Zum Inhalt springen

ClamAV

Aus Foxwiki

ClamAV (Clam AntiVirus) ist ein Open Source (GPL) Antiviren-Toolkit zur Erkennung von Schadsoftware.

Beschreibung

Open Source (GPL)

Toolkit

  • Befehlszeilenscanner
  • Datenbankaktualisierung
  • Multithread-Daemon



Befehl Aufgabe clamav-milter clamd clamonacc clamav-milter.conf clamd.conf clamscan clamav-unofficial-sigs clamdscan clamsubmit clambc clamdtop clamtk clamconf clamfs

Installation

# apt install clamav-base clamav-freshclam clamav clamav-daemon

Syntax

Parameter

Optionen

-i zeigt nur infizierte Dateien an (und nicht alle gescannten)
-r Scannt alle Unterverzeichnisse rekursiv
--remove entfernt infizierte Dateien (Achtung!Nicht leichtfertig benutzen!)
-h zeigt alle Optionen von clamscan an
--move=VERZEICHNIS Verschiebt alle infizierten Dateien nach VERZEICHNIS
--max-filesize = 2000M
--max-scansize = 2000M

Anwendungen

Aktualisierung der Datenbank

Aktualisieren Sie die Virendefinitionen mit: 

# freshclam

Wenn Sie sich hinter einem Proxy befinden, bearbeiten Sie /etc/clamav/freshclam.confund aktualisieren Sie HTTPProxyServer, HTTPProxyPort, HTTPProxyUsername und HTTPProxyPassword.

Die Datenbankdateien werden gespeichert in: 

/var/lib/clamav/daily.cvd
/var/lib/clamav/main.cvd
/var/lib/clamav/bytecode.cvd

Starten/aktivieren

  • clamav-freshclam.service

damit die Virendefinitionen aktuell gehalten werden.

Testen der Software

$ curl https://secure.eicar.org/eicar.com.txt https://secure.eicar.org/eicar.com.txt | clamscan -
Beispielausgabe
stdin: Win.Test.EICAR_HDB-1 GEFUNDEN

oder 

stdin: {HEX}EICAR.TEST.3.UNOFFICIAL FOUND

Falls die Ausgabe keinen Treffer anzeigt, siehe ClamAV:Fehlerbehebung


Prüfen

Datei
$ clamscan DATEI
Verzeichnis
$ clamscan --recursive=yes --infected VERZEICHNIS
Maximale Dateigröße
  • Standardmäßig scannt ClamAV keine Dateien, die größer als 20 MB sind.
  • Um diese Einstellung zu überschreiben, müssen die Optionen --max-filesize = 2000M --max-scansize = 2000M an den Befehl angehängt werden.
  • Wo die Größe 2000M nach Bedarf vom Benutzer ersetzt werden kann.
$ clamscan --max-filesize=2000M --max-scansize=2000M --recursive=yes --infected /home

Infizierten Dateien

löschen
$ clamscan -ri --remove VERZEICHNIS
Quarantäne
  • Man kann gescannte Dateien mit: "--move=VERZEICHNIS" in den Ordner Verzeichnis legen.
  • Praktischerweise kombiniert man: "-r" mit "--move=VERZEICHNIS" um alles in einen sogesehenden Quarantäne Ordner zu legen.

GUI

Mit ClamTK steht eine Grafische Benutzeroberfläche zu Verfügung.

Installation

# apt install clamtk

Tipps und Tricks

In mehreren Threads ausführen

Clamscan verwenden

Beim Scannen einer Datei oder eines Verzeichnisses von der Befehlszeile aus mit clamscanEs wird nur ein einzelner CPU-Thread verwendet. Dies kann in Fällen in Ordnung sein, in denen das Timing nicht kritisch ist oder Sie nicht möchten, dass der Computer träge wird. Wenn große Verzeichnisse oder USB-Laufwerke schnell gescannt werden müssen, können Sie alle verfügbaren CPUs verwenden, um den Vorgang zu beschleunigen.

clamscanist für Singlethreading ausgelegt, also xargskann verwendet werden, um den Scan parallel auszuführen: 

$ find /home/archie -type f -print0 |  xargs -0 -P $(nproc) clamscan

In diesem Beispiel die -PParameter für xargsläuft clamscanin so vielen Prozessen wie es CPUs gibt (gemeldet von nproc) zur selben Zeit. --max-linesund --max-argsOptionen ermöglichen eine noch feinere Steuerung der Stapelverarbeitung der Arbeitslast über die Threads hinweg.

Auf Viren scannen

clamscankann verwendet werden, um bestimmte Dateien, Home-Verzeichnisse oder ein ganzes System zu scannen: 

$ clamscan meinedatei
$ clamscan --recursive --infected /home
# clamscan --recursive --infected --exclude-dir='^/sys|^/dev' /

Wenn du möchtest clamscanUm die infizierte Datei zu entfernen, fügen Sie dem Befehl hinzu --removeOption, oder Sie können verwenden --move=/dirsie unter Quarantäne zu stellen.

Sie können auch wollen clamscanum größere Dateien zu scannen. Hängen Sie in diesem Fall die Optionen an --max-filesize=4000Mund --max-scansize=4000Mzum Befehl. „4000 M“ ist der größtmögliche Wert und kann bei Bedarf verringert werden.

Verwendung der -l /path/to/fileOption druckt die clamscanlogs in eine Textdatei, um gemeldete Infektionen zu lokalisieren.

Sicherheit

Dokumentation

RFC

Man-Pages

Info-Pages

Projekt-Homepage

Links

Siehe auch

  1. ClamAV:unofficial-sigs

Weblinks

  1. https://wiki.debian.org/ClamAV
  2. https://github.com/extremeshok/clamav-unofficial-sigs
  3. https://en.wikipedia.org/wiki/ClamAV

Einzelnachweise


Testfragen

Testfrage 1

Antwort1

Testfrage 2

Antwort2

Testfrage 3

Antwort3

Testfrage 4

Antwort4

Testfrage 5

Antwort5

TMP

Hinweis
  • Die Virensignaturdatenbank sollte zunächst aktualisiert und ClamAV über das Update informiert werden

Freshclam-Konfiguration

  • ClamAV muss über aktuelle Virensignaturen verfügen, um effektiv arbeiten zu können.
  • Um Ihre ClamAV-Installation zu konfigurieren, ändern Sie die Zeile '? DatabaseMirror db.local.clamav.net' - das 'local' muss in Ihren Ländercode geändert werden.
Abgerufen von „https://wiki.foxtom.de/index.php?title=ClamAV&oldid=34396