2. 程式人生 > >安全防護工具之:ClamAV

安全防護工具之:ClamAV

阿新 發佈:2019-01-06

è¿éåå¾çæè¿°
ClamAV是一個C語言開發的開源病毒掃描工具用於檢測木馬/病毒/惡意軟體等。可以線上更新病毒庫,Linux系統的病毒較少,但是並不意味著病毒免疫,尤其是對於諸如郵件或者歸檔檔案中夾雜的病毒往往更加難以防範,而ClamAV則能起到不少作用。 
ClamAV相關資訊如下:

專案    詳細
官方地址    http://www.clamav.net/
下載地址    http://www.clamav.net/downloads
當前穩定版本    0.99.2

功能特性
專案    詳細
主要用途    郵件閘道器的病毒掃描,內建支援多種郵件格式
高效能    提供多執行緒的掃描程序
命令列    提供密令行掃描方式
掃描物件    可以對要傳送的郵件或者檔案進行掃描
檔案格式    支援多種檔案格式
病毒庫更新頻度    一天多次病毒庫的更新
歸檔檔案    支援掃描多種歸檔檔案,比如Zip, RAR, Dmg, Tar, Gzip, Bzip2, OLE2, Cabinet, CHM, BinHex, SIS等
文件    支援流行的文件檔案,比如: MS Office檔案,MacOffice檔案, HTML, Flash, RTF,PDF
安裝方式
專案    詳細
CENTOS/RHEL    yum -y install clamav
Ubuntu/Debian    apt-get install clamav
注意:centos上的clamd是在epel-release下,需要現行安裝epel-release。 如果使用原始碼安裝方式的話,保證C編譯器和ZLIB等存在的情況下對原始碼./configure->make->make install即可。

安裝日誌
[[email protected] ~]# yum -y install epel-release
Loaded plugins: fastestmirror
...
 Package    : centos-release-7-3.1611.el7.centos.x86_64 (@anaconda)
 From       : /etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
  Installing : epel-release-7-9.noarch                                                                                                                               1/1 
  Verifying  : epel-release-7-9.noarch                                                                                                                               1/1 

Installed:
  epel-release.noarch 0:7-9                                                                                                                                              

Complete!
[[email protected] ~]# 
 
 
[[email protected] ~]# yum -y install clamav
Loaded plugins: fastestmirror
...
Running transaction
  Installing : clamav-filesystem-0.99.2-8.el7.noarch                                                                                                                 1/4 
  Installing : clamav-data-0.99.2-8.el7.noarch                                                                                                                       2/4 
  Installing : clamav-lib-0.99.2-8.el7.x86_64                                                                                                                        3/4 
  Installing : clamav-0.99.2-8.el7.x86_64                                                                                                                            4/4 
  Verifying  : clamav-lib-0.99.2-8.el7.x86_64                                                                                                                        1/4 
  Verifying  : clamav-data-0.99.2-8.el7.noarch                                                                                                                       2/4 
  Verifying  : clamav-0.99.2-8.el7.x86_64                                                                                                                            3/4 
  Verifying  : clamav-filesystem-0.99.2-8.el7.noarch                                                                                                                 4/4 

Installed:
  clamav.x86_64 0:0.99.2-8.el7                                                                                                                                           

Dependency Installed:
  clamav-data.noarch 0:0.99.2-8.el7                     clamav-filesystem.noarch 0:0.99.2-8.el7                     clamav-lib.x86_64 0:0.99.2-8.el7                    

Complete!
[[email protected] ~]#
  
版本確認
[[email protected] ~]# clamscan --version
ClamAV 0.99.2/21723/Mon Jun 13 09:53:00 2016
[[email protected] ~]# 
 
掃描
使用clamscan命令列對某一目錄進行掃描,可以確認結果是否OK,同時會給出一個掃描的總體資訊,其中Infected files是掃描出來的被感染的檔案個數。比如如下示例表明對/root目錄下的檔案進行掃描,未發現感染檔案的情況。

[[email protected] ~]# clamscan /root
LibClamAV Warning: **************************************************
LibClamAV Warning: ***  The virus database is older than 7 days!  ***
LibClamAV Warning: ***   Please update it as soon as possible.    ***
LibClamAV Warning: **************************************************
/root/.bash_logout: OK
/root/.bash_profile: OK
/root/.bashrc: OK
/root/.cshrc: OK
/root/.tcshrc: OK
/root/anaconda-ks.cfg: OK
/root/.bash_history: OK

----------- SCAN SUMMARY -----------
Known viruses: 4490129
Engine version: 0.99.2
Scanned directories: 1
Scanned files: 7
Infected files: 0
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 0.00:1)
Time: 19.365 sec (0 m 19 s)
[[email protected] ~]# 
 
注意:此處提示“The virus database is older than 7 days!”的原因在於病毒庫沒有及時更新。因為使用yum預設安裝目前的版本似乎不會自動安裝freshclam的病毒庫更新功能,後面我們會使用原始碼安裝方式來解決這個問題。

模擬病毒檔案
從eicar.org下載一個用於模擬病毒的檔案,看一下clamav是否能夠掃描出來

[[email protected] ~]# wget http://www.eicar.org/download/eicar.com
--2017-08-02 23:03:10--  http://www.eicar.org/download/eicar.com
Resolving www.eicar.org (www.eicar.org)... 213.211.198.62
Connecting to www.eicar.org (www.eicar.org)|213.211.198.62|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 68 [application/octet-stream]
Saving to: ‘eicar.com’

100%[===============================================================================================================================>] 68          --.-K/s   in 0s      

2017-08-02 23:03:20 (318 KB/s) - ‘eicar.com’ saved [68/68]

[[email protected] ~]# ls
anaconda-ks.cfg  eicar.com
[[email protected] ~]# pwd
/root
 
重新掃描
重新掃描看是否能夠檢測出新下載的病毒測試檔案。進過測試,發現結果中提示“/root/eicar.com: Eicar-Test-Signature FOUND”,同時“Infected files: 1”,說明此病毒檔案被檢測出來了

[[email protected] ~]# clamscan /root
LibClamAV Warning: **************************************************
LibClamAV Warning: ***  The virus database is older than 7 days!  ***
LibClamAV Warning: ***   Please update it as soon as possible.    ***
LibClamAV Warning: **************************************************
/root/.bash_logout: OK
/root/.bash_profile: OK
/root/.bashrc: OK
/root/.cshrc: OK
/root/.tcshrc: OK
/root/anaconda-ks.cfg: OK
/root/.bash_history: OK
/root/eicar.com: Eicar-Test-Signature FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4490129
Engine version: 0.99.2
Scanned directories: 1
Scanned files: 8
Infected files: 1
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 0.00:1)
Time: 21.129 sec (0 m 21 s)
[[email protected] ~]# 
 
 
但是預設的方式下,clamscan只會檢測不會自動刪除檔案

[[email protected] ~]# ls
anaconda-ks.cfg  eicar.com
[[email protected] ~]# 
 
掃描並刪除感染檔案
使用–remove選項,會直接刪除檢測出來的檔案。

[[email protected] ~]# clamscan --remove /root
LibClamAV Warning: **************************************************
LibClamAV Warning: ***  The virus database is older than 7 days!  ***
LibClamAV Warning: ***   Please update it as soon as possible.    ***
LibClamAV Warning: **************************************************
/root/.bash_logout: OK
/root/.bash_profile: OK
/root/.bashrc: OK
/root/.cshrc: OK
/root/.tcshrc: OK
/root/anaconda-ks.cfg: OK
/root/.bash_history: OK
/root/eicar.com: Eicar-Test-Signature FOUND
/root/eicar.com: Removed.

----------- SCAN SUMMARY -----------
Known viruses: 4490129
Engine version: 0.99.2
Scanned directories: 1
Scanned files: 8
Infected files: 1
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 0.00:1)
Time: 23.546 sec (0 m 23 s)
[[email protected] ~]# ls
anaconda-ks.cfg
[[email protected] ~]#
 
 
原始碼安裝方式
目前使用yum源安裝病毒庫的更新相關的仍需手動操作,所以可以考慮使用原始碼安裝方式。

下載原始碼
專案    詳細
下載命令    wget http://www.clamav.net/downloads/production/clamav-0.99.2.tar.gz
解壓
專案    詳細
解壓命令    tar xvpf clamav-0.99.2.tar.gz
變更目錄    cd clamav-0.99.2
編譯前依賴
專案    詳細
安裝gcc    yum install gcc -y
安裝openssl    yum install openssl openssl-devel -y
建立目錄    mkdir -p /usr/local/clamav
config & make & make install
專案    詳細
config    ./configure –prefix=/usr/local/clamav
make    make
make install    make install
安裝後確認
[[email protected] clamav-0.99.2]# ls /usr/local/clamav/bin
clamav-config  clambc  clamconf  clamdscan  clamscan  freshclam  sigtool
[[email protected] clamav-0.99.2]# /usr/local/clamav/bin/clamscan --version
ClamAV 0.99.2
[[email protected] clamav-0.99.2]# 
 
注意:此時如果執行clamscan進行掃描,會提示如下問題。

[[email protected] clamav-0.99.2]# /usr/local/clamav/bin/clamscan /root
LibClamAV Error: cl_load(): No such file or directory: /usr/local/clamav/share/clamav
ERROR: Can't get file status

----------- SCAN SUMMARY -----------
Known viruses: 0
Engine version: 0.99.2
Scanned directories: 0
Scanned files: 0
Infected files: 0
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 0.00:1)
Time: 0.002 sec (0 m 0 s)
[[email protected] clamav-0.99.2]# 
 
檢視原始碼之後發現其實很簡單,此時需要有可用的病毒庫檔案,同時使用者和組的許可權也需要設定。整體的順序按照:

專案    詳細
Step 1    建立使用者和組
Step 2    建立目錄並設定許可權
Step 3    拷貝和更新設定檔案
Step 4    更新病毒庫
Step 5    掃描病毒
設定
Step 1: 建立使用者和組
專案    詳細
建立group    groupadd clamav
建立使用者    useradd -g clamav clamav
Step 2: 建立目錄並設定許可權
建立目錄
目錄    詳細
logs    存放日誌資訊
database    存放更新病毒庫資訊
worktmp    存放pid等臨時檔案或狀態檔案資訊
[[email protected] clamav]# pwd
/usr/local/clamav
[[email protected] clamav]# ls
bin  etc  include  lib64  sbin  share
[[email protected] clamav]# mkdir -p logs database worktmp
[[email protected] clamav]#
 
設定許可權
[[email protected] clamav]# pwd
/usr/local/clamav
[[email protected] clamav]# chown clamav:clamav database
[[email protected] clamav]#
 
Step 3: 拷貝和更新設定檔案
拷貝生成設定檔案
目錄    原始檔    目標檔案
/usr/local/clamav/etc    clamd.conf.sample    clamd.conf
/usr/local/clamav/etc    freshclam.conf.sample    freshclam.conf
[[email protected] etc]# pwd
/usr/local/clamav/etc
[[email protected] etc]# cp clamd.conf.sample clamd.conf
[[email protected] etc]# cp freshclam.conf.sample freshclam.conf
[[email protected] etc]# ls
clamd.conf  clamd.conf.sample  freshclam.conf  freshclam.conf.sample
[[email protected] etc]# 
 
生成病毒庫更新日誌檔案

[[email protected] etc]# touch /usr/local/clamav/logs/freshclam.log
[[email protected] etc]# chown clamav:clamav /usr/local/clamav/logs/freshclam.log
[[email protected] etc]#
 
修改檔案
[[email protected] etc]# ls
clamd.conf  clamd.conf.sample  freshclam.conf  freshclam.conf.sample
[[email protected]umiaocn etc]# vi clamd.conf
[[email protected] etc]# vi freshclam.conf
[[email protected] etc]# diff clamd.conf  clamd.conf.sample
14c14
< LogFile /usr/local/clamav/logs/clamd.log
---
> #LogFile /tmp/clamd.log
66c66
< PidFile /var/clamav/worktmp/clamd.pid
---
> #PidFile /var/run/clamd.pid
74c74
< DatabaseDirectory /var/lib/clamav/database
---
> #DatabaseDirectory /var/lib/clamav
[[email protected] etc]# 
[[email protected] etc]# diff freshclam.conf freshclam.conf.sample 
8c8
< #Example
---
> Example
13c13
< DatabaseDirectory /usr/local/clamav/database/
---
> #DatabaseDirectory /var/lib/clamav
17c17
< UpdateLogFile /usr/local/clamav/logs/freshclam.log
---
> #UpdateLogFile /var/log/freshclam.log
51c51
< PidFile /usr/local/clamav/worktmp/freshclam.pid
---
> #PidFile /var/run/freshclam.pid
[[email protected] etc]# 
 
其實本次示例中只需保證freshclam.conf檔案正確設定即可保證ClamAV正常動作。

更新病毒庫
在設定freshclam.conf之後,使用freshclam命令即可聯網更新病毒庫至database目錄了, 首次更新稍微會花一點時間。

[[email protected] etc]# /usr/local/clamav/bin/freshclam 
ClamAV update process started at Fri Aug  4 22:39:40 2017
Trying host database.clamav.net (69.12.162.28)...
Downloading main.cvd [100%]
main.cvd updated (version: 58, sigs: 4566249, f-level: 60, builder: sigmgr)
Downloading daily.cvd [100%]
daily.cvd updated (version: 23629, sigs: 1741893, f-level: 63, builder: neo)
Downloading bytecode.cvd [100%]
bytecode.cvd updated (version: 308, sigs: 66, f-level: 63, builder: anvilleg)
Database updated (6308208 signatures) from database.clamav.net (IP: 69.12.162.28)
[[email protected] etc]# 
 
更新之後

[[email protected] clamav]# pwd
/usr/local/clamav
[[email protected] clamav]# ls database/
bytecode.cvd  daily.cvd  main.cvd  mirrors.dat
[[email protected] clamav]# 
 
掃描病毒
下載病毒測試檔案
[[email protected] ~]# ls
anaconda-ks.cfg
[[email protected] ~]# wget http://www.eicar.org/download/eicar.com
--2017-08-04 23:00:41--  http://www.eicar.org/download/eicar.com
Resolving www.eicar.org (www.eicar.org)... 213.211.198.62
Connecting to www.eicar.org (www.eicar.org)|213.211.198.62|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 68 [application/octet-stream]
Saving to: ‘eicar.com’

100%[===============================================================================================================================>] 68          --.-K/s   in 0.001s  

2017-08-04 23:00:43 (92.3 KB/s) - ‘eicar.com’ saved [68/68]

[[email protected] ~]# ls
anaconda-ks.cfg  eicar.com
[[email protected] ~]# 

掃描並刪除感染檔案
[[email protected] ~]# /usr/local/clamav/bin/clamscan --remove /root
/root/.bash_logout: OK
/root/.bash_profile: OK
/root/.bashrc: OK
/root/.cshrc: OK
/root/.tcshrc: OK
/root/anaconda-ks.cfg: OK
/root/.bash_history: OK
/root/eicar.com: Eicar-Test-Signature FOUND
/root/eicar.com: Removed.

----------- SCAN SUMMARY -----------
Known viruses: 6302548
Engine version: 0.99.2
Scanned directories: 1
Scanned files: 8
Infected files: 1
Data scanned: 0.01 MB
Data read: 0.00 MB (ratio 2.00:1)
Time: 22.310 sec (0 m 22 s)
[[email protected] ~]# ls
anaconda-ks.cfg
[[email protected] ~]# 

總結
ClamAV提供和方便的命令列方式進行整合,保持更新的病毒庫,給開源的安全方案提供了一種選擇。
 

相關推薦

安全防護工具ClamAV

ClamAV是一個C語言開發的開源病毒掃描工具用於檢測木馬/病毒/惡意軟體等。可以線上更新病毒庫,Linux系統的病毒較少,但是並不意味著病毒免疫,尤其是對於諸如郵件或者歸檔檔案中夾雜的病毒往往更加難以防範,而ClamAV則能起到不少作用。  ClamAV相關資訊如下: 專案&nbs

安全防護工具Anchore

安全性對任何產品來說都非常重要,比如著名的HeartBleed就曾經給很多忽視安全問題的企業帶來了很大的影響。而隨著容器化的推進,早在2015年的一次調查

安全測試工具-Burpsuite

埠即服務,每一個服務對應一個或多個埠。埠掃描即通過一些方法檢測到一臺主機的一段特定埠是否提供相應的服務。利用這些掃描結果,正常使用者可以訪問系統所提供的服務,而黑客卻可以利用這些服務中的漏洞對系統進行攻擊。通過對埠的掃描,就可以得到任何一個系統都開了哪些埠,也就是提供了哪些服務。

Android開發小工具Chrome Custom Tabs

參考文章 官方文件 官方原始碼 http://qq157755587.github.io/2016/08/12/custom-tabs-best-practices/ https://juejin.im/entry/586f089c61ff4b006d29f9c0 一

AppScan安全掃描工具安裝及配置GlassBox

1、安裝Appscan高版本,不要問為什麼(高版本攻擊特徵庫會比較多);安裝破解版;複製破解檔案到安裝目錄,啟動Appscan 2、選單欄,點選配置選中GlassBox,配置GlassBox(配置的目的呢,就是比不配置GlassBox能找到更多web程式的漏洞) 3、啟

【Java 安全技術探索路系列J2SE安全架構】安全管理工具

【Java 安全技術探索之路系列:J2SE安全架構】章節列表 作為J2SE複合包的一部分,Java2平臺提供了一組工具來管理安全策略、建立金鑰、管理金鑰和證書、簽署JAR檔案、驗證簽名以及支援金鑰管理相關的其他功能。 一 keystore 金鑰

Java 安全csrf防護實戰分析

  上文總結了csrf攻擊以及一些常用的防護方式,csrf全稱Cross-site request forgery(跨站請求偽造),是一類利用信任使用者已經獲取的註冊憑證,繞過後臺使用者驗證,向被攻擊網站傳送未被使用者授權的跨站請求以對被攻擊網站執行某項操作的一種惡意攻擊方式。   上面的定義比較抽象,我們先

安全工具制作第005篇進程管理器(下)

btn creat lan 控件 lookup 包括 lln create tdi 一、前言 這次的程序是為了完好上一次所編寫的進程管理器。使得當我們選中某一個進程的時候。能夠查看其DLL文件,而且能夠對可疑的模塊進行卸載操作。這樣就能夠有效對抗DLL的

Java工具判斷對象是否為空或null

sar 判斷 ins == span urn lean color style 1 import java.lang.reflect.Array; 2 import java.util.Collection; 3 import java.util.Map; 4

security 02 加密與解密 、 掃描與抓包 、 總結和答疑 、 SELinux安全防護

一段 數字簽名 def 接口 數據流 5.1 調用 message systemctl day01一、selinux安全防護二、數據 加密 解密三、抓包與掃描++++++++++++++++++++++++++++++一、selinux安全防護1.1 selinux 介紹1

unittest框架配合selenium工具CSS_selector定位。

fix path unittest xpath itl ace send css max 做了自動化測試這麽久了,一直沒有梳理到元素定位這一塊的內容,其重要性不言而喻。趁著周末有時間,梳理一下。 1,通過id定位 driver.find_element_by_css_sel

RF框架appium工具xpath定位

路徑 xpath 屬性 cnblogs path 方法總結 書寫格式 logs 元素 XPATH定位方法具體的學會,還是在今年1月份,以前運用的都不熟練。 這個定位神器是一定要掌握的,不然有你抓狂的時候。 第一要掌握它的書寫格式,這個好上手。 第二要掌握它的具體用法。這個就

Istio技術與實踐6Istio如何為服務提供安全防護能力

軟件 基於 名稱 理解 認證 efault fault 訪問控制 text 凡是產生連接關系,就必定帶來安全問題,人類社會如此,服務網格世界,亦是如此。今天,我們就來談談Istio第二主打功能---保護服務。那麽,便引出3個問題:? Istio憑什麽保護服務?? I

9月第3周業務風控關註|央行將進一步探索構建行業共享的金融網絡安全防護平臺

防護 缺陷 cto process 單位 個人 情況 依然 hat 易盾業務風控周報每周呈報值得關註的安全技術和事件,包括但不限於內容安全、移動安全、業務安全和網絡安全,幫助企業提高警惕,規避這些似小實大、影響業務健康發展的安全風險。 1.央行:將進一步探索構建行業共享的金

Juniper SSG 防火墻安全防護拒絕服務×××[新任幫主]

死機 led scree 相對 不存在 解讀 cli for 消息 Juniper SSG 防火墻安全防護之拒絕服務×××一.拒絕服務×××的介紹: 所謂的拒絕服務就是指所有一切以耗盡網絡資源,使其無法再網絡中發揮正常的功能為目的的行為都叫拒絕服務×××,DoS×××是一種

Web安全學習筆記(十)PHP基礎(下) 連線資料庫

前言:         把這個總結完,對於學習的基礎也算完事了,剩下的我就要將實戰中遇到的多多分享了,也希望多結識一些志同道合,聊得來的朋友。        

ifeve.com 南方《JVM 性能調優實戰使用阿裏開源工具 TProfiler 在海量業務代碼中精確定位性能代碼》

oca ive java tla inline .net lin 原因 調優 https://blog.csdn.net/defonds/article/details/52598018 多次拉取 JStack,發現很多線程處於這個狀態: at jrockit/vm/

ifeve.com 南方《JVM 效能調優實戰使用阿里開源工具 TProfiler 在海量業務程式碼中精確定位效能程式碼》

https://blog.csdn.net/defonds/article/details/52598018 多次拉取 JStack,發現很多執行緒處於這個狀態:    at jrockit/vm/Allocator.getNewTla(JJ)V(Native Method) 

安全Clouder課程網路層安全防護

本認證課程旨在幫助學員瞭解雲端計算網路層常用到的網路防護實踐方法,以及掌握防火牆、入侵檢測、Web應用防火牆、抗DDoS等防護手段的功能和基本原理。能夠使用作業系統自帶的防火牆(Windows主機防護牆、Linux IPtables)來進行安全策略的配置。最終能為自己企業建立基本的網路層防護。

安全防護與資訊加密一個新的挑戰

本文轉自:http://www.eetop.cn/blog/html/28/1561828-6339369.html 首先來說:在晶片中增加安全防護(safety)和資訊加密(security)特性需要付出額外的代價,如何去評估和控制這種代價其影響是非常深遠的。並不是說所有的技術應用都能帶來相應