ClamAV es una herramienta antivirus de código abierto disponible para distribuciones de Linux . Integra servidores de correo para escanear los archivos adjuntos recibidos. Además de escanear archivos adjuntos de correo, brinda protección a las redes corporativas. Otras funciones también incluyen escaneo web.
En este artículo, discutiremos cómo instalar ClamAV Antivirus en Debian 11 Bullseye y Ubuntu 20.04.
Características de ClamAV :
- compatibilidad integrada con varios formatos de archivo, incluidos Zip, Tar, Gzip, Bzip2, OLE2, Cabinet, CHM, BinHex, SIS y otros.
- compatibilidad integrada con casi todos los formatos de archivos de correo
- compatibilidad integrada con ejecutables ELF y archivos Portable Executable comprimidos con UPX, FSG, Petite, NsPack, wwpack32, MEW, Upack y ofuscados con SUE, Y0da Cryptor y otros;
- compatibilidad integrada con formatos de documentos populares, incluidos archivos de Microsoft Office y Mac Office, HTML, RTF y PDF.
- admite múltiples lenguajes de firma, como coincidencia de firmas basadas en hash, comodines, lógica booleana y cualquier regla personalizada escrita en lenguaje Bytecode.
ClamAV incluye un demonio de análisis de subprocesos múltiples, utilidades de línea de comandos para el análisis de archivos bajo demanda y actualizaciones automáticas de firmas. Uno de sus usos principales es en los servidores de correo como un escáner de virus de correo electrónico del lado del servidor.
Instale y use ClamAV en Debian 11 Bullseye/Ubuntu 20.04
Escriba el siguiente comando para actualizar e instalar repositorios y ClamAV Antivirus respectivamente.
$ sudo apt update $ sudo apt install clamav clamav-daemon
Una vez completada la instalación, deberá detener el demonio para poder actualizar la base de datos de ClamAV manualmente. Detenga el demonio con el comando:
$ sudo systemctl stop clamav-freshclam
Con el demonio detenido, actualice ClamAV con el comando:
$ sudo freshclam
Cuando complete freshclam, descargue el último archivo de firma de la base de datos con el comando:
$ sudo wget https://database.clamav.net/daily.cvd
Copie ese archivo en el directorio necesario con el comando:
$ sudo cp daily.cvd /var/lib/clamav/
Inicie el demonio freshclam con el comando:
$ sudo systemctl start clamav-freshclam
Cómo escanear manualmente un directorio
Para escanear directorios necesitamos escribir el siguiente comando en la terminal:
$ clamscan -r -i --bell /home/
donde:
-r , para escanear subdirectorios recursivamente,
-i , para imprimir archivos infectados,
–campana , suena una campana si detecta un virus,
/inicio/ , directorio que pretendemos escanear; puede usar los directorios de su elección. Este comando solo escanea directorios y nos proporciona la lista de archivos infectados. Pero, ¿qué pasa si planeamos mover los archivos infectados a algún otro directorio? Podría ser una mejor opción ya que eliminar un archivo infectado puede dañar nuestro sistema. Por lo tanto, debemos andar con precaución y mover el archivo infectado a algún otro directorio. Necesitamos escribir el siguiente comando en la terminal:
$ clamscan -i -r --move="/home//Downloads/" /home
El comando anterior escaneará el directorio /home/ y si se detectan archivos infectados, moverá esos archivos al directorio /home/<home-directory>/Downloads/ .
Escribe clamscan -h para más opciones.
Cómo configurar ClamAV para escanear automáticamente
Ahora crearemos un script bash que escaneará el /var/www/html/ directorio y luego cree un trabajo cron para ejecutarlo todas las noches. Cómo lo haga dependerá de si puede enviar correos electrónicos desde la máquina. Si es así, es posible que pueda usar la secuencia de comandos tal cual, o puede que tenga que modificarla, según el servidor SMTP que haya configurado en el servidor. El siguiente ejemplo utilizará el comando de correo.
Primero, cree el script con el comando:
$ nano /usr/local/bin/clamscan_daily.sh
En ese archivo, pegue lo siguiente:
#!/bin/bash
LOGFILE="/var/log/clamav/clamav-$(date +'%Y-%m-%d').log";
EMAIL_MSG="Please see the log file attached";
EMAIL_FROM="[email protected]";
EMAIL_TO="[email protected]";
DIRTOSCAN="/var/www/html";
for S in ${DIRTOSCAN}; do
DIRSIZE=$(du -sh "$S" 2>/dev/null | cut -f1);
echo "Starting scan of "$S" directory.
Directory size: "$DIRSIZE".";
clamscan -ri --remove --detect-pua=yes "$S" >> "$LOGFILE";
#find /var/log/clamav/ -type f -mtime +30 -exec rm {} \;
MALWARE=$(tail "$LOGFILE"|grep Infected|cut -d" " -f3);
if [ "$MALWARE" -ne "0" ];then
echo "$EMAIL_MSG"|mail -a "$LOGFILE" -s "Malware Found" -r "$EMAIL_FROM" "$EMAIL_TO";
fi
done
exit 0
Donde [email protected] es la dirección DE y [email protected] es la dirección de correo electrónico a la que se enviarán las alertas.
Dale a ese archivo permisos ejecutables con el comando:
$ sudo chmod u+x /usr/local/bin/clamscan_daily.sh
Cree el trabajo cron con el comando:
$ sudo crontab -e
En la parte inferior del archivo, agregue la siguiente línea para ejecutar el análisis todos los días a la 1 am:
1 1 * * * /usrlocal/bin/clamscan_daily.sh > /dev/null 2>&1
Guarde y cierre el archivo.
En este punto, ClamAV analizará automáticamente el /var/www/html directorio en busca de archivos maliciosos y le avisará si encuentra algo. Si su servidor no está configurado, de modo que pueda enviar correos electrónicos, deberá ver manualmente el archivo de registro generado con el comando:
less /var/log/clamav/clamav-DATE
Donde FECHA es la marca de tiempo del archivo que necesita ver. Si no está configurando esto para alertas de correo electrónico manuales, asegúrese de revisar periódicamente el archivo de registro de ClamAV .
Conclusión
Y eso es todo lo que se necesita para configurar ClamAV en su servidor Debian 11, para detectar y proteger contra archivos maliciosos. Si tienes alguna pregunta, no dudes en dejar un comentario