Hoy vamos a aprender como instalar el antivirus ClamAV y escanear nuestro server.
Primero tenemos que ver que versión tenemos del S.O para añadir el repositorio correcto. Podemos verlo en este fichero:
Una vez que tenemos localizada la versión, debemos añadir el repositorio. Si nuestro caso fuera la versión 5 usaríamos la primera línea y si fuera la versión 4, usaríamos el segundo enlace.
Instalaremos el antivirus ClamAV
Una vez instalado, actualizaremos la base de datos de virus:
En mi caso, sólo quiero pasar el antivirus en la carpeta home (y subcarpetas). Para ello, nos situaremos en dicha carpeta y lanzaremos el clamscan
Podemos pasarle muchos más parámetros al clam. Estas son las opciones que muestra la ayuda.
CONFIGURAR CLAMAV
editar el archivo /etc/clamd.conf
Primero tenemos que ver que versión tenemos del S.O para añadir el repositorio correcto. Podemos verlo en este fichero:
Code:
root@server [~]# cat /etc/redhat-release CentOS release 5.4 (Final)
Code:
rpm -Uhv http://apt.sw.be/redhat/el5/en/i386/rpmforge/RPMS/rpmforge-release-0.3.6-1.el5.rf.i386.rpm rpm -Uhv http://apt.sw.be/redhat/el4/en/i386/rpmforge/RPMS/rpmforge-release-0.3.6-1.el4.rf.i386.rpm
Code:
yum install clamd
Code:
cd /etc/cron.daily/ ./freshclam
Code:
cd /home/ clamscan --max-filesize=1090401 --recursive=yes --phishing-sigs=yes --phishing-scan-urls=yes --scan-html=yes --scan-pe=yes --scan-mail=no --infected --exclude-dir=mail --exclude-dir=access-logs --exclude-dir=logs --exclude-dir=etc
Code:
root@server [~]# clamscan --help
--help -h Mostrar por pantalla esta ayuda
--version -V Mostrar por pantalla la versión
--verbose -v Modo verbose
--debug Habilitar el modo debug de libclamav
--quiet Sólo mostrar por pantalla los mensajes de error
--stdout Escribe en la salida (stdout) en lugar de la salida de errores (stderr)
--no-summary Deshabilitar resumen al final del escaneo
--infected -i Sólo mostrar por pantalla los fichero infectados
--bell Sonido de campana en la detección de virus
--tempdir=DIRECTORY Crear fichero temporales en DIRECTORY
--leave-temps[=yes/no(*)] No eliminar los ficheros temporales
--database=FILE/DIR -d FILE/DIR Cargar la base de datos de virus desde un fichero (ficheros db)
--log=FILE -l FILE Guarda el reporte escaneado en un fichero 'FILE'
--recursive[=yes/no(*)] -r Escanea recursivamente subdirectorios
--file-list=FILE -f FILE Escanea fichero desde FILE
--remove[=yes/no(*)] Elimina fichero infectados
--move=DIRECTORY Mueve los fichero infectados al directorio 'DIRECTORY'
--copy=DIRECTORY Copia los fichero infectados al directorio 'DIRECTORY'
--exclude=PATT No escanea ficheros que contengan 'PATT' en el nombre
--exclude-dir=PATT No escanea directorios que contenga 'PATT' en el nombre
--include=PATT Sólo escanea ficheros que contengan 'PATT'
--include-dir=PATT Sólo escanea directorios que contengan 'PATT'
--detect-pua[=yes/no(*)] Detecta posiblemente aplicaciones no deseadas
--exclude-pua=CAT Saltar firmas PUA de la categoría CAT
--include-pua=CAT Carga firmas PUA de la categoría CAT
--detect-structured[=yes/no(*)] Detecta datos estructurados (SSN, Tarjeta de Crédito)
--structured-ssn-format=X Formato SSN (0=normal,1=stripped,2=ambos)
--structured-ssn-count=N Mínimo contador SSN para generar una detección
--structured-cc-count=N Mínimo contador CC para generar una detección
--scan-mail[=yes(*)/no] Escanear correos
--phishing-sigs[=yes(*)/no] Detección de phishing basados en firma
--phishing-scan-urls[=yes(*)/no] Detección de phishing basado en URL
--heuristic-scan-precedence[=yes/no(*)] Detiene el escaneo tan pronto como encuentre un resultado heuristico
--phishing-ssl[=yes/no(*)] Siempre bloquea coincidencias SSL en url's (modulo de phishing)
--phishing-cloak[=yes/no(*)] Siempre bloquea url encubiertas (modulo de phishing)
--algorithmic-detection[=yes(*)/no] Algorítmica de detección
--scan-pe[=yes(*)/no] Escanea fichero PE
--scan-elf[=yes(*)/no] Escanea fichero ejecutables
--scan-ole2[=yes(*)/no] Escanea ficheros OEL
--scan-pdf[=yes(*)/no] Escanea fichero pdf
--scan-html[=yes(*)/no] Escanea fichero html
--scan-archive[=yes(*)/no] Escanea ficheros comprimidos (soportado por libclamav)
--detect-broken[=yes/no(*)] Intenta detectar fichero ejecutables rotos
--block-encrypted[=yes/no(*)] Archivos con bloques cifrados
--mail-follow-urls[=yes/no(*)] Descarga y escanea las URL's
--max-filesize=#n Tamaño máximo de ficheros a escanear
--max-scansize=#n La cantidad máxima de datos para buscar cada archivo contenedor (**)
--max-files=#n El número máximo de archivos para buscar cada archivo contenedor (**)
--max-recursion=#n Archivo máximo nivel de recursión para el archivo contenedor (**)
--max-dir-recursion=#n Máximo nivel de recursión en los directorios
(*) Opciones por defecto de escaneo
(**) Ciertos archivos (por ejemplo, documentos, archivos, etc) a su vez puede contener otros
archivos en su interior. Las opciones anteriores garantizar el tratamiento seguro de este tipo de datos.
editar el archivo /etc/clamd.conf
Code:
nano /etc/clamd.conf