Antivírus ClamAV com proteção em tempo real

Instalação e configuração do antivírus ClamAV com arquivos de configurações, On-Access Scanning (proteção em tempo real), várias assinaturas de bancos de dados e interface gráfica (ClamTk).

[ Hits: 14.010 ]

Por: Buckminster em 12/08/2023


Atualizando o freshclam



O parâmetro DatabaseDirectory /var/lib/clamav deve ser o mesmo nos arquivos freshclam.conf e clamd.conf. Caso alterar num deve obrigatoriamente alterar no outro. Aconselho a deixar no padrão.

Ao executar o freshclam o programa tentará buscar uma atualização no endereço especificado na linha DatabaseMirror, caso não encontre, ele passará para o endereço subsequente, até encontrar e baixar as atualizações.

Depois ele executará todas as DatabaseCustomURL.

Atualizando pelo terminal:

# systemctl stop clamav-freshclam
# freshclam

Levará em torno de um a dois minutos atualizando os bancos de dados.

Caso der um erro semelhante a esse:

ERROR: /var/log/clamav/freshclam.log is locked by another process
ERROR: Problem with internal logger (UpdateLogFile = /var/log/clamav/freshclam.log).
ERROR: initialize: libfreshclam init failed.
ERROR: Initialization error!


Faça o seguinte:

# lsof /var/log/clamav/freshclam.log

e veja na saída o número do PID ao final:

COMMAND    PID   USER   FD   TYPE DEVICE SIZE/OFF    NODE NAME
freshclam XXXX clamav    3wW  REG    8,3     3384 7471195 /var/log/clamav/freshclam.log


Encerre o processo:

# kill XXXX

(no lugar de XXXX terá um número de 4 dígitos)

Atualizando:

# freshclam

Abaixo é somente um exemplo, a saída bem maior:

Mon Jun 20 20:15:41 2023 -> ClamAV update process started at Mon Jun 19 20:15:41 2023
Mon Jun 20 20:15:41 2023 -> daily.cvd database is up-to-date (version: 26944, sigs: 2037362, f-level: 90, builder: raynman)
Mon Jun 20 20:15:41 2023 -> main.cvd database is up-to-date (version: 62, sigs: 6647427, f-level: 90, builder: sigmgr)
Mon Jun 20 20:15:41 2023 -> bytecode.cvd database is up-to-date (version: 334, sigs: 91, f-level: 90, builder: anvilleg)
Mon Jun 20 20:15:42 2023 -> malware.expert.ndb is up-to-date (version: custom database)
Mon Jun 20 20:15:43 2023 -> malware.expert.hdb is up-to-date (version: custom database)
Time: 1.1s, ETA: 0.0s [========================>] 246B/246B
Mon Jun 20 20:15:44 2023 -> Testing database: '/var/lib/clamav/tmp.6691514a05/clamav-d170be684bda2d5cf594bdd941ceae65.tmp-malware.expert.ldb' ...
Mon Jun 20 20:15:44 2023 -> Database test passed.
Mon Jun 20 20:15:44 2023 -> malware.expert.ldb updated (version: custom database, sigs: 1)


Deverá terminar com a última linha assim:

Mon Jun 20 20:16:19 2023 -> Clamd successfully notified about the update.

Aconselho a colocar no cron para fazer freshclam uma vez por semana (ou mais, a seu gosto) ou use o Programador na interface do ClamTK. Lembrando que o ClamTK é bem básico e abrange somente os aspectos do Clamav (somente o que está nos arquivos de configurações), por exemplo, as atualizações do clamav-unofficial-sigs você deverá programar no cron ou realizar manualmente.

# systemctl start clamav-freshclam

IMPORTANTE:

Sempre antes de executar freshclam deve-se parar o serviço, a sequência é sempre essa:

# systemctl stop clamav-freshclam
# freshclam
# systemctl start clamav-freshclam

Testando

Vamos instalar o diretório virulento de testes fornecido pelo clamav:

# apt-get install clamav-testfiles

Escaneando:

# clamscan /usr/share/clamav-testfiles/

Deverá terminar com a lista de arquivos encontrados e ao final terá:

----------- SCAN SUMMARY -----------
Known viruses: 8824027
Engine version: 0.103.8
Scanned directories: 1
Scanned files: 46
Infected files: 46
Data scanned: 14.02 MB
Data read: 6.21 MB (ratio 2.26:1)
Time: 85.571 sec (1 m 25 s)
Start Date: 2023:06:20 13:11:59
End Date: 2023:06:20 13:13:25


Daí pode remover:

# apt-get remove clamav-testfiles

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Instalação
   3. Arquivo freshclam.conf
   4. Atualizando o freshclam
   5. ON-ACCESS SCANNING (Proteção em Tempo Real)
   6. Instalando o Clamtk
Outros artigos deste autor

ClamAV, o kit de ferramentas antivírus

Entendendo o que é URI, URL, URN e conhecendo as diferenças entre POST e GET

Compilando kernel no Debian Squeeze

Instalando e Configurando o pgAgent no Linux (pgAdmin e PostgreSQL)

Manual traduzido do Squid

Leitura recomendada

Navegador Blindado FeniX Linux

Monitorando as conversas do MSN

Double Dragon: chkrootkit e portsentry, agora vai rolar pancadaria nos intrusos!

Knockd (bate, bate, bate na porta do céu)

Configurando o IDS - Snort / Honeypot (parte 1)

  
Comentários
[1] Comentário enviado por fabio em 12/08/2023 - 20:37h

Muito bom! Parabéns pelo trabalho.

[2] Comentário enviado por hauck em 02/09/2023 - 10:03h

Posso usar a proteção em tempo real em um servidor com sites hospedados e outros serviços?
Poderia ter algum problema devido a um arquivo ser bloqueado pelo clamav?

[3] Comentário enviado por Buckminster em 03/09/2023 - 17:22h


[2] Comentário enviado por hauck em 02/09/2023 - 10:03h

Posso usar a proteção em tempo real em um servidor com sites hospedados e outros serviços?
Poderia ter algum problema devido a um arquivo ser bloqueado pelo clamav?


Problema nenhum.
O ClamAV (como todo antivírus) tem uma lista onde você pode colocar certos sites e arquivos para escapar da proteção.

[4] Comentário enviado por Sofiabriggs em 11/09/2023 - 08:12h


Thanks for the information. https://www.telltims.net

[5] Comentário enviado por Minions em 28/09/2023 - 02:07h

Isso de "proteção em tempo real" seria como no Windows?

Esse método roda o clamav na memória ram e nos processos do sistema?

[6] Comentário enviado por Buckminster em 19/10/2023 - 08:16h


[5] Comentário enviado por Minions em 28/09/2023 - 02:07h

Isso de "proteção em tempo real" seria como no Windows?

Esse método roda o clamav na memória ram e nos processos do sistema?


https://docs.clamav.net/manual/OnAccess.html

https://blog.clamav.net/2016/03/configuring-on-access-scanning-in-clamav.html

[7] Comentário enviado por cumestive em 28/10/2023 - 11:27h


muito bom esse tutorial, obrigado

[8] Comentário enviado por maurixnovatrento em 29/10/2023 - 13:33h


Ótimo artigo, muito bom.

___________________________________________________________
Conhecimento não se Leva para o Túmulo.
https://github.com/mxnt10

[9] Comentário enviado por fabiobarby em 20/12/2023 - 11:30h


Muito bom, me ajudou aqui, obrigado!

[10] Comentário enviado por Minions em 22/04/2024 - 12:26h

Poderia ter no vol uma base de assinatura feita pelos usuários para o Clamav.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts