Linux системы спроектированы и сделаны более жесткими к запуску вирусов, и поэтому более защищенные чем Windows системы. Но Linux не исключение и вирусы так же существуют под данную операционную систему. Одним из наиболее распространенных и простых в использовании антивирусов по Ubuntu является утилита ClamAV. ClamAV – это бесплатное ПО разработанное для обнаружения троянских программ, вирусов, malware(вредоносных программ). В особенности используется как email сканер вирусов на серверах(VPS, VDS, dedicated server).
ClamAV может только обнаруживать вирусы и помещать зараженные файлы в карантин, но он не может удалить вирус из файла. ClamAv обнаруживает вирусы на всех платформах, но это в первую очередь полезно для вирусов под Windows и malware файлов(вредоносных программ).
В состав антивируса входит несколько утилит, включая гибкий и масштабируемый многопоточный демон, сканер командной строки и продвинутый инструмент для автоматических обновлений баз данных.
Список пакетов:
- clamav-getfiles – обновления clamav
- clamav – антивирус для Unix
- clamav-base – базовый пакет антивирусных утилит для Unix
- clamav-daemon – демон антивируса
- clamav-data – файлы данных clamav
- clamav-docs – пакет документации для clamav
- clamav-freshclam – обновление базі данных вирусов clamav загруженных с сети
- clamav-milter – антивирусный сканнер для sendmail
- clamav-testfiles – тестирование антивируса на работоспособность
- clamav-dbg – пакет отладки для clamav
Установка ClamAv
sudo apt-get install clamav clamav-daemon -y
Обновляем базу вирусов
sudo freshclam
Примеры использования ClamAv
Вывода только заражённых файлов
sudo clamscan -i
Проверка определенного каталога
sudo clamscan -r -i ~/home
По умолчанию подкаталоги не проверяются, но этого легко добиться за счет параметра -r, разрешающего рекурсивный обход.
Параметры запуска антивируса ClamAv
--version -V Версия антивируса
--archive-verbose -a Показать имена файлов внутри проверенных архивов
--debug Включить отладочные сообщения(libclamav)
--quiet Выводить только сообщения об ошибках
--stdout Вывод на stdout вместо stderr
--no-summary Отключить вывод сумарного результата в конце сканирования
--infected -i Выводить только инфицированные файлы
--suppress-ok-results -o Не инфицированные файлы не выводить
--bell Звуковое сообщение при обнаружении вируса
--tempdir=DIRECTORY Создание временных файлов в каталоге
--leave-temps[=yes/no(*)] Не удалять временные файлы
--database=FILE/DIR -d FILE/DIR Загрузить базу вирусов из файла или директории
--official-db-only[=yes/no(*)] Загружать токо официальные сигнатуры
--log=FILE -l FILE Сохранить отчет сканирование в файл(FILE)
--recursive[=yes/no(*)] -r Проверять подкаталоги рекурсивно
--allmatch[=yes/no(*)] -z Продолжите сканирование в пределах файла после нахождения совпадения
--cross-fs[=yes(*)/no] Сканировать файлы и дирректории на другой файловой системе
--follow-dir-symlinks[=0/1(*)/2] Следовать по символической ссылке на директорию(0 = никогда, 1 = следовать, 2 = всегда)
--follow-file-symlinks[=0/1(*)/2] Следовать по символической ссылке на файл(0 = никогда, 1 = следовать, 2 = всегда)
--file-list=FILE -f FILE Сканировать файлы из файла FILE
--remove[=yes/no(*)] Удалить зараженные файлы. Будьте осторожны!
--move=DIRECTORY Переместить зараженные файлы в папку DIRECTORY
--copy=DIRECTORY Скопировать зараженные файлы в папку DIRECTORY
--exclude=REGEX Не проверять имена файлов, соответствующие REGEX
--exclude-dir=REGEX Не сканировать директории, которые соответствуют REGEX
--include=REGEX Сканировать только имена файлов, соответствующих REGEX
--include-dir=REGEX Сканировать только папки, имена которіх соответствуют REGEX
--bytecode[=yes(*)/no] Загрузить байт-код из базы данных
--bytecode-unsigned[=yes/no(*)] Загрузить неподписанный байт-код
--bytecode-timeout=N Установить время ожидания(в миллисекундах)
--bytecode-statistics[=yes/no(*)] Сбор и печать статистики байт-кода
--detect-pua[=yes/no(*)] Обнаружение возможно нежелательных приложений
--detect-structured[=yes/no(*)] Обнаружение структурированных данных (SSN, кредитные карточки)
--structured-ssn-format=X SSN формат (0=normal,1=stripped,2=both)
--scan-mail[=yes(*)/no] Сканирование почтовых фалов
--phishing-sigs[=yes(*)/no] Обнаружение, на основе фишинг сигнатур
--phishing-scan-urls[=yes(*)/no] Обнаружение, фишинга по URL
--heuristic-scan-precedence[=yes/no(*)] Остановка сканирования, как только эвристический совпадение найдено
--phishing-ssl[=yes/no(*)] Всегда блокировать SSL несоответствия в URL-адресах
--phishing-cloak[=yes/no(*)] Всегда блокировать клоакинг URL-ы
--algorithmic-detection[=yes(*)/no] Алгоритмическое обнаружение
--scan-pe[=yes(*)/no] Сканирование PE файлов
--scan-elf[=yes(*)/no] Сканирование ELF файлов
--scan-ole2[=yes(*)/no] Сканирование OLE2 containers
--scan-pdf[=yes(*)/no] Сканирование PDF файлов
--scan-swf[=yes(*)/no] Сканирование SWF файлов
--scan-html[=yes(*)/no] Сканирование HTML файлов
--scan-archive[=yes(*)/no] Сканирование файлов архива(поддерживаемых libclamav)
--detect-broken[=yes/no(*)] Попробуйте обнаружить битые исполняемые файлы
--block-encrypted[=yes/no(*)] Блокировать зашифрованные архивы
--nocerts Отключить проверку сертификатов в PE файлах
--dumpcerts Dump сертификатов в PE файлах
--max-filesize=#n Файлы больше заданного размера пропускаются и считаются не инфицированными
--max-scansize=#n Максимальный объем сканированных данных для каждого файла
--max-files=#n Максимальное количество файлов для сканирования каждого файла-контейнера
--max-recursion=#n Максимальный рекурсивный уровень обхода файла архива
--max-dir-recursion=#n Максимальный рекурсивный уровень обхода директории
--max-embeddedpe=#n Максимальный размер файла для проверки встроенного PE
--max-htmlnormalize=#n Максимальный размер HTML файл для нормализации
--max-htmlnotags=#n Максимальный размер нормированного HTML файла для сканирования
--max-scriptnormalize=#n Максимальный размер файла сценария для нормализации
--max-ziptypercg=#n Максимальный размер при повтроном анализе
Официальный сайт антивируса: http://www.clamav.net