【工具推荐】linux病毒扫描工具 ClamAV

ClamAV是Linux平台上领先的开源病毒扫描程序，如果你要为Linux桌面或服务器找到一个好的病毒扫描程序，这个应用程序应该是你的首选。它在命令行中运行，可以在Linux服务器和台式机上使用，并且可以很好地消除大量不同类型的恶意软件，包括恶意软件，电子邮件服务器漏洞，病毒，甚至是Windows漏洞利用程序。

值得注意的问题有：

• ClamAV是一个以命令行为中心的应用程序，它占用内存和CPU并不高。

• ClamAV可以检测各种不同的病毒，包括恶意软件，电子邮件服务器漏洞，病毒甚至Windows漏洞。

• 该软件适用于服务器和Linux桌面。

• ClamAV的电子邮件病毒扫描功能支持各种文件类型，包括流行的存档格式，可执行文件，MS Office文档，HTML文件，PDF等。

• ClamAV的病毒定义数据库每4小时更新一次，确保你始终拥有最新的漏洞利用信息。

官网：https://www.clamav.net。

更新病毒库(定期执行，将病毒库更新至最新)

[root@localhost ~]# freshclamClamAV update process started at Tue Mar 10 11:49:11 2020WARNING: Your ClamAV installation is OUTDATED!WARNING: Local version: 0.101.5 Recommended version: 0.102.2DON'T PANIC! Read https://www.clamav.net/documents/upgrading-clamavnonblock_recv: recv timing out (30 secs)WARNING: getfile: Download interrupted: Operation now in progress (IP: 104.16.218.84)WARNING: Can't download main.cvd from database.clamav.netTrying again in 5 secs...WARNING: Your ClamAV installation is OUTDATED!WARNING: Local version: 0.101.5 Recommended version: 0.102.2DON'T PANIC! Read https://www.clamav.net/documents/upgrading-clamavDownloading main.cvd [100%]main.cvd updated (version: 59, sigs: 4564902, f-level: 60, builder: sigmgr)Downloading daily.cvd [100%]daily.cvd updated (version: 25746, sigs: 2212842, f-level: 63, builder: raynman)Downloading bytecode.cvd [100%]bytecode.cvd updated (version: 331, sigs: 94, f-level: 63, builder: anvilleg)Database updated (6777838 signatures) from database.clamav.net (IP: 104.16.218.84)[root@localhost ~]#

● 病毒检测率：尽管ClamAV的病毒数据库不断更新，但其病毒检测率可能不如一些商业防病毒软件。

● 配置复杂：对于不熟悉命令行操作的用户，ClamAV的配置可能较为复杂。

● 缺乏实时防护：ClamAV缺乏一些商业防病毒软件提供的实时防护功能

更新epel仓库源，yum下载clamav

yum -y install epel-release
yum install –y clamav clamav-update

clamav有两个命令：clamdscan、clamscan

clamdscan命令一般用yum安装才能使用，需要启动clamd服务，执行速度快

clamscan命令通用，不依赖服务，命令参数较多，执行速度稍慢

clamdscan

● 用clamdscan扫描，需要开始服务才能使用

service clamd start

● 扫描单个文件：

clamdscan /path/to/file

● 扫描整个目录：

clamdscan /path/to/directory

clamscan

● 用clamscan扫描，不需要开始服务就能使用。速度慢，要带-r，才会递归扫描子目录

clamscan -r /usr

● 扫描单个文件：

clamscan /path/to/file

● 扫描整个目录

clamscan -r /path/to/directory

● 显示扫描进度：

clamscan -r --bell /path/to/directory

● 将扫描结果保存到文件：

clamscan -r /path/to/directory > result.txt

 -r 递归扫描子目录

 -i 只显示发现的病毒文件

--no-summary 不显示统计信息

freshclam更新病毒数据库

● 为了确保病毒数据库始终是最新的，可以将freshclam配置为定期自动更新，使用cron定时任务来自动运行freshclam

0 * * * * /usr/bin/freshclam

集成到邮件服务器

ClamAV可以与邮件服务器集成，用于扫描传入和传出的电子邮件。常见的邮件服务器集成方法包括与Postfix、Exim和Sendmail等邮件传输代理(MTA)结合使用。

使用第三方工具增强ClamAV功能

ClamAV的功能可以通过第三方工具进行增强。例如，使用Maldet(Linux Malware Detect)可以提高恶意软件检测能力;使用ClamSMTP可以在SMTP传输过程中扫描电子邮件。

自定义病毒签名

ClamAV允许用户创建自定义的病毒签名，从而检测特定的恶意软件。用户可以使用标准的ClamAV病毒数据库格式创建自定义签名，并将其添加到ClamAV的病毒数据库中。

ClamAV作为一个开源免费的防病毒工具，在网络安全领域具有重要的地位。它的跨平台支持、高效扫描和自动更新功能，使其成为网络安全从业人员的重要工具。尽管ClamAV在病毒检测率和实时防护方面可能存在一定的局限性，但通过合理配置和与第三方工具结合使用，可以显著提高其防护能力。对于希望在有限预算内提升网络安全防护能力的用户，ClamAV无疑是一个值得推荐的选择。