ClamAV est un outil antivirus open source disponible pour les distributions Linux . Il intègre des serveurs de messagerie pour analyser les pièces jointes reçues. En plus d'analyser les pièces jointes aux e-mails, il protège les réseaux d'entreprise. D'autres fonctions incluent également la numérisation Web.
Dans cet article, nous aborderons comment installer ClamAV Antivirus dans Debian 11 Bullseye et Ubuntu 20.04.
Caractéristiques de ClamAV :
- prise en charge intégrée de divers formats d'archives, y compris Zip, Tar, Gzip, Bzip2, OLE2, Cabinet, CHM, BinHex, SIS et autres.
- prise en charge intégrée de presque tous les formats de fichiers de courrier
- prise en charge intégrée des exécutables ELF et des fichiers exécutables portables compressés avec UPX, FSG, Petite, NsPack, wwpack32, MEW, Upack et obfusqués avec SUE, Y0da Cryptor et autres ;
- prise en charge intégrée des formats de documents courants, notamment les fichiers Microsoft Office et Mac Office, HTML, RTF et PDF
- prend en charge plusieurs langages de signature tels que la correspondance de signature basée sur le hachage, les caractères génériques, la logique booléenne et toutes les règles personnalisées écrites en langage Bytecode.
ClamAV inclut un démon d'analyse multithread, des utilitaires de ligne de commande pour l'analyse de fichiers à la demande et des mises à jour automatiques des signatures. L'une de ses principales utilisations est sur les serveurs de messagerie en tant qu'analyseur de virus de messagerie côté serveur.
Installer et utiliser ClamAV sur Debian 11 Bullseye / Ubuntu 20.04
Tapez la commande suivante pour mettre à jour et installer référentiels et ClamAV Antivirus respectivement.
$ sudo apt update $ sudo apt install clamav clamav-daemon
Une fois l'installation terminée, vous devrez arrêter le démon afin de pouvoir mettre à jour manuellement la base de données ClamAV. Arrêtez le démon avec la commande :
$ sudo systemctl stop clamav-freshclam
Avec le démon arrêté, mettez à jour ClamAV avec la commande :
$ sudo freshclam
Lorsque freshclam est terminé, téléchargez le dernier fichier de signature de base de données avec la commande :
$ sudo wget https://database.clamav.net/daily.cvd
Copiez ce fichier dans le répertoire nécessaire avec la commande :
$ sudo cp daily.cvd /var/lib/clamav/
Démarrez le démon freshclam avec la commande :
$ sudo systemctl start clamav-freshclam
Comment analyser manuellement un répertoire
Pour analyser les répertoires, nous devons taper la commande suivante dans le terminal :
$ clamscan -r -i --bell /home/
où :
-r , pour parcourir les sous-répertoires de manière récursive,
-i , pour imprimer les fichiers infectés,
–cloche , un son de cloche s'il détecte un virus,
/accueil/ , répertoire que nous avons l'intention d'analyser - vous pouvez utiliser les répertoires de votre choixCette commande n'analyse que les répertoires et nous fournit la liste des fichiers infectés. Mais que se passe-t-il si nous prévoyons de déplacer des fichiers infectés vers un autre répertoire. Cela pourrait être un meilleur choix car la suppression d'un fichier infecté peut casser notre système. Par conséquent, nous procédons avec prudence et déplaçons le fichier infecté vers un autre répertoire. Nous devons taper la commande suivante dans le terminal :
$ clamscan -i -r --move="/home//Downloads/" /home
La commande ci-dessus scannera le répertoire /home/ et si des fichiers infectés sont alors détectés, il déplacera ces fichiers dans le répertoire /home/<home-directory>/Downloads/ .
Tapez clamscan -h pour plus d'options.
Comment configurer ClamAV pour scanner automatiquement
Nous allons maintenant créer un script bash qui analysera le /var/www/html/ répertoire, puis créez une tâche cron pour l'exécuter la nuit. La manière dont vous procéderez dépendra de votre capacité à envoyer des e-mails à partir de la machine. Si tel est le cas, vous pourrez peut-être utiliser le script tel quel, ou vous devrez peut-être le modifier, en fonction du serveur SMTP que vous avez configuré sur le serveur. L'exemple ci-dessous utilisera la commande mail.
Commencez par créer le script avec la commande :
$ nano /usr/local/bin/clamscan_daily.sh
Dans ce fichier, collez ce qui suit :
#!/bin/bash
LOGFILE="/var/log/clamav/clamav-$(date +'%Y-%m-%d').log";
EMAIL_MSG="Please see the log file attached";
EMAIL_FROM="[email protected]";
EMAIL_TO="[email protected]";
DIRTOSCAN="/var/www/html";
for S in ${DIRTOSCAN}; do
DIRSIZE=$(du -sh "$S" 2>/dev/null | cut -f1);
echo "Starting scan of "$S" directory.
Directory size: "$DIRSIZE".";
clamscan -ri --remove --detect-pua=yes "$S" >> "$LOGFILE";
#find /var/log/clamav/ -type f -mtime +30 -exec rm {} \;
MALWARE=$(tail "$LOGFILE"|grep Infected|cut -d" " -f3);
if [ "$MALWARE" -ne "0" ];then
echo "$EMAIL_MSG"|mail -a "$LOGFILE" -s "Malware Found" -r "$EMAIL_FROM" "$EMAIL_TO";
fi
done
exit 0
Où [email protected] est l'adresse DE et [email protected] est l'adresse e-mail à laquelle les alertes seront envoyées.
Donnez à ce fichier des autorisations exécutables avec la commande :
$ sudo chmod u+x /usr/local/bin/clamscan_daily.sh
Créez la tâche cron avec la commande :
$ sudo crontab -e
En bas du fichier, ajoutez la ligne suivante pour exécuter l'analyse tous les jours à 1h du matin :
1 1 * * * /usrlocal/bin/clamscan_daily.sh > /dev/null 2>&1
Enregistrez et fermez le fichier.
À ce stade, ClamAV va analyser automatiquement le /var/www/html répertoire pour les fichiers malveillants et vous alerter s'il trouve quelque chose. Si votre serveur n'est pas configuré, de sorte qu'il puisse réellement envoyer des e-mails, vous devrez alors afficher manuellement le fichier journal généré avec la commande :
less /var/log/clamav/clamav-DATE
Où DATE est l'horodatage du fichier que vous devez afficher. Si vous ne configurez pas cela pour les alertes manuelles par e-mail, assurez-vous de vérifier régulièrement le fichier journal ClamAV .
Conclusion
Et c'est tout ce qu'il faut pour configurer ClamAV sur votre serveur Debian 11, pour détecter et se protéger contre les fichiers malveillants. Si vous avez des questions, n'hésitez pas à laisser un commentaire