病毒扫描

1 介绍

ClamAV 是一个开源(GPLv2许可)的反病毒工具包,专为邮件网关上的电子邮件扫描而设计。它提供了多种实用工具,包括灵活且可扩展的多线程守护进程、命令行扫描器以及用于自动更新数据库的高级工具。该工具包的核心是一个作为共享库形式提供的反病毒引擎。

2 环境要求

ClamAV 的最低建议配置为:

  • CPU 要求:1 CPU,2.0 Ghz+;
  • 内存要求:3 GiB+;
  • 服务器架构:至少 5GiB 可用磁盘空间。

3 安装

RedHat / CentOS

1、安装 epel 源

  1. yum install -y epel-release

2、安装 ClamAV

  1. yum install clamav clamd clamav-update -y

3、修改 ClamAV 配置文件

  1. /etc/clamd.d/scan.conf 取消下面行注释
  2. LogFile /var/log/clamd.scan
  3. LogFileMaxSize 2M
  4. PidFile /run/clamd.scan/clamd.pid
  5. DatabaseDirectory /var/lib/clamav
  6. LocalSocket /run/clamd.scan/clamd.sock

4、修改病毒库刷新配置文件

  1. /etc/freshclam.conf 取消下面行注释
  2. DatabaseDirectory /var/lib/clamav
  3. UpdateLogFile /var/log/freshclam.log
  4. PidFile /var/run/freshclam.pid
  5. DatabaseMirror database.clamav.net
  6. Checks 12

5、启动 ClamAV 服务

  1. systemctl start clamd@scan.service
  2. systemctl start clamav-freshclam.service

6、开机自启动

  1. systemctl enable clamd@scan.service
  2. systemctl enable clamav-freshclam.service

7、查看 ClamAV 服务状态。

  1. systemctl status clamd@scan.service
  2. systemctl status clamav-freshclam.service

Ubuntu / Debian

1、安装 ClamAV

  1. sudo apt install clamav clamav-daemon -y

2、启动 ClamAV 服务

  1. sudo systemctl start clamav-daemon
  2. sudo systemctl start clamav-freshclam.service

4、开机自启动

  1. sudo systemctl enable clamav-daemon
  2. sudo systemctl enable clamav-freshclam.service

5、查看 ClamAV 服务状态。

  1. sudo systemctl status clamav-daemon
  2. sudo systemctl status clamav-freshclam.service

4 病毒类型说明

类型说明
Adware广告软件,通常在用户不知情的情况下显示广告。
Backdoor后门,允许攻击者远程访问和控制受感染系统的程序或功能。
Coinminer加密货币挖矿程序,用于非法挖掘加密货币的恶意软件。
Countermeasure反对抗措施,指示该签名用于识别防御性安全工具。
Downloader下载器,用于下载和执行其他恶意软件或组件的程序。
Dropper放置器,用于将其他恶意软件注入到受感染系统中的程序。
Exploit漏洞利用程序,利用系统或应用程序中的漏洞进行攻击的恶意软件。
File文件类型,用于描述独立文件的签名。
Filetype文件类型,描述恶意文件的类型。
Infostealer信息窃取程序,用于窃取用户敏感信息的恶意软件。
IrcbotIRC 机器人,用于连接到 IRC(Internet Relay Chat)网络的恶意软件。
Joke恶作剧,不良影响系统但通常不造成实际损害的恶意软件。
Keylogger键盘记录器,用于记录用户输入的恶意软件。
Loader装载器,用于加载和执行其他恶意软件的程序。
Macro宏病毒,针对文档或电子表格中的宏命令进行攻击的恶意软件。
Malware恶意软件,一般术语,指任何有害的计算机程序。
Packed/Packer打包/打包工具,用于压缩和加密恶意软件以逃避检测的程序。
Phishing钓鱼,用于欺骗用户输入个人信息的恶意软件。
Proxy代理,用于通过受感染系统进行网络通信的恶意软件。
Ransomware勒索软件,加密用户文件并勒索解密费用的恶意软件。
Revoked已撤销的,指示签名或证书已被官方撤销的恶意软件。
Rootkit根套件,用于隐藏恶意软件活动和存在的程序。
Spyware间谍软件,用于监视用户活动并发送给攻击者的恶意软件。

5 故障排除