最近发现有台服务器中毒了,手动去查杀总是会有遗漏,最后安装了Linux下的杀毒软件clamav,使用起来还是不错的。
环境:
Linux 6.8
版本:
clamav-0.99.2.tar.gz
依赖关系:
yum install pcre* zlib zlib-devel libssl-devel libssl
openssl version 0.9.8 or higher
一.安装clamav
有两种方法安装:
1.yum安装
用epel源进行安装,但是需要连网才行(不过能中毒的也一般都是有外网的)
安装后会自动生成服务文件,启动服务后,可使用clamdsacn命令,扫描速度快。
启动服务后,会实时监控扫描连接,虽然安全性高了,不过可能会对服务器性能有影响。
下载安装epel.repo文件
linux6和7通用,6会提示找不到一些组件
|
1
|
#yum install clamav clamav-server clamav-data clamav-update clamav-filesystem clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemd |
这种方法安装后,病毒库默认地址是/var/lib/clamav
2.源码安装
需要手动编译安装,安装虽然不需要连网,但更新病毒库还是需要联网
安装后不用启动服务,不能使用clamdsacn命令,可使用clamscan命令,扫描速度相对较慢
官网下载clamav
|
1
2
3
4
5
6
|
#tar zxvf clamav-0.99.2.tar.gz#cd clamav-0.99.2#要带pcre,要不然执行clamscan会报错#./configure --prefix=/usr/local/clamav --with-pcre#make#make install |
配置文件(yum安装的话大部分步骤可以省略,会自动创建)
|
1
2
3
4
5
|
#cd /usr/local/clamav/etc/#cp clamd.conf.sample clamd.conf#cp freshclam.conf.sample freshclam.conf注释掉clamd.conf和freshclam.conf中的# Example 注释掉这一行. 第8 行 |
#创建用户,创建存放病毒库目录
|
1
2
3
|
# useradd clamav -s /sbin/nologin# mkdir -p /usr/local/clamav/share/clamav# chown clamav:clamav /usr/local/clamav/share/clamav |
二、更新病毒库
执行更新命令,下载病毒库
# /opt/clamav/bin/freshclam
一般都下载不了
可以wget到本地来
|
1
2
3
4
5
6
|
#cd /usr/local/clamav/share/clamav#wget http://database.clamav.net/main.cvd#wget http://database.clamav.net/daily.cvd#wget http://database.clamav.net/bytecode.cvd# chown clamav:clamav * |
三、命令扫描
clamav有两个命令:clamdscan、clamscan
clamdscan命令一般用yum安装才能使用,需要启动clamd服务,执行速度快
clamscan命令通用,不依赖服务,命令参数较多,执行速度稍慢
clamdscan:
|
1
2
3
|
#service clamd start用clamdscan扫描,需要开始服务才能使用。速度快,不用带-r,默认会递归扫描子目录#clamdscan /usr |
clamscan:
用clamscan扫描,不需要开始服务就能使用。速度慢,要带-r,才会递归扫描子目录
|
1
2
|
#clamscan -r /usr这个命令不仅会显示找到的病毒,正常的扫描文件也会显示出来。 |
可以用下面这个命令,只显示找到的病毒信息
|
1
2
3
4
|
# clamscan --no-summary -ri /tmp-r 递归扫描子目录-i 只显示发现的病毒文件--no-summary 不显示统计信息 |
可以写个脚本,用这句命令定期扫描,有返回值即触发告警。
