sudo chmod +x /etc/cron.hourly/clamscan_download

Можно на всякий случай перезапустить службу cron:

$ sudo service cron stop

$ sudo service cron start

cron start/running, process 4682

Теперь каждый час будет производиться сканирование каталога где у меня располагаются скачанные torrent файлы, но как я заметил выше данная периодичность достигается индивидуально.

Прекратить выполнение задания, снимает исполняемый атрибут:

$ sudo chmod -x /etc/cron.hourly/clamscan_download

Также можно сделать по другому сделать задание но уже запуск назначить на конкретное время в течение дня,недели,месяца,года:

$ sudo mkdir /etc/clamav/script

$ sudo nano /etc/clamav/script/download

/usr/bin/clamscan -ri —remove —exclude-dir=^/sys\|^/proc\|^/dev /media/smb/download | mail -s «ClamAV scan Result for ‘date +%d'» support@ekzorchik.ru

$ sudo chmod +x /etc/clamav/script/download

Запускать скрипт каждый день в девять часов вечера:

0 21 * * * /etc/clamav/script/download

Сохраняем внесенные изменения:

crontab: installing new crontab

Что еще хочется отметить, можно сделать также задание но уже более расширенное с возможность отправки отчета о проделанной операции на почту. Для этих целей к примеру подойдет скрипт имеющий место быть опубликованным в этой заметке.

Просто берем его и адаптируем под свои задачи — это гораздо проще использовать уже что-то написанное чем создавать все с нуля и проходить все грабли.

Но чтобы почта отправлялась в системе должен быть настроен MTA агент от имени какого почтового ящика инициализировать отправку, к примеру за шагами настройки можете обратиться на мой блог к заметке.

Не знаю, чтобы еще такого показать для антивируса, скажу лишь одно — не обязательно гнаться за известными на слуху антивирусами, уже давно имеющееся и хорошо себя зарекомендовавшее присутствующее в репозитариях утилита clamav может применяться для повседневных задач столь же качественно как и другие. Clamav хорош бесплатностью и универсальностью, способностью комбинироваться и подстраиваться под нужды пользователя/администратора на системе Ubuntu. Меня он в полной мере устраивает всем.

Используйте прокси ((заблокировано роскомнадзором, используйте vpn или proxy)) при использовании Telegram клиента:

Поблагодари автора и новые статьи

будут появляться чаще 🙂

Карта МКБ: 4432-7300-2472-8059

Большое спасибо тем кто благодарит автора за практические заметки небольшими пожертвованиями. С уважением, Олло Александр aka ekzorchik.

Источник