ClamAV (Español)
Clam AntiVirus es un conjunto de herramientas de antivirus de código abierto (GPL) para UNIX. Proporciona una serie de utilidades que incluyen un demonio multiproceso flexible y escalable, un escáner de línea de órdenes y una herramienta avanzada para actualizaciones automáticas de las bases de datos. Debido a que el uso principal de ClamAV es en servidores de archivos/correos electrónicos para escritorios de Windows, detecta principalmente virus y malware de Windows con sus firmas incorporadas.
Actualizar la base de datos
Actualice las definiciones de virus con:
# freshclam
Si está detrás de un proxy, edite /etc/clamav/freshclam.conf y actualice HTTPProxyServer, HTTPProxyPort, HTTPProxyUsername y HTTPProxyPassword.
Los archivos de la base de datos se guardan en:
/var/lib/clamav/daily.cvd /var/lib/clamav/main.cvd /var/lib/clamav/bytecode.cvd
Inicie/active clamav-freshclam.service para que las definiciones de virus se mantengan recientes.
Iniciar el demonio
freshclam antes de iniciar el servicio por primera vez o se encontrará con errores que evitarán que ClamAV se inicie correctamente.El servicio se llama clamav-daemon.service. Inicie y active el servicio para que se inicie en el arranque del sistema.
Comprobar el software
Para asegurarse de que ClamAV y las definiciones están instaladas correctamente, escanee el archivo de prueba EICAR[enlace roto 2022-09-17] (una firma inofensiva sin código de virus) con clamscan.
$ curl https://www.eicar.org/download/eicar.com.txt | clamscan -
La salida debe incluir:
stdin: Eicar-Test-Signature FOUND
De lo contrario, lea la sección sobre #Solución de problemas o solicite ayuda en Arch Forums.
Añadir más repositorios de firmas/base de datos
ClamAV puede usar bases de datos/firmas de otros repositorios o proveedores de seguridad.
Para añadir los más importantes en un solo paso, instale clamav-unofficial-sigsAUR.
Esto agregará firmas/bases de datos de, por ejemplo, MalwarePatrol, SecuriteInfo, Yara, Linux Malware Detect, etc. Para ver la lista completa de bases de datos, vea la descripción del repositorio de GitHub.
Configurar clamav-unofficial-sigs
Active clamav-unofficial-sigs.timer.
Esto actualizará regularmente las firmas no oficiales basadas en los archivos de configuración presentes en el directorio /etc/clamav-unofficial-sigs.
Para actualizar las firmas manualmente, ejecute lo siguiente:
# clamav-unofficial-sigs.sh
Para cambiar cualquier configuración predeterminada, remítase y modifique /etc/clamav-unofficial-sigs/user.conf.
Base de datos MalwarePatrol
Si desea utilizar la base de datos de MalwarePatrol, regístrese para obtener una cuenta en https://www.malwarepatrol.net/free-guard-upgrade-option.
En /etc/clamav-unofficial-sigs/user.conf, cambie lo siguiente para activar esta funcionalidad:
malwarepatrol_receipt_code="SU-NÚMERO-DE-RECIBO" # Introduzca su número de recibo aquí. malwarepatrol_product_code="8" # Utilice «8» si tiene una cuenta gratuita o «15» si es un cliente Premium. malwarepatrol_list="clamav_basic" # clamav_basic o clamav_ext malwarepatrol_free="yes" # Establezca «yes» si tiene una cuenta gratuita o «no» si es un cliente Premium.
Fuente: https://www.malwarepatrol.net/clamav-configuration-guide/
Analizar en busca de virus
se puede usar para escanear ciertos archivos, directorios como /home o un sistema completo:
$ clamscan miarchivo $ clamscan --recursive --infected /home $ clamscan --recursive --infected --exclude-dir='^/sys|^/dev' /
Si desea que elimine el archivo infectado, agregue la opción a la orden, o puede usar para ponerlos en cuarentena.
También es posible que desee utilizar para escanear archivos más grandes. En este caso, añada las opciones --max-filesize=4000M y --max-scansize=4000M a la orden. «4000M» es el mayor valor posible y puede reducirse según sea necesario.
El uso de la opción imprimirá los registros de en un archivo de texto para poder localizar las infecciones notificadas.
Utilizar milter
Milter escaneará su servidor sendmail en busca de correos electrónicos que contengan virus. Copie en y ajústelo a sus necesidades. Por ejemplo:
Cree :
OnAccessScan
El análisis en acceso (o análisis en tiempo real) requiere que el kernel se haya compilado con el módulo del kernel fanotify (kernel >= 3.8). Compruebe si fanotify está activado antes de habilitar escáner «On-Access».
$ zgrep FANOTIFY /proc/config.gz
El monitoreo en tiempo real analizará el archivo mientras lo lee, escribe o ejecuta.
Primero, edite el archivo de configuración añadiendo lo siguiente al final del archivo (también puede cambiar cada opción de forma individual):
A continuación, cree el archivo /etc/clamav/detected.sh y añada lo siguiente. Esto le permite cambiar/especificar el mensaje de depuración de errores cuando el servicio de análisis en tiempo real de clamd haya detectado un virus:
Si está utilizando AppArmor, también es necesario permitir que clamd se ejecute como root:
# aa-complain clamd
Reinicie el servicio clamav-daemon.service.
Fuente: https://blog.clamav.net/2016/03/configuring-on-access-scanning-in-clamav.html
Solución de problemas
Error: Clamd was NOT notified
Si recibe los siguientes mensajes después de ejecutar freshclam:
Añada un archivo sock para ClamAV:
# touch /var/lib/clamav/clamd.sock # chown clamav:clamav /var/lib/clamav/clamd.sock
Luego, edite y descomente esta línea:
LocalSocket /var/lib/clamav/clamd.sock
Guarde el archivo y reinicie clamav-daemon.service.
Error: No supported database files found
Si obtiene el siguiente error al iniciar el demonio:
Esto sucede debido a la falta de coincidencia entre la configuración de DatabaseDirectory de /etc/clamav/freshclam.conf y la configuración de DatabaseDirectory de . El archivo /etc/clamav/freshclam.conf apunta a , pero (directorio por defecto) apunta a , o a otro directorio. Edite y reemplace con el mismo DatabaseDirectory que el de /etc/clamav/freshclam.conf. Después de eso, clamav se iniciará con éxito.
Error: Can't create temporary directory
Si obtiene el siguiente error, junto con una 'HINT' que contiene un UID y un número GID:
# can't create temporary directory
Corrija los permisos:
# chown UID:GID /var/lib/clamav & chmod 755 /var/lib/clamav
Consejos y trucos
Utilizar clamscan
Al escanear un archivo o directorio desde la línea de órdenes usando solo se usa un hilo de la CPU. Esto puede estar bien en los casos en que el tiempo no es crítico o no desea que el equipo se ralentice. Si es necesario escanear carpetas grandes o unidades USB rápidamente, podría utilizar todas las CPU disponibles para acelerar el proceso.
está diseñado para usarse en un solo subproceso, pero esto no es obvice para que con el argumento se puede utilizar para ejecutar escaneos en paralelo:
$ find /home/archie -type f -print | xargs -P $(nproc) clamscan
En este ejemplo, el parámetro para ejecuta en tantos procesos como CPU existan (según informa nproc) al mismo tiempo. Las opciones y permitirán un control aún más preciso de los procesamientos por lotes de la carga de trabajo entre los distintos hilos.
Utilice la siguiente versión si los nombres de archivos pueden contener espacios u otros caracteres especiales (como suelen hacer las unidades USB y otras antiguas de Windows):
$ find /home/archie -type f -print0 | xargs -0 -P $(nproc) clamscan
Utilizar clamdscan
Si ya tiene el demonio ejecutandose, puede usarse en su lugar (vea #Iniciar el demonio):
$ clamdscan --multiscan --fdpass /home/archie
Aquí el parámetro permite que escanee el contenido del directorio en paralelo utilizando los hilos disponibles. El parámetro --fdpass es necesario para pasar los permisos del descriptor del archivo a ya que el demonio se ejecuta bajo el usuario y grupo .
El número de subprocesos disponibles para se determina en a través del parámetro de . Aunque puede ver que el número de especificado es más de uno (el valor predeterminado actual es 10), cuando inicia la exploración utilizando desde la línea de órdenes y no especifica , solo se usará un hilo de CPU efectivo para escanear.