GNU/Linux >> Tutoriales Linux >  >> Linux

Cómo escanear su Linux Box en busca de troyanos, malware y virus usando ClamAV

Este tutorial lo llevará a través de la instalación de ClamAV en CentOS, que puede ayudarlo a detectar virus, malware, troyanos y otras amenazas maliciosas en su máquina Linux. Antes de entrar en los pasos de instalación, le informaré rápidamente sobre ClamAV. ClamAV es un motor antivirus de código abierto o un programa diseñado para escanear el directorio especificado y registrar las amenazas identificadas. Le permite mantener actualizadas las bases de datos de virus mediante la programación de un script cron.

En este tutorial, aprenderá a configurar escaneos programados y bajo demanda usando ClamAV. Aquí vamos,

Instalar EPEL Repo

1. Descargue e instale EPEL Repo para yum

# yum install epel-release -y

2. Edite el archivo EPEL Repo y configure 'enabled=1 ‘.

# vim /etc/yum.repos.d/epel.repo

Instalar paquetes de ClamAV

1. Ahora que tiene EPEL Repo, continúe e instale los paquetes de ClamAV como se muestra a continuación:

# yum install clamav clamd

2. Establecer 'clamd ‘ daemon para iniciar durante el arranque del sistema.

# chkconfig clamd on

3. Inicie ‘clamd ‘ Servidor antivirus:

#/etc/init.d/clamd start
 Starting Clam AntiVirus Daemon: LibClamAV Warning: **************************************************
 LibClamAV Warning: *** The virus database is older than 7 days! ***
 LibClamAV Warning: *** Please update it as soon as possible. ***
 LibClamAV Warning: **************************************************
 [ OK ]

El daemon verificará las firmas de virus actualizadas y advertirá si la base de datos es antigua.

4. Puede actualizar la base de datos de virus usando el siguiente comando

# freshclam
 ClamAV update process started at Tue Oct 6 15:48:09 2015
 main.cvd is up to date (version: 55, sigs: 2424225, f-level: 60, builder: neo)
 connect_error: getsockopt(SO_ERROR): fd=5 error=111: Connection refused
 Can't connect to port 80 of host db.in.clamav.net (IP: 120.88.46.210)
 Trying host db.in.clamav.net (193.1.193.64)...
 WARNING: getfile: daily-20395.cdiff not found on remote server (IP: 193.1.193.64)
 WARNING: Incremental update failed, trying to download daily.cvd
 connect_error: getsockopt(SO_ERROR): fd=5 error=111: Connection refused
 Can't connect to port 80 of host db.in.clamav.net (IP: 120.88.46.210)
 Downloading daily.cvd [100%]
 daily.cvd updated (version: 20954, sigs: 1589056, f-level: 63, builder: jesler)
 Downloading bytecode.cvd [100%]
 bytecode.cvd updated (version: 268, sigs: 47, f-level: 63, builder: anvilleg)
 Database updated (4013328 signatures) from db.in.clamav.net (IP: 193.1.193.64)

Nota :La base de datos de virus se actualizará diariamente mediante el script cron ‘/etc/cron.daily/freshclam '. No necesita crear uno, se creará automáticamente durante la instalación del paquete.

Ejecutando escaneo instantáneo

Puede escanear cualquier directorio al instante usando el siguiente comando.

#/usr/bin/clamscan -i -r /home/peter/
----------- SCAN SUMMARY -----------
Known viruses: 4007761
Engine version: 0.98.7
Scanned directories: 1
Scanned files: 22
Infected files: 0
Data scanned: 79.93 MB
Data read: 2.74 MB (ratio 29.15:1)
Time: 17.215 sec (0 m 17 s)

Configurar análisis programado

Para programar un escaneo, escribiremos un script de shell simple que especifique el directorio que se escaneará y un archivo para registrar los resultados.

1. Cree un script cron diario como se muestra a continuación:

# vim /etc/cron.daily/manual_clamscan

2. Copie y pegue el siguiente código y realice los cambios correspondientes. Por ejemplo, busque 'SCAN_DIR ‘ y el ‘LOG_FILE ‘.

#!/bin/bash
 SCAN_DIR="/"
 LOG_FILE="/var/log/clamav/manual_clamscan.log"
 /usr/bin/clamscan -i -r $SCAN_DIR >> $LOG_FILE
#chmod +x  /etc/cron.daily/manual_clamscan

El script anterior escaneará todo el directorio raíz '/'. Puede ver el archivo de registro (/var/log/clamav/manual_clamscan.log ) para leer los resultados del escaneo.

Eliminar archivos infectados

También puede eliminar o eliminar automáticamente el archivo malicioso. Para hacer eso, puede usar '–remove ‘ opción.

ADVERTENCIA!!! :Tenga cuidado cuando habilite '–remove ' opción con 'clamscan ', ya que esto eliminará el archivo por completo.

Enviar archivo a Sourcefire

También puede enviar archivos a Sourcefire para un análisis más detallado usando 'clamsubmit ‘ comando.

Eso es todo. ¿Conoces algún otro programa antivirus para Linux? Háganos saber sus comentarios.

Gracias al blog de CentOS.


Linux

  1. Cómo Navidadizar su Terminal Linux y Shell

  2. Cómo hacer una copia de seguridad de todo su sistema Linux usando Rsync

  3. Uso de ssh-keygen y uso compartido para la autenticación basada en claves en Linux

  4. Cómo instalar ClamAV en Debian 9 y buscar vulnerabilidades

  5. Cómo instalar ClamAV en Ubuntu 20.04 y buscar vulnerabilidades

Cómo hacer una copia de seguridad de archivos y directorios usando Rsync en Linux

Cómo ejecutar aplicaciones de Linux en Windows 10 y 11 usando WSL

Cómo clonar y restaurar una partición de Linux usando el comando dd

Cómo eliminar archivos y directorios usando la línea de comandos de Linux

Cómo instalar y usar Docker en su sistema Linux

Cómo instalar y configurar Linux Malware Detect (LMD) en Linux