Clam AntiVirus ist ein Open Source (GPL) Antiviren-Toolkit zur Erkennung von Schadsoftware.

Beschreibung

• Befehlszeilenscanner
• Multithread-Daemon
• Tool zur Datenbankaktualisierung

Installation

# apt install clamav-base clamav-freshclam clamav clamav-daemon

Aktualisierung der Datenbank

Aktualisieren Sie die Virendefinitionen mit:

# freshclam

Wenn Sie sich hinter einem Proxy befinden, bearbeiten Sie /etc/clamav/freshclam.confund aktualisieren Sie HTTPProxyServer, HTTPProxyPort, HTTPProxyUsername und HTTPProxyPassword.

Die Datenbankdateien werden gespeichert in: /var/lib/clamav/daily.cvd /var/lib/clamav/main.cvd /var/lib/clamav/bytecode.cvd

Starten/aktivieren

clamav-freshclam.service

damit die Virendefinitionen aktuell gehalten werden.

Testen der Software

Um sicherzustellen, dass ClamAV und die Definitionen korrekt installiert sind, scannen Sie die EICAR-Testdatei (eine harmlose Signatur ohne Virencode) mit clamscan.

$ curl https://secure.eicar.org/eicar.com.txt https://secure.eicar.org/eicar.com.txt | clamscan - 

Die Ausgabe muss einen Treffer anzeigen, zum Beispiel

stdin: Win.Test.EICAR_HDB-1 GEFUNDEN

oder

stdin: {HEX}EICAR.TEST.3.UNOFFICIAL FOUND

Andernfalls: Fehlerbehebung

Syntax

Parameter

Optionen

Konfiguration

Dateien

Anwendungen

Prüfen

Datei

$ clamscan DATEI

Verzeichnis

$ clamscan --recursive=yes --infected VERZEICHNIS

Maximale Dateigröße

• Standardmäßig scannt ClamAV keine Dateien, die größer als 20 MB sind.
• Um diese Einstellung zu überschreiben, müssen die Optionen --max-filesize = 2000M --max-scansize = 2000M an den Befehl angehängt werden.
• Wo die Größe 2000M nach Bedarf vom Benutzer ersetzt werden kann.

$ clamscan --max-filesize=2000M --max-scansize=2000M --recursive=yes --infected /home

Infizierten Dateien

löschen

$ clamscan -ri --remove VERZEICHNIS

Quarantäne

• Man kann gescannte Dateien mit: "--move=VERZEICHNIS" in den Ordner Verzeichnis legen.
• Praktischerweise kombiniert man: "-r" mit "--move=VERZEICHNIS" um alles in einen sogesehenden Quarantäne Ordner zu legen.

GUI

Mit ClamTK steht eine Grafische Benutzeroberfläche zu Verfügung.

Installation

# apt install clamtk

Fehlerbehebung

Hinweis: 
Stellen Sie sicher, von welchem ​​Benutzer Sie ausführen clamscanhat Leserechte für die Datenbankdateien ( /var/lib/clamav/*.cvd) 

Fehler: Clamd wurde NICHT benachrichtigt

Wenn Sie nach dem Ausführen von freshclam die folgenden Meldungen erhalten:

WARNUNG: Clamd wurde NICHT benachrichtigt: Es kann keine Verbindung zu Clamd durch hergestellt werden

/var/lib/clamav/clamd.sock connect(): Keine solche Datei oder Verzeichnis

Fügen Sie eine Sock-Datei für ClamAV hinzu

Warnung: 

Sehen Sie sich die Warnung in #OnAccessScan zur Sicherheit von clamd-Ports an:

# touch /run/clamav/clamd.ctl
# chown clamav:clamav /run/clamav/clamd.ctl

Bearbeiten Sie dann /etc/clamav/clamd.conf- Kommentieren Sie diese Zeile aus:

LocalSocket /run/clamav/clamd.ctl

Speichern Sie die Datei und starten clamav-daemon.service.

Fehler: Keine unterstützten Datenbankdateien gefunden

Wenn Sie beim Starten des Daemons den nächsten Fehler erhalten:

LibClamAV-Fehler: cli_loaddb(): Keine unterstützten Datenbankdateien gefunden

in /var/lib/clamav FEHLER: Nicht unterstütztes Datenformat

Dies geschieht aufgrund einer Nichtübereinstimmung zwischen /etc/clamav/freshclam.confEinstellung DatabaseDirectoryund /etc/clamav/clamd.confEinstellung DatabaseDirectory. /etc/clamav/freshclam.confzeigt auf /var/lib/clamav, sondern /etc/clamav/clamd.conf(Standardverzeichnis) zeigt auf /usr/share/clamav, oder ein anderes Verzeichnis.

Bearbeiten ein /etc/clamav/clamd.confund durch die gleichen ersetzen DatabaseDirectorywie in /etc/clamav/freshclam.conf. Danach startet clamav erfolgreich.

Fehler: Temporäres Verzeichnis kann nicht erstellt werden

Wenn Sie die folgende Fehlermeldung erhalten, zusammen mit einem „HINT“, der eine UID- und eine GID-Nummer enthält:

# temporäres Verzeichnis kann nicht erstellt werden

Richtige Berechtigungen:

# chown UID:GID /var/lib/clamav && chmod 755 /var/lib/clamav

Tipps und Tricks

In mehreren Threads ausführen

Clamscan verwenden

Beim Scannen einer Datei oder eines Verzeichnisses von der Befehlszeile aus mit clamscanEs wird nur ein einzelner CPU-Thread verwendet. Dies kann in Fällen in Ordnung sein, in denen das Timing nicht kritisch ist oder Sie nicht möchten, dass der Computer träge wird. Wenn große Verzeichnisse oder USB-Laufwerke schnell gescannt werden müssen, können Sie alle verfügbaren CPUs verwenden, um den Vorgang zu beschleunigen.

clamscanist für Singlethreading ausgelegt, also xargskann verwendet werden, um den Scan parallel auszuführen:

$ find /home/archie -type f -print0 |  xargs -0 -P $(nproc) clamscan

In diesem Beispiel die -PParameter für xargsläuft clamscanin so vielen Prozessen wie es CPUs gibt (gemeldet von nproc) zur selben Zeit. --max-linesund --max-argsOptionen ermöglichen eine noch feinere Steuerung der Stapelverarbeitung der Arbeitslast über die Threads hinweg.

Auf Viren scannen

clamscankann verwendet werden, um bestimmte Dateien, Home-Verzeichnisse oder ein ganzes System zu scannen:

$ clamscan meinedatei
$ clamscan --recursive --infected /home
# clamscan --recursive --infected --exclude-dir='^/sys|^/dev' /

Wenn du möchtest clamscanUm die infizierte Datei zu entfernen, fügen Sie dem Befehl hinzu --removeOption, oder Sie können verwenden --move=/dirsie unter Quarantäne zu stellen.

Sie können auch wollen clamscanum größere Dateien zu scannen. Hängen Sie in diesem Fall die Optionen an --max-filesize=4000Mund --max-scansize=4000Mzum Befehl. „4000 M“ ist der größtmögliche Wert und kann bei Bedarf verringert werden.

Verwendung der -l /path/to/fileOption druckt die clamscanlogs in eine Textdatei, um gemeldete Infektionen zu lokalisieren.

Sicherheit

Dokumentation

RFC

Man-Pages

Info-Pages

Projekt-Homepage

Links

Siehe auch

1. ClamAV:unofficial-sigs

Weblinks

1. https://wiki.debian.org/ClamAV
2. https://github.com/extremeshok/clamav-unofficial-sigs
3. https://en.wikipedia.org/wiki/ClamAV

Einzelnachweise

Testfragen

TMP

Hinweis

• Die Virensignaturdatenbank sollte zunächst aktualisiert und ClamAV über das Update informiert werden

Freshclam-Konfiguration

• ClamAV muss über aktuelle Virensignaturen verfügen, um effektiv arbeiten zu können.
• Um Ihre ClamAV-Installation zu konfigurieren, ändern Sie die Zeile '? DatabaseMirror db.local.clamav.net' - das 'local' muss in Ihren Ländercode geändert werden.