Clamav Antivirus Ubuntu
Linux - Mac

Clamav Antivirus Ubuntu

Clamav Antivirus Ubuntu

Clamav Antivirus Ubuntu
Clamav Antivirus Ubuntu

Clamav Antivirus Ubuntu

HISTORIA

El proyecto ClamAv Antivirus fue fundado en el año 2001 por Tomasz Kojm. Actualmente tiene una implantación superior a los 500 000 servidores en todo el mundo. ClamAV nació como un proyecto opensource que pretende identificar y bloquear virus en el sistema. El primer objetivo de ClamAv fue combatir el correo electrónico malware. Como consecuencia de ello, ClamAv se está usando en un número elevado de email servers.

Gracias a la colaboración de varias compañías, universidades y otras organizaciones ha sido posible para el proyecto ClamAV poseer una red extensa de distribución mirror rápida y fiable en todo el mundo.



DESARROLLO Y ESTRUCTURA

El objetivo primario de ClamAV es la consecución de un conjunto de herramientas que identifiquen y bloqueen el malware provieniente del correo electrónico. Uno de los puntos fundamentales en este tipo de software es la rápida localización e inclusión en la herramienta de los nuevos virus encontrados y escaneados. Esto se consigue gracias a la colaboración de los miles de usuarios que usan ClamAv y a sitios como Virustotal.com que proporcionan los virus escaneados.

Otra pieza clave de ClamAV es el soporte de desarrolladores que posee en todo el mundo; esta red de desarrolladores global posibilita una rápida reacción ante cualquier evidencia de un nuevo virus.

El proyecto ClamAV se desarrolla gracias a una red de contribuidores (proporcionan patches, información de bugs, soporte técnico y documentación). Por otro lado, existe una serie de personas e instituciones que colaboran con donaciones a la realización del proyecto. Existe un comité de dirección que supervisa y coordina el proyecto siguiendo los patrones de La Catedral y el Bazar.

INSTALACIÓN


En Ubuntu y derivados como Xubuntu, Lubuntu o Linux Mint, entre otros muchos, esta es la sentencia:


$ sudo apt-get install clamav
Para instalar ClamAV en Debian debes hacerlo como usuario Root y puedes utilizar apt-get o aptitude indistintamente

$ su

# aptitude install clamav

Si utilizas Fedora, o alguna otra distribución derivada de Red Hat, puedes hacerlo con yum:

$ su

# yum install clamav

Y en lo que respecta a Arch Linux, la sentencia es la que sigue:

$ su

# pacman -S clamav


ACTUALIZACIÓN DE LA BASE DE DATOS

Una vez instalado en nuestro sistema, lo primero que deberías hacer es actualizar la BBDD de firmas de virus de ClamAV.

Para ello, deberás poseer permisos de superususario, por lo que en Ubuntu deberás utilizar siempre el comando ‘sudo’ delante, y en Debian logueandote primero como Root mediante el comando ‘su’.

Normalmente, el paquete freshclam se instala como dependencia con la instalación del paquete principal, pero en caso de que no sea así, puedes instalarlo manualmente con este sencillo comando:

Para instalar el paquete freshclam en Ubuntu y derivados:

$ sudo apt-get install clamav-freshclam
Con esto ya podemos pasar a comprobar si existen actualizaciones en la base de datos de firmas de virus. Hacerlo es tan sencillo como abrir una terminal y teclear:

$ sudo freshclam

Esto hará básicamente un check rápido de la base de datos y mirará si todas las firmas están actualizadas. En caso de que no lo estén, las actualizará.

Si obtienes un error al intentar actualizar el programa, es posible que sea porqué el demonio de actualizaciones freshclam no está habilitado.

Normalmente debería venir habilitado por defecto, pero en caso de no ser así, sigue estas líneas porqué más adelante tienes explicado como comprobar si está habilitado en segundo plano, y en caso contrario, habilitarlo manualmente.



SCANEA MANUALMENTE

La sintaxis de ClamAV a la hora de hacer análisis manuales es muy sencilla, pero es verdad que a medida que vayas conociendo sus opciones

verás que puedes llegar a construir comandos bastante largos. En general la sintaxis suele ser:

$ clamscan -[parámetros] [ruta de carpeta]

Antes de nada, es importante tener en cuenta que en Linux, por defecto un usuario solo tenemos permisos sobre su directorio personal dentro de /home, y acceder a una carpeta del sistema siempre requerirá permisos de root. Por esta razón, es poco probable que un virus se almacene más allá del directorio /home, a no ser que nosotros mismos le hayamos dado el permiso.

Para escanear tu directorio personal de manera recursiva, es decir, pasando archivo por archivo, puedes utilizar este comando:

$ sudo clamscan -r /home
Con la opción ‘-r’, lo que le indicamos a ClamAV es que haga un análisis recursivo, es decir, pasando por todos los subdirectorios.

Para hacer un escaneo profundo de todo tu sistema, puedes utilizar el siguiente comando:

$ sudo clamscan -r /
Con ‘/’, lo que le indicamos a ClamAV es que haga un análisis de todo el sistema, ya que ‘/’ representa la raíz del sistema.

En caso de que te haya detectado uno o más archivos infectados, para evitar tener que buscarlos entre todos los archivos escaneados, puedes repetir el análisis pero indicando que se muestren por pantalla solo los archivos infectados.

 $ sudo clamscan -r -i /home

Con esto estaremos haciendo un análisis recursivo de nuestra carpeta /home, y se irán mostrarán por pantalla solamente las infecciones.

Otra interesante opción es la que te permite indicar a ClamAV que haga sonar un pitido cada vez que detecte un archivo infectado durante el escaneo.

$ sudo clamscan -r --bell /home
También tienes la posibilidad de guardar un reporte del análisis en un archivo aparte que se creará en tu directorio personal.

$ sudo clamscan -r /home -l archivo.txt

Con esto comando estarás realizando un escaneo recursivo de tu carpeta /home, y al finalizar se creará un reporte completo en el archivo archivo.txt.

Si quieres conocer más opciones de escaneo, puedes imprimir la pantalla de ayuda en la terminal mediante este comando:

$ clamscan --help
COMO SCANEAR UNA PARTICIÓN EXTERNA O UNIDAD USB

Para analizar un disco duro externo, un Pendrive, u otra partición dentro del mismo disco duro, lo único que tendremos que cambiar es el output final de la ruta.

Para comprobar la ruta, o el nombre de identificador de un volumen en concreto, puedes ayudarte de este comando:

$ sudo fdisk -l

Esto te mostrará el la ruta con el nombre de identificador de cada volumen. Las diferentes particiones del disco interno se identifican como sda o hdb, mientras que los discos externos conectados por USB son los sdb.

DEBES ESTAR COMO USUARIO ROOT

Clamav Antivirus Ubuntu


Estas rutas serán las que deberás indicarle a ClamAV para especificar en que volumen de disco quieres que haga el análisis.


SCANEAR UNIDADES NTFS

Creá un directorio en el que vas a montar la partición:

$ mkdir /media/windows
Montamos dicha partición (en nuestro ejemplo, /dev/sdb1) con el comando:

$ mount /dev/sdb1 /media/windows

Desmontar unidad

$ umount /media/windows

Ahora creamos una carpeta temporal donde se ubicaran nuestros archivos infectados.

$ mkdir /tmp/virus

Ahora ejecutá el escaneo de la siguiente forma (esto tomara un tiempo, dependiendo de la capacidad de tu disco rígido y el espacio ocupado)

$ clamscan -v -r –bell –move /tmp/virus –log /tmp/virus.log /media/windows
Las instrucciones de clamav arriba mencionandas son para lo siguiente:

-v: verbose – Imprime los detalles del escaneo
-r: recursive – Revisa todos los archivos y directorios
–bell: bell – Hace un ruido cuando un virus es detectado
–move: Mueve los virus al directorio /tmp/virus/ Para borrarlos directamente usá el parámetro –remove=yes
–log: Guarda un log de todos los archivos en /tmp/virus.log
/media/windows: Este es el directorio a escanear donde tendremos nuestra particion de windows montada

no se incluye en el ejemplo, pero usando el parámetro –exclude podés exlcuir determinado tipo de archivos. Ejemplo: –exclude=.avi


ELIMINAR AMENAZAS DETECTADAS

Si se ha detectado algún archivo infectado durante el análisis, queda el importante paso de removerlo. Antes de hacer esto es importante haber hecho primero un escaneo normal sin eliminar nada, para estar realmente seguro de lo que vas a eliminar.

Una vez estás seguro de que se puede eliminar el archivo, con ClamAV puedes remover automáticamente todos los virus detectado en un escaneo con simplemente añadir la opción remove entre los parámetros de escaneo. Aquí tienes un par de ejemplos

Escanear el directorio /home de modo recursivo, y eliminar los archivos infectados al momento (sin previa notificación).

$ sudo clamscan -r --remove /home

Y ya puestos, podemos hacer que durante el escaneo se vayan mostrando solo los archivos infectados. Para ello añadimos el parámetro -i, como habrás visto más arriba:

$ sudo clamscan -r -i --remove /home

Escanear la partición de Windows 7, que en este caso corresponde al identificador sda2, y eliminar todos los archivos detectados:

$ sudo clamscan -r --remove /media/sda2

EJECUTAR DEMONIOS

Para que no tengamos que estar continuamente analizando carpetas, vamos a ejecutar un daemon en segundo plano, tanto de ClamAV como de Freshclam:

$ sudo /etc/init.d/clamav-daemon start
CLAMAV HELP

ClamAV tiene bastante parámetros de configuración. Para conocerlos todos, introducid el siguiente comando:


$ clamscan --help

                       Clam AntiVirus Scanner 0.98.6
           By The ClamAV Team: http://www.clamav.net/about.html#credits
            2007-2009 Sourcefire, Inc.

    --help                -h             Print this help screen
    --version             -V             Print version number
    --verbose             -v             Be verbose
    --archive-verbose     -a             Show filenames inside scanned archives
    --debug                              Enable libclamav's debug messages
    --quiet                              Only output error messages
    --stdout                             Write to stdout instead of stderr
    --no-summary                         Disable summary at end of scanning
    --infected            -i             Only print infected files
    --suppress-ok-results -o             Skip printing OK files
    --bell                               Sound bell on virus detection

    --tempdir=DIRECTORY                  Create temporary files in DIRECTORY
    --leave-temps[=yes/no(*)]            Do not remove temporary files
    --database=FILE/DIR   -d FILE/DIR    Load virus database from FILE or load
                                         all supported db files from DIR
    --official-db-only[=yes/no(*)]       Only load official signatures
    --log=FILE            -l FILE        Save scan report to FILE
    --recursive[=yes/no(*)]  -r          Scan subdirectories recursively
    --allmatch[=yes/no(*)]   -z          Continue scanning within file after finding a match
    --cross-fs[=yes(*)/no]               Scan files and directories on other filesystems
    --follow-dir-symlinks[=0/1(*)/2]     Follow directory symlinks (0 = never, 1 = direct, 2 = always)
    --follow-file-symlinks[=0/1(*)/2]    Follow file symlinks (0 = never, 1 = direct, 2 = always)
    --file-list=FILE      -f FILE        Scan files from FILE
    --remove[=yes/no(*)]                 Remove infected files. Be careful!
    --move=DIRECTORY                     Move infected files into DIRECTORY
    --copy=DIRECTORY                     Copy infected files into DIRECTORY
    --exclude=REGEX                      Don't scan file names matching REGEX
    --exclude-dir=REGEX                  Don't scan directories matching REGEX
    --include=REGEX                      Only scan file names matching REGEX
    --include-dir=REGEX                  Only scan directories matching REGEX

    --bytecode[=yes(*)/no]               Load bytecode from the database
    --bytecode-unsigned[=yes/no(*)]      Load unsigned bytecode
    --bytecode-timeout=N                 Set bytecode timeout (in milliseconds)
    --bytecode-statistics[=yes/no(*)]    Collect and print bytecode statistics
    --detect-pua[=yes/no(*)]             Detect Possibly Unwanted Applications
    --exclude-pua=CAT                    Skip PUA sigs of category CAT
    --include-pua=CAT                    Load PUA sigs of category CAT
    --detect-structured[=yes/no(*)]      Detect structured data (SSN, Credit Card)
    --structured-ssn-format=X            SSN format (0=normal,1=stripped,2=both)
    --structured-ssn-count=N             Min SSN count to generate a detect
    --structured-cc-count=N              Min CC count to generate a detect
    --scan-mail[=yes(*)/no]              Scan mail files
    --phishing-sigs[=yes(*)/no]          Signature-based phishing detection
    --phishing-scan-urls[=yes(*)/no]     URL-based phishing detection
    --heuristic-scan-precedence[=yes/no(*)] Stop scanning as soon as a heuristic match is found
    --phishing-ssl[=yes/no(*)]           Always block SSL mismatches in URLs (phishing module)
    --phishing-cloak[=yes/no(*)]         Always block cloaked URLs (phishing module)
    --partition-intersection[=yes/no(*)] Detect partition intersections in raw disk images using heuristics.
    --algorithmic-detection[=yes(*)/no]  Algorithmic detection
    --scan-pe[=yes(*)/no]                Scan PE files
    --scan-elf[=yes(*)/no]               Scan ELF files
    --scan-ole2[=yes(*)/no]              Scan OLE2 containers
    --scan-pdf[=yes(*)/no]               Scan PDF files
    --scan-swf[=yes(*)/no]               Scan SWF files
    --scan-html[=yes(*)/no]              Scan HTML files
    --scan-archive[=yes(*)/no]           Scan archive files (supported by libclamav)
    --detect-broken[=yes/no(*)]          Try to detect broken executable files
    --block-encrypted[=yes/no(*)]        Block encrypted archives
    --nocerts                            Disable authenticode certificate chain verification in PE files
    --dumpcerts                          Dump authenticode certificate chain in PE files

    --max-filesize=#n                    Files larger than this will be skipped and assumed clean
    --max-scansize=#n                    The maximum amount of data to scan for each container file (**)
    --max-files=#n                       The maximum number of files to scan for each container file (**)
    --max-recursion=#n                   Maximum archive recursion level for container file (**)
    --max-dir-recursion=#n               Maximum directory recursion level
    --max-embeddedpe=#n                  Maximum size file to check for embedded PE
    --max-htmlnormalize=#n               Maximum size of HTML file to normalize
    --max-htmlnotags=#n                  Maximum size of normalized HTML file to scan
    --max-scriptnormalize=#n             Maximum size of script file to normalize
    --max-ziptypercg=#n                  Maximum size zip to type reanalyze
    --max-partitions=#n                  Maximum number of partitions in disk image to be scanned
    --max-iconspe=#n                     Maximum number of icons in PE file to be scanned
    --enable-stats                       Enable statistical reporting of malware
    --disable-pe-stats                   Disable submission of individual PE sections in stats submissions
    --stats-timeout=#n                   Number of seconds to wait for waiting a response back from the stats server
    --stats-host-id=UUID                 Set the Host ID used when submitting statistical info.

(*) Default scan settings
(**) Certain files (e.g. documents, archives, etc.) may in turn contain other
   files inside. The above options ensure safe processing of this kind of data.
Clamav Antivirus Ubuntu

Si lo que encontraste en este Post te sirvió , no te olvides de agradecérselo al Uploader ;
Tu comentario y agradecimiento es su única recompensa y estimulo para seguir compartiendo.
Estadísticas
Creado 29.11.2016 a las 16:25 hs
Categoría Linux - Mac
  • 1
    Medallas
  • 2
    Favoritos
  • 1290
    Visitas
  • 9/10
    LPDLW score
  • 9
    Votantes
  • 90
    Puntos
  • 0
    Seguidores
  • 1
    Recomendado
Comentarios
7
Cargando comentarios espera un momento...

Para poder comentar necesitas ser un usuario registrado , ¡ Registrarme Ahora !. O.. ya tienes usuario? Logueate!
Creado por    Csoria
Ver perfil de Csoria Csoria
Hombre Supremo  Mensaje
4,507 90 132
Medallas ganadas por este Post
1
Punteadores
Tags
Posts relacionados
Mas Post de     Csoria
Términos y condiciones
Privacidad
Report - DMCA
Contacto
LoPeorDeLaWeb  © 2014 - 2024
Carga   0.595    Mls  
Basado en  PHPost 
Diseño de Kmario19
Adaptado por  jor51 
LoPeorDeLaWeb utiliza cookies. Lea nuestra Política de Privacidad para obtener más información. Para eliminar este mensaje, haga clic en el siguiente botón: Acepto el uso de cookies