Zum Inhalt springen

ClamAV: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen Versionsunterschied
VisuellWikitext
K Textersetzung - „== Parameter ==↵“ durch „== Argumente == “
 
(28 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
[https://www.clamav.net/ '''Clam A'''nti'''V'''irus] ist ein Open Source (GPL) Antiviren-Toolkit zur Erkennung von Schadsoftware.
ClamAV ('''Clam A'''nti'''V'''irus) ist ein Open Source (GPL) Antiviren-Toolkit zur Erkennung von Schadsoftware.


= Beschreibung =
= Beschreibung =
== Open Source (GPL) ==
== Toolkit ==
* Befehlszeilenscanner
* Befehlszeilenscanner
* Datenbankaktualisierung
* Multithread-Daemon
* Multithread-Daemon
* Tool zur Datenbankaktualisierung


= Installation =
{| class="wikitable sortable"
# apt install clamav-base clamav-freshclam clamav clamav-daemon
!Befehl !! Aufgabe
 
|-
== Aktualisierung der Datenbank ==
| [[clamav-milter]] ||
Aktualisieren Sie die Virendefinitionen mit:
|-
# freshclam
| [[clamd]] ||
 
|-
Wenn Sie sich hinter einem Proxy befinden, bearbeiten Sie <tt>/etc/clamav/freshclam.conf</tt>und aktualisieren Sie HTTPProxyServer, HTTPProxyPort, HTTPProxyUsername und HTTPProxyPassword.  
| [[clamonacc]] ||
 
|-
Die Datenbankdateien werden gespeichert in:
| [[clamav-milter.conf]] ||
/var/lib/clamav/daily.cvd
|-
/var/lib/clamav/main.cvd
| [[clamd.conf]] ||
/var/lib/clamav/bytecode.cvd
|-
 
| [[clamscan]] ||
[https://wiki.archlinux.org/title/Start/enable Starten/aktivieren]
|-
 
| [[clamav-unofficial-sigs]] ||
<tt>clamav-freshclam.service</tt>
|-
 
| [[clamdscan]] ||
damit die Virendefinitionen aktuell gehalten werden.
|-
 
| [[clamsubmit]] ||
== Testen der Software  ==
|-
Um sicherzustellen, dass ClamAV und die Definitionen korrekt installiert sind, scannen Sie die [http://2016.eicar.org/86-0-Intended-use.html EICAR-Testdatei] (eine harmlose Signatur ohne Virencode) mit ''clamscan''.
| [[clambc]] ||
$ curl https://secure.eicar.org/eicar.com.txt https://secure.eicar.org/eicar.com.txt | clamscan -  
|-
 
| [[clamdtop]] ||
Die Ausgabe '''muss''' einen Treffer anzeigen, zum Beispiel
|-
stdin: Win.Test.EICAR_HDB-1 GEFUNDEN
| [[clamtk]] ||
oder
|-
stdin: {HEX}EICAR.TEST.3.UNOFFICIAL FOUND
| [[clamconf]] ||
 
|-
Andernfalls: Fehlerbehebung
| [[clamfs]] ||
|}


= Syntax =
= Syntax =
== Parameter ==
== Argumente ==
== Optionen ==
== Optionen ==
{| class="wikitable"  
{| class="wikitable"  
Zeile 57: Zeile 61:
|}
|}


= Konfiguration =
= Anwendung =
== Dateien ==
== Aktualisierung der Datenbank ==
Aktualisieren Sie die Virendefinitionen mit:
# freshclam
Wenn Sie sich hinter einem Proxy befinden, bearbeiten Sie <tt>/etc/clamav/freshclam.conf</tt>und aktualisieren Sie HTTPProxyServer, HTTPProxyPort, HTTPProxyUsername und HTTPProxyPassword.


= Anwendungen =
Die Datenbankdateien werden gespeichert in:
== Prüfen ==
/var/lib/clamav/daily.cvd
/var/lib/clamav/main.cvd
/var/lib/clamav/bytecode.cvd


===== Datei =====
[https://wiki.archlinux.org/title/Start/enable Starten/aktivieren]
$ clamscan DATEI
* <tt>clamav-freshclam.service</tt>


===== Verzeichnis =====
damit die Virendefinitionen aktuell gehalten werden.
$ clamscan --recursive=yes --infected VERZEICHNIS


===== Maximale Dateigröße =====
== Testen der Software  ==
* Standardmäßig scannt ClamAV keine Dateien, die größer als 20 MB sind.
$ curl https://secure.eicar.org/eicar.com.txt https://secure.eicar.org/eicar.com.txt | clamscan -  
* Um diese Einstellung zu überschreiben, müssen die Optionen --max-filesize = 2000M --max-scansize = 2000M an den Befehl angehängt werden.
* Wo die Größe 2000M nach Bedarf vom Benutzer ersetzt werden kann.
$ clamscan --max-filesize=2000M --max-scansize=2000M --recursive=yes --infected /home


==== Infizierten Dateien ====
;Beispielausgabe
 
  stdin: Win.Test.EICAR_HDB-1 GEFUNDEN
===== löschen =====
oder
$ clamscan -ri --remove VERZEICHNIS
  stdin: {HEX}EICAR.TEST.3.UNOFFICIAL FOUND
 
===== Quarantäne =====
* Man kann gescannte Dateien mit: "--move=VERZEICHNIS" in den Ordner Verzeichnis legen.
* Praktischerweise kombiniert man: "-r" mit "--move=VERZEICHNIS" um alles in einen sogesehenden Quarantäne Ordner zu legen.
 
== GUI ==
Mit ClamTK steht eine Grafische Benutzeroberfläche zu Verfügung.
 
=== Installation ===
# apt install clamtk
 
[[Bild:Screenshot clamtk.png]]
 
== Fehlerbehebung  ==
'''Hinweis: '''
Stellen Sie sicher, von welchem ​​Benutzer Sie ausführen <tt>clamscan</tt>hat Leserechte für die Datenbankdateien ( <tt>/var/lib/clamav/*.cvd</tt>)
 
=== Fehler: Clamd wurde NICHT benachrichtigt  ===
Wenn Sie nach dem Ausführen von freshclam die folgenden Meldungen erhalten:
WARNUNG: Clamd wurde NICHT benachrichtigt: Es kann keine Verbindung zu Clamd durch hergestellt werden
  /var/lib/clamav/clamd.sock connect(): Keine solche Datei oder Verzeichnis
 
Fügen Sie eine Sock-Datei für ClamAV hinzu
 
'''Warnung: '''
Sehen Sie sich die Warnung in [https://wiki.archlinux.org/title/ClamAV#OnAccessScan #OnAccessScan ]zur Sicherheit von clamd-Ports an:
# touch /run/clamav/clamd.ctl
# chown clamav:clamav /run/clamav/clamd.ctl
 
Bearbeiten Sie dann <tt>/etc/clamav/clamd.conf</tt>- Kommentieren Sie diese Zeile aus:
LocalSocket /run/clamav/clamd.ctl
 
Speichern Sie die Datei und [https://wiki.archlinux.org/title/Restart starten ]<tt>clamav-daemon.service</tt>.
 
=== Fehler: Keine unterstützten Datenbankdateien gefunden  ===
Wenn Sie beim Starten des Daemons den nächsten Fehler erhalten:
 
LibClamAV-Fehler: cli_loaddb(): Keine unterstützten Datenbankdateien gefunden
in /var/lib/clamav FEHLER: Nicht unterstütztes Datenformat
 
Dies geschieht aufgrund einer Nichtübereinstimmung zwischen <tt>/etc/clamav/freshclam.conf</tt>Einstellung <tt>DatabaseDirectory</tt>und <tt>/etc/clamav/clamd.conf</tt>Einstellung <tt>DatabaseDirectory</tt>. <tt>/etc/clamav/freshclam.conf</tt>zeigt auf <tt>/var/lib/clamav</tt>, sondern <tt>/etc/clamav/clamd.conf</tt>(Standardverzeichnis) zeigt auf <tt>/usr/share/clamav</tt>, oder ein anderes Verzeichnis.
 
Bearbeiten ein <tt>/etc/clamav/clamd.conf</tt>und durch die gleichen ersetzen <tt>DatabaseDirectory</tt>wie in <tt>/etc/clamav/freshclam.conf</tt>. Danach ''startet clamav ''erfolgreich.
 
=== Fehler: Temporäres Verzeichnis kann nicht erstellt werden  ===
Wenn Sie die folgende Fehlermeldung erhalten, zusammen mit einem „HINT“, der eine UID- und eine GID-Nummer enthält:
  # temporäres Verzeichnis kann nicht erstellt werden
 
Richtige Berechtigungen:  
# chown UID:GID /var/lib/clamav && chmod 755 /var/lib/clamav
 
== Tipps und Tricks  ==
 
=== In mehreren Threads ausführen  ===
 
==== Clamscan verwenden  ====
Beim Scannen einer Datei oder eines Verzeichnisses von der Befehlszeile aus mit <tt>clamscan</tt>Es wird nur ein einzelner CPU-Thread verwendet. Dies kann in Fällen in Ordnung sein, in denen das Timing nicht kritisch ist oder Sie nicht möchten, dass der Computer träge wird. Wenn große Verzeichnisse oder USB-Laufwerke schnell gescannt werden müssen, können Sie alle verfügbaren CPUs verwenden, um den Vorgang zu beschleunigen.  
 
<tt>clamscan</tt>ist für Singlethreading ausgelegt, also <tt>xargs</tt>kann verwendet werden, um den Scan parallel auszuführen:
 
$ find /home/archie -type f -print0 |  xargs -0 -P $(nproc) clamscan
 
In diesem Beispiel die <tt>-P</tt>Parameter für <tt>xargs</tt>läuft <tt>clamscan</tt>in so vielen Prozessen wie es CPUs gibt (gemeldet von <tt>nproc</tt>) zur selben Zeit. <tt>--max-lines</tt>und <tt>--max-args</tt>Optionen ermöglichen eine noch feinere Steuerung der Stapelverarbeitung der Arbeitslast über die Threads hinweg.
 
== Auf Viren scannen  ==
<tt>clamscan</tt>kann verwendet werden, um bestimmte Dateien, Home-Verzeichnisse oder ein ganzes System zu scannen:
$ clamscan meinedatei
$ clamscan --recursive --infected /home
# clamscan --recursive --infected --exclude-dir='^/sys|^/dev' /
 
Wenn du möchtest <tt>clamscan</tt>Um die infizierte Datei zu entfernen, fügen Sie dem Befehl hinzu <tt>--remove</tt>Option, oder Sie können verwenden <tt>--move=/dir</tt>sie unter Quarantäne zu stellen.  


Sie können auch wollen <tt>clamscan</tt>um größere Dateien zu scannen. Hängen Sie in diesem Fall die Optionen an <tt>--max-filesize=4000M</tt>und <tt>--max-scansize=4000M</tt>zum Befehl. „4000 M“ ist der größtmögliche Wert und kann bei Bedarf verringert werden.
Falls die Ausgabe keinen Treffer anzeigt, siehe [[ClamAV:Fehlerbehebung]]


Verwendung der <tt>-l /path/to/file</tt>Option druckt die <tt>clamscan</tt>logs in eine Textdatei, um gemeldete Infektionen zu lokalisieren.


= Sicherheit =
= Sicherheit =
Zeile 159: Zeile 92:
= Dokumentation =
= Dokumentation =
== RFC ==
== RFC ==
== Man-Pages ==
== Man-Page ==
== Info-Pages ==
== Info-Pages ==
== Projekt-Homepage ==
== Projekt ==


= Links =
= Links =
Zeile 172: Zeile 105:
# https://en.wikipedia.org/wiki/ClamAV
# https://en.wikipedia.org/wiki/ClamAV


== Einzelnachweise ==
<references />


= Testfragen =
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 1''
<div class="mw-collapsible-content">'''Antwort1'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 2''
<div class="mw-collapsible-content">'''Antwort2'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 3''
<div class="mw-collapsible-content">'''Antwort3'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 4''
<div class="mw-collapsible-content">'''Antwort4'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 5''
<div class="mw-collapsible-content">'''Antwort5'''</div>
</div>


= TMP =
; Hinweis
* Die Virensignaturdatenbank sollte zunächst aktualisiert und ClamAV über das Update informiert werden


Freshclam-Konfiguration
* ClamAV muss über aktuelle Virensignaturen verfügen, um effektiv arbeiten zu können.
* Um Ihre ClamAV-Installation zu konfigurieren, ändern Sie die Zeile '? DatabaseMirror db.local.clamav.net' - das 'local' muss in Ihren Ländercode geändert werden.


[[Category:Sicherheit:Schadsoftware:Scanner]]
[[Kategorie:ClamAV]]

Aktuelle Version vom 1. Januar 2025, 16:44 Uhr

ClamAV (Clam AntiVirus) ist ein Open Source (GPL) Antiviren-Toolkit zur Erkennung von Schadsoftware.

Beschreibung

Open Source (GPL)

Toolkit

  • Befehlszeilenscanner
  • Datenbankaktualisierung
  • Multithread-Daemon
Befehl Aufgabe
clamav-milter
clamd
clamonacc
clamav-milter.conf
clamd.conf
clamscan
clamav-unofficial-sigs
clamdscan
clamsubmit
clambc
clamdtop
clamtk
clamconf
clamfs

Syntax

Argumente

Optionen

-i zeigt nur infizierte Dateien an (und nicht alle gescannten)
-r Scannt alle Unterverzeichnisse rekursiv
--remove entfernt infizierte Dateien (Achtung!Nicht leichtfertig benutzen!)
-h zeigt alle Optionen von clamscan an
--move=VERZEICHNIS Verschiebt alle infizierten Dateien nach VERZEICHNIS
--max-filesize = 2000M
--max-scansize = 2000M

Anwendung

Aktualisierung der Datenbank

Aktualisieren Sie die Virendefinitionen mit: 

# freshclam

Wenn Sie sich hinter einem Proxy befinden, bearbeiten Sie /etc/clamav/freshclam.confund aktualisieren Sie HTTPProxyServer, HTTPProxyPort, HTTPProxyUsername und HTTPProxyPassword.

Die Datenbankdateien werden gespeichert in: 

/var/lib/clamav/daily.cvd
/var/lib/clamav/main.cvd
/var/lib/clamav/bytecode.cvd

Starten/aktivieren

  • clamav-freshclam.service

damit die Virendefinitionen aktuell gehalten werden.

Testen der Software

$ curl https://secure.eicar.org/eicar.com.txt https://secure.eicar.org/eicar.com.txt | clamscan -
Beispielausgabe
stdin: Win.Test.EICAR_HDB-1 GEFUNDEN

oder 

stdin: {HEX}EICAR.TEST.3.UNOFFICIAL FOUND

Falls die Ausgabe keinen Treffer anzeigt, siehe ClamAV:Fehlerbehebung


Sicherheit

Dokumentation

RFC

Man-Page

Info-Pages

Projekt

Links

Siehe auch

  1. ClamAV:unofficial-sigs

Weblinks

  1. https://wiki.debian.org/ClamAV
  2. https://github.com/extremeshok/clamav-unofficial-sigs
  3. https://en.wikipedia.org/wiki/ClamAV
Abgerufen von „https://wiki.foxtom.de/index.php?title=ClamAV&oldid=119508