Безопасность с ClamAV

Безопасность с ClamAV Сертификаты

Описание программы

ClamAV (Clam Antivirus) — популярный бесплатный антивирус для Linux. Программа может обнаруживать вирусы, трояны, вредоносное ПО.

Одно из популярных применений ClamAV это сканирование на лету электронной почты на почтовых шлюзах (проверка файлов вложений).

Антивирусные базы ClamAV постоянно обновляются. Программа поддерживает поиск вирусов в архивах (в сжатых файлах).

Управление антивирусом ClamAV осуществляется через командную строку.

Для ClamAV существует простой графический интерфейс clamtk (переведен на русский язык). Установить ClamAV (clamtk) в Ubuntu можно из репозиториев: sudo apt-get install clamtk

Для сканирования директорий через командную строку используется сканер clamscan. Например, чтобы просканировать директорию ~/temp выполните команду: clamscan ~/temp

Windows аналоги

  • Антивирус Касперского
  • Avira Antivirus
  • ESET NOD32 Antivirus

Безопасность с clamav

Безопасность с ClamAV

Не секрет, что для использования в корпоративной среде нужно обязательно иметь антивирус. Конечно есть и более полезные с точки зрения ИБ меры и средства, такие как регулярное проведение анализа защищенности всех ПК и серверов (Patchmanagement), отсутствие административных полномочий на всех ПК пользователей. И тем не менее, без антивируса сегодня никуда.

В настоящее время бесплатных и/или свободных антивирусов достаточное количество. Однако среди них есть только три, которые могут быть использованы в корпоративной среде. Один из них ClamAV.

Основное назначение данного продукта – сетевые и почтовые шлюзы. Программное обеспечение шлюза, должно осуществлять вызовы антивирусного сканера для сканирования каждого проходящего файла.

Антивирус ClamAV, как известно, не содержит в себе антивирусного монитора, который в автоматическом режиме осуществляет вызовы сканера при обращениях к файлам. Это означает, что каждый подозрительный файл нужно в ручном режиме проверять на вирусы, после чего использовать. Стоит ли говорить об удобности для конечного пользователя?

Bilirafon-AV. Это нечто очень странное и весьма ненадежное, как японимаю. Он просто меняет ключики в реестре, и при попытке запустить какую-либо программу сперва запускается сам.
Tech-Protect. Облазил весь инет, замучил Гугля, но так и не нашел, где его можно скачать. Если у кого-то есть – большая просьба, поделитесь, пожалуйста. Ну и заодно – как он в работе, действительно ли лучше других мониторов для ClamAV?
WinPooch. Несовместим с WinXP SP3

Moon Secure AV. Пока оставил именно его. Интерфейс, конечно, потрясает
Ну хоть EICAR’а ловит стабильно. (Хотя, нет, не очень стабильно – позволяет копировать eicar в буфер обмена и вставлять в другую папку. Но выполнить все-таки не дает.)
Spyware Terminator.Поставил, попробовал, удалил. Как-то хитрО там все с настройками, да и как заставить его обновляться просто по сети – совершенно неясно. Если кто-то его пользует – поделитесь опытом, как его настраивать и обновлять в сетке на несколько машин? И, кстати, EICAR он у меня ловил не всегда – в каких-то случаях позволял eicar.com выполниться.
ClamRT. Проект заморожен в 2005 году, судя по датам дистрибутивов на SourceForge.

Про сертификаты:  Бентонитовый шнур 15х25 мм - 78 руб/п.м. с НДС, купить в Москве, доставляем по России

Таким образом, можно считать, что есть большие проблемы с наличием свободного и стабильно работающего монитора, «идущего в ногу» с самим антивирусом. Привожу скриншот одного из таких мониторов.

 В качестве тестирования используем ОС Windows 7 с установленными последними обновлениями и последней версией антивируса ClamWin 0.96.2.

Скачиваем тестовый вирус EICARи пытаемся его запустить. При попытке запуска, как и следовало ожидать, антивирус его не заметил, а вот встроенный в ОС WindowsЗащитник (Defender) его сразу заметил и предложил удалить.

Для тестирования антивируса пришлось отключить WindowsDefenderи просканировать тестовый вирус. Антивирус ClamAVсразу определил тестовый вирус.

 Результаты сканирования заносятся в лог в текстовом виде.

 Недавно появился новый «обвес» для антивируса ClamAV –  ClamAVforWindows 2.0, производимый компаниями ImmunetCorporationи Sourcefire, Inc. Данный антивирус имеет две версии: Freeи Plus. Plusотличается расширенными возможностями по сканированию файлов при недоступности своего «облачного» ресурса, поддерживает сканирование USBносителей и почтовых баз, поддерживает архивы и установочные (сжатые) файлы, а также обладает расширенными функциями по автоматизации. Обе версии имеют в своем составе монитор, столь необходимый конечному пользователю.

Вывод: в настоящее время не существует свободного и полностью работоспособного монитора для антивируса ClamAV, сам же антивирус ClamAVкроссплатформенный и работоспособный, однако эффективность его невысока. Антивирус ClamAVадекватно логирует события, что позволяет удаленно управлять им и разбирать логи (parsing) при создании каких-либо дополнительных средств ИБ.

мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на

, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как

Возможности

Основные возможности программы.

  • Интерфейс командной строки.
  • Сканирование файлов и почты на лету.
  • Поддержка работы с почтовыми серверами (включая Sendmail).
  • Наличие графических оболочек, реализующих графический интерфейс для управления антивирусом.
  • Периодическое обновление антивирусных баз.
  • Поддержка всех стандартных форматов почтовых файлов.
  • Поддержка большого количества файлов (архивов и контейнеров). Поддерживаются форматы: Zip, RAR, Dmg, Tar, Gzip, Bzip2, OLE2, Cabinet, CHM, BinHex, SIS и другие.
  • Поддержка исполняемых файлов в формате ELF.
  • Поддержка популярных файлов документов: MS Office, HTML, Flash, RTF, PDF и другие.

Обновление антивирусных баз clamav

Для обновления антивирусных баз ClamAV используется модуль обновления freshclam. Запускать freshclam нужно с правами суперпользователя. Чтобы выполнить обновление баз выполните в терминале команду:

sudo freshclam

Справку по утилите можно получить, выполнив: man freshclam

Почти беспристрастное сравнение антивирусов lmd, manul, clamav и вирусдай.

Безопасность с ClamAV

За последний год ряды антивирусов, которые борются с заражением веб-сайтов, пополнились несколькими новыми представителями. Теперь выбор веб-мастера или владельца сайта становится сложнее. Еще год или два назад выбирать было не из чего.

Про сертификаты:  Подарочные наборы с фотоаппаратом моментальной печати - Ростов-на-Дону

Разборы отдельных случаев применения антивирусов уже публиковались на Хабре. Однако, сколько-нибудь общее и полноценное сравнение никто не делал. Чтобы помочь понять разницу между антивирусными продуктами для борьбы с вирусами на серверах и сайтах мы сегодня сравним по полноте и точности антивирусные базы четырех антивирусов. Сделать постараемся это корректно и беспристрастно.

Программа кроссплатформеннаяработает в:

  • BSD
  • Linux
  • MacOS
  • Solaris
  • Windows

Разработка

Программный код: Open Source

ClamAV может работать в Linux, Windows (ClamWin), MacOS X и Unit-подобных системах.

Сканирование системы с помощью clamav

Чтобы проверить на вирусы все файлы на вашем компьютере, воспользуйтесь следующей командой:

$ sudo clamscan / -r

Для автоматического удаления инфицированных файлов добавьте параметр <–remove>, или можете использовать <–move=/> для перемещения их в карантин.

$ sudo clamscan /etc --remove
$ sudo clamscan /etc --move=/etc 

Сканирование файлов с помощью антивируса clamav

После завершения настроек антивирусной службы, вы можете проверить любую директорию сервера на вирусы (режим сканера). Для ручного запуска проверки указанного каталога на вирусы используйте команду:

# clamscan –infected –remove –recursive /var/www/

С такими параметрами антивирус сразу удалить инфицированные файлы. Если вы хотите переместить подозрительные файлы в отдельный каталог, запустите проверку с параметром —move:

# clamscan –infected –recursive –move=/tmp/clamscan /var/www

Данная команда проверит указанную директорию со всеми вложениями на вирусы и подозрительные файлы переместит в директорию /tmp/clamscan.

Как видим, инфицированный файл был перенесен в указанную директорию:

Так же, можно добавить параметр —log=/var/log/clamscan.log, чтобы информация о сканировании писалась в указанный лог

Если вы хотите исключить из проверки какую-то из директорий, используйте параметр —exclude-dir:

Сравнение точности детектирования

Давайте разберемся с точностью детектирования угроз каждым антивирусом. Для каждого из пациентов возможны ложные срабатывания и наша задача — определить их долю во множестве обнаруженных файлов каждым из антивирусов в отдельности. Ведь никому не нужен антивирус, который показывает пальцем на хорошие файлы вместо зараженных.

Для анализа точности определения угроз мы будем использовать набор сайтов (W). Разницы между заражениями и подозрениями мы не будем делать из-за того, что подобных функций нет у некоторых антивирусов. Нам придется вручную проверить обнаруженный каждым антивирусом файл на предмет наличия вредоносного кода в нем (мы же боремся за объективность).

Пусть Безопасность с ClamAVБезопасность с ClamAVБезопасность с ClamAVБезопасность с ClamAVБезопасность с ClamAVБезопасность с ClamAVБезопасность с ClamAVБезопасность с ClamAVБезопасность с ClamAVБезопасность с ClamAVБезопасность с ClamAV

В тестах мы не использовали md5 сигнатуры из антивирусных баз ClamAV и LMD. При заражении веб-сайтов вредоносный код почти всегда либо встраивается в существующие файлы, либо видоизменяется от одного заражения к другому. Такой полиморфизм легко реализовать, когда дело касается заражения веб-сайтов.

В таком случае эффективность определения угроз по контрольным суммам файлов крайне низка, но при этом она подразумевает вычисление этих сумм для тысяч файлов на сайте, что существенно снижает быстродействие, почти не сказываясь на качестве обнаружения.

Про сертификаты:  Как сделать бизнес на продаже подарочных сертификатов

Удаление clamav

Если вы по каким-либо причинам хотите удалить антивирус ClamAV, то воспользуйтесь командой:для РЕД ОС версии 7.1 или 7.2:

$ sudo yum remove clamav clamav-daemon

для РЕД ОС версии 7.3 и старше:

$ sudo dnf remove clamav clamav-daemon

Однако будьте очень внимательны, данная команда может удалить зависимые пакеты, поэтому очень внимательно читайте, какие пакеты повлияют на удаление антивируса.

Установка

Установка в ubuntu (linuxmint)

sudo apt install clamtk

Установка в archlinux (manjaro)

sudo pacman -S clamav

Установка в fedora

sudo dnf install clamav

Установка clamav

Для начала откроем терминал и наберём следующую команду для обновления системы:

для РЕД ОС версии 7.1 или 7.2:

$ sudo yum update

для РЕД ОС версии 7.3 и старше:

$ sudo dnf update

После успешного обновления пакетов, начинаем процесс установки:для РЕД ОС версии 7.1 или 7.2:

$ sudo yum -y install clamav-server clamav-data clamav-update clamav-filesystem clamav clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemd

для РЕД ОС версии 7.3 и старше:

$ sudo dnf -y install clamav-server clamav-data clamav-update clamav-filesystem clamav clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemd

Для того, чтобы обновить антивирусную базу, введите следующую команду в терминале:

$ sudo freshclam

Для автоматического обновления антивирусных баз включите автозапуск соответствующей службы командой:

$ sudo systemctl enable clamav-freshclam --now

Чтобы настроить конфигурацию антивируса ClamAV, нужно удалить конфигурацию по умолчанию в файле /etc/clam.d/scan.conf.

$ sudo  sed -i -e "s/^Example/#Example/" /etc/clamd.d/scan.conf

После чего перейдем к самой настройке. Откройте файл конфигурации:

$ sudo nano /etc/clamd.d/scan.conf

И раскомментируйте следующую строку:

LocalSocket /run/clamd.scan/clamd.sock

Создадим сервис для самого ClamAV. Конфигурационный файл уже существует, но нужно изменить его название:

$ sudo mv /usr/lib/systemd/system/clamd@.service /usr/lib/systemd/system/clamd.service

Откройте файл, приведите строку конфигурационного файла к данному виду:

$ sudo nano /usr/lib/systemd/system/clamd.service

Приведите строку конфигурационного файла к данному виду:

ExecStart = /usr/sbin/clamd -c /etc/clamd.d/scan.conf

Можно запускать сервис антивируса и добавлять его в автозагрузку:

$ sudo systemctl start clamd.service
$ sudo systemctl enable clamd.service

Установка антвируса clamav на centos

ClamAV не доступен в базовых репозитория Linux и поэтому, для его установки на сервере потребуется репозиторий EPEL:

# yum install epel-release -y

После установки репозитория, можно перейти к установке всех нужных пакетов для ClamAV. Для установки используется менеджер пакетов yum (или dnf в CentOS 8):

# yum -y install clamav-server clamav-data clamav-update clamav-filesystem clamav clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemd

Установка в archlinux (manjaro)

sudo pacman -S clamav

Установка в fedora

sudo dnf install clamav

Установка в ubuntu (linuxmint)

sudo apt install clamtk

Вместо вывода

ClamAV не умеет лечить. LMD, ClamAV и Манул — бесплатные серверные утилиты, а

— платный SaaS с поддержкой и фаерволом. Обсуждать функциональность и удобство использования каждого антивируса мы в данной статье не будем, поскольку отличий у них множество, а ограничимся только сравнением антивирусных баз. Сухая статистика говорит лучше обилия пустых слов. Да и кроме того, каждый волен выбирать себе инструмент по душе и по потребностям.

Оцените статью
Мой сертификат
Добавить комментарий