蛤仔 是一個開源的防病毒軟件工具包,用於掃描文件中的病毒。 它通常用於掃描郵件網關上的電子郵件。 ClamAV 是完全免費的軟件。
ClamAV 提供內置工具 – 命令行掃描程序、數據庫更新程序、Sendmail milter 界面、對幾乎所有郵件文件格式、存檔格式、流行文檔格式等的內置支持。
在本教程中,我們將學習如何安裝和使用 蛤仔 在 Ubuntu 20.04
ClamAV 組件
ClamAV 組件包括:
clamd (clamav-daemon) – 該守護進程主要負責在掃描開始時將病毒庫加載到內存中。
freshclam (clamav-freshclam) – 這個守護進程用於更新、下載和安裝病毒庫。
clamdscan – 用於掃描文件和目錄以查找病毒的工具。
clamonacc – 這個守護進程為 ClamAV 提供訪問掃描器功能
在 Ubuntu 上安裝 ClamAV
ClamAV 在 Ubuntu 存儲庫中可用。 您可以使用 apt 命令簡單地安裝 ClamAV。
首先,更新Ubuntu系統。
$ sudo apt update
在 Ubuntu 上安裝 ClamAV:
$ sudo apt install clamav clamav-daemon -y
通過檢查 ClamAV 版本來驗證安裝,鍵入:
$ clamscan --V
輸出:
ClamAV 0.103.2/26233/Thu Jul 15 07:31:54 2021
默認情況下, clamav-freshclam 服務將啟用並運行。
$ sudo systemctl status clamav-freshclam
在 clamav-freshclam 啟動時,它會自動將病毒數據庫更新到 /var/lib/clamav。 如果未啟動,請運行以下命令啟動 clamav-freshclam。
$ sudo systemctl start clamav-freshclam
下載和更新 ClamAV 簽名數據庫
ClamAV 安裝和驗證後,您將需要更新 ClamAV 病毒簽名數據庫。 freshclam 命令用於下載和更新 ClamAV 的官方病毒庫。
1. 首先,在更新數據庫之前,我們需要使用以下命令停止 clamav-freshclam 服務。
$ sudo systemctl stop clamav-freshclam
2. 接下來,使用以下命令手動下載和更新數據庫:
$ sudo freshclam
如果您得到以下輸出,則數據庫已更新:
Tue Jul 13 04:15:19 2021 -> ClamAV update process started at Tue Jul 13 04:15:19 2021
Tue Jul 13 04:15:19 2021 -> daily.cvd database is up to date (version: 25930, sigs: 4317819, f-level: 63, builder: raynman)
Tue Jul 13 04:15:19 2021 -> main.cvd database is up to date (version: 59, sigs: 4564902, f-level: 60, builder: sigmgr)
Tue Jul 13 04:15:19 2021 -> bytecode.cvd database is up to date (version: 331, sigs: 94, f-level: 63, builder: anvilleg)
默認情況下,ClamAV 簽名數據庫每小時自動更新一次,可以在 freshclam 配置文件 /etc/clamav/freshclam.conf 中更改此行為。
筆記: 也可以手動從ClamAV病毒庫鏡像下載特徵庫。
ClamAV 使用三個病毒定義文件,例如 main.cvd、daily.cvd 和 bytecode.cvd,並保存在目錄 /var/lib/clamav 中。
3. 最後,啟動 freshclam 守護進程服務:
$ sudo systemctl start clamav-freshclam
上述命令的輸出將指示病毒簽名是否是最新的。
輸出:
● clamav-freshclam.service - ClamAV virus database updater
Loaded: loaded (/lib/systemd/system/clamav-freshclam.service; enabled; vendor preset: enabled)
Active: active (running) since Fri 2021-07-16 01:41:20 UTC; 41s ago
Docs: man:freshclam(1)
man:freshclam.conf(5)
https://www.clamav.net/documents
Main PID: 65112 (freshclam)
Tasks: 1 (limit: 1073)
Memory: 2.0M
CGroup: /system.slice/clamav-freshclam.service
└─65112 /usr/bin/freshclam -d --foreground=true
Jul 16 01:41:20 li1129-224 systemd[1]: Started ClamAV virus database updater.
Jul 16 01:41:20 li1129-224 freshclam[65112]: WARNING: Ignoring deprecated option SafeBrowsing at /etc/clamav/freshclam.conf:22
Jul 16 01:41:20 li1129-224 freshclam[65112]: Fri Jul 16 01:41:20 2021 -> ClamAV update process started at Fri Jul 16 01:41:20 2021
Jul 16 01:41:20 li1129-224 freshclam[65112]: Fri Jul 16 01:41:20 2021 -> ^Your ClamAV installation is OUTDATED!
Jul 16 01:41:20 li1129-224 freshclam[65112]: Fri Jul 16 01:41:20 2021 -> ^Local version: 0.103.2 Recommended version: 0.103.3
Jul 16 01:41:20 li1129-224 freshclam[65112]: Fri Jul 16 01:41:20 2021 -> DON'T PANIC! Read https://www.clamav.net/documents/upgrading-clamav
Jul 16 01:41:20 li1129-224 freshclam[65112]: Fri Jul 16 01:41:20 2021 -> daily.cld database is up-to-date (version: 26233, sigs: 1961297, f-level: 90, builder: raynman)
Jul 16 01:41:20 li1129-224 freshclam[65112]: Fri Jul 16 01:41:20 2021 -> main.cld database is up-to-date (version: 61, sigs: 6607162, f-level: 90, builder: sigmgr)
Jul 16 01:41:20 li1129-224 freshclam[65112]: Fri Jul 16 01:41:20 2021 -> bytecode.cvd database is up-to-date (version: 333, sigs: 92, f-level: 63, builder: awillia2)
對於全新安裝,建議在安裝 ClamAV 病毒數據庫 (.cvd) 文件後啟動 clamav 守護進程。 現在啟動 clamav-daemon 服務以將數據庫定義加載到內存中。
sudo systemctl start clamav-daemon
要驗證 clamd,請檢查 /var/log/clamav/clamav.log 中的 ClamAV 日誌
尾/var/log/clamav/clamav.log
輸出:
Thu Jul 15 04:23:41 2021 -> Portable Executable support enabled.
Thu Jul 15 04:23:41 2021 -> ELF support enabled.
Thu Jul 15 04:23:41 2021 -> Mail files support enabled.
Thu Jul 15 04:23:41 2021 -> OLE2 support enabled.
Thu Jul 15 04:23:41 2021 -> PDF support enabled.
Thu Jul 15 04:23:41 2021 -> SWF support enabled.
Thu Jul 15 04:23:41 2021 -> HTML support enabled.
Thu Jul 15 04:23:41 2021 -> XMLDOCS support enabled.
Thu Jul 15 04:23:41 2021 -> HWP3 support enabled.
Thu Jul 15 04:23:41 2021 -> Self checking every 3600 seconds.
測試 ClamAV
為了測試 ClamAV,我們可以將測試病毒下載到 /tmp 並使用 clamscan 工具進行掃描。
$ cd /tmp $ wget https://www.eicar.org/download/eicar.com $ clamscan –infected –remove eicar.com
輸出
/tmp/eicar.com: Eicar-Test-Signature FOUND
/tmp/eicar.com: Removed.
----------- SCAN SUMMARY -----------
Known viruses: 8553243
Engine version: 0.103.2
Scanned directories: 17
Scanned files: 1
Infected files: 1
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 0.00:1)
Time: 62.005 sec (1 m 2 s)
Start Date: 2021:07:16 02:08:29
End Date: 2021:07:16 02:09:31
如何使用 ClamAV
ClamAV 配置文件位於 /etc/clamav/clamd.conf。 配置文件允許設置掃描行為、clamd 守護進程的用戶名(默認守護進程由 clamav 運行)、從掃描中排除目錄等等。
ClamAV 日誌存儲在 /var/log/clamav/ 中,其中包含有關每次病毒掃描的信息。
ClamAV 自帶許多內置工具,其中 clamscan 是重要的工具。 Clamscan 是一個用於掃描文件的 Clamd 客戶端。
1. 從當前目錄掃描所有文件。
$ clamscan -r /
2. 掃描文件但只顯示受感染的文件。
$ clamscan -r -i /[path-to-folder]
3. 遞歸掃描特定目錄中的受感染文件,然後將其刪除。
$ clamscan --infected --remove --recursive /home/ubuntu/Desktop/
這些選項意味著:
- –infected:僅打印受感染的文件
- –remove:刪除受感染的文件
- –recursive:將掃描該路徑中的所有目錄和子目錄
輸出:
------------ SCAN SUMMARY ------------
Known viruses: 2226383
Engine version: 0.103.2
Scanned directories: 18
Scanned files: 75
Infected files: 0
Data scanned: 15.80 MB
Data read: 5.66MB (ratio 3.09:1)
Time: 15.842 sec (0 m 15 s)
最佳做法是設置 cron 作業以定期運行 ClamAV 掃描。
4. 掃描您的網絡服務器和標準中的所有內容 Apache 文檔根目錄,您可以使用以下命令掃描任何可疑文件和不需要的應用程序。
$ sudo clamscan --infected --detect-pua=yes --recursive /var/www/html/
pua – 潛在的不需要的應用程序
5. 掃描文件,但只顯示受感染的文件而不顯示 OK 文件。
$ clamscan -r -o /[path-to-folder]
6. 掃描文件,但只將受感染文件的結果發送到新的結果文件。
$ clamscan -r /[path-to-folder] | grep FOUND >> /[path-folder]/[file].txt
7. 掃描受感染的文件並將其移動到不同的目錄路徑。
$ clamscan -r --move=/[path-to-folder] /[path-to-quarantine-folder]
欲了解更多信息,請檢查 clamscan 手冊頁 或 clamscan -h。
在 Ubuntu 上安裝 ClamTK
蛤蜊 另一方面是 ClamAV 軟件程序的圖形用戶界面。 如果您更習慣使用 GUI 而不是命令行,則可以使用以下命令安裝 ClamTK:
$ sudo apt-get install clamtk
安裝 clamTK 後,打開它,您將獲得一個漂亮的 GUI,其中包含所有選項,包括配置、歷史記錄、更新、分析。
現在轉到分析組,並選擇“掃描目錄”選項。 然後,將被要求選擇要掃描的所需目錄。
選擇所需目錄後,ClamTK 將掃描該目錄並顯示掃描結果。
clamTK 掃描完成在 ClamAV 和 ClamTK 的性能上,這兩個工具沒有區別。 您可以選擇更適合使用的一種,ClamTK 更加人性化,尤其適合初學者。
結論
眾所周知,Linux 中不存在病毒,也不會被感染,但事實並非如此。 Linux 中存在病毒、木馬和惡意軟件,但它們並不常見。 如果您希望您的 Linux 機器更加安全,您可以安裝並開始使用 ClamAV 或 ClamTK 軟件工具來保護系統免受可疑事件的侵害。
