Di seguito la procedura per l’installazione dell’antivirus Cclamav in Ubuntu 14.xx. Clamav è un antivirus free, open source che nasce come applicativo da linea di comando ed è presente nei repository delle principali distribuziioni linux. L’aintivirus clamav, giunto alla versione 0.98.6 del 27 gennaio, è disponibile anche per windows e mac, ricerca files con virus, troians e in generale maleware.
Sebbene un desktop linux usato in modalità user sia meno soggetto ad attacchi virali, un antivirus risulta comunque utile in particolare nell’uso di sistemi dual-boot con windows, quando si scambiano files e in caso di scansioni di sistemi remoti.
Installare Clamav in Ubuntu 14.xx
Per installare clamav in ubuntu 14.xx Trusty Thar e Utopic Unicorn da terminale utilizzare il comando :
sudo apt-get install clamav clamav-freshclam
Quindi inizializzare clavam scaricando i files delle definizioni con il comando freshclam
:~$ sudo freshclam maurizio@ubu1404s:/media/VM/libvirt$ sudo freshclam ClamAV update process started at Sat Mar 28 00:59:23 2015 Downloading main.cvd [100%] main.cvd is up to date (version: 55, sigs: 2424225, f-level: 60, builder: neo) daily.cvd is up to date (version: 20253, sigs: 1359727, f-level: 63, builder: neo) bytecode.cvd is up to date (version: 247, sigs: 41, f-level: 63, builder: dgoddard)
possiamo testare l’installazione eseguendo ad esempio
sudo clamscan
Per le informazioni sulle opzioni disponibili il classico
clamscan --help
Possiamo effettuare un primo controllo antivirus di tutta la home con l’opzione -r
sudo clamscan -r
Se vogliamo visualizzare solo i file infetti e il sommario evitando di visualizzare l’elenco dei files possiamo usare l’opzione -i
sudo clamscan -i -r es:
maurizio@u1410:~$ sudo clamscan -i -r ----------- SCAN SUMMARY ----------- Known viruses: 3778323 Engine version: 0.98.6 Scanned directories: 4103 Scanned files: 56482 Infected files: 0 Data scanned: 8577.75 MB Data read: 19842.85 MB (ratio 0.43:1) Time: 810.089 sec (13 m 30 s)
Aggiornare i database delle definizioni dei virus
Per aggiornare i database delle definizioni dei virus come detto si può usare
sudo freshclam
Freshclam demone
E’ decisamente più comodo effetture questa operazione in backgroud sfruttando il demone di freshclam.
In genere in Ubuntu 14.xx il servizio viene installato automaticamente è possibile controllare il servizio con
maurizio@ubu1404s:~$ sudo service clamav-freshclam status * freshclam is running
Opzioni possibili
maurizio@ubu1404s:~$ sudo service clamav-freshclam
* Usage: /etc/init.d/clamav-freshclam {no-daemon|start|stop|restart|force-reload|reload-log|skip|status}
Per controllare che il demone freshclam sia in esecuzione
maurizio@u1410:~$ ps fax | grep [c]lam
1828 ? Ss 3:36 /usr/bin/freshclam -d --quiet --config-file=/etc/clamav/freshclam.conf
E’ possibile installare il servizio freshclam anche con ad esempio:
sudo freshclam -d
si può controllare il servizio anche on il gestore di servizi da linea di comando sysv-rc-conf
maurizio@ubu1404s:~$ sudo sysv-rc-conf --list | grep clam
clamav-fresh 0:off 1:off 2:on 3:on 4:on 5:on 6:off
Se sysv-rc-conf non è installato installare con
sudo apt-get install sysv-rc-conf
per impostare il demone in modo che effettui due check al giorno per nuovi database delle definizioni si puà usare il comando
sudo freshclam -d -c 2
Determinare la versione di clamav in uso con
La versione di clamav può essere con l’opzione -V
maurizio@u1410:~$ clamscan -V
ClamAV 0.98.6/20253/Fri Mar 27 23:51:00 2015
o
maurizio@rarl1304:~$ freshclam -V
ClamAV 0.98.6/20253/Fri Mar 27 23:51:00 2015
Eseguire la ricerca dei virus
Per effettuare lo scan di tutto il sistema evidenziando solo i filea infetti e producendo un allarme acustico in caso di rilevazione di virus si può utilizzare il comando
:~$ clamav -r --bell -i /home
Per registrare una scansione di tutto il sistema salvando i dati relativi ai file infetti si può usare un comando del tipo:
sudo clamscan -r / | grep FOUND >> /path/clamav-data-scan.txt
Clamav non effettua le disinfezione dei file.I file infetti possono essere posti in quarantena oppure rimossi
Servizio Clamav
Clamav può essere utilizzato anche come servizio. In ubuntu per utilizzare clamav come demone si deve installare il pacchetto clamav-daemon. Diversi programmi, compresi i servers email, possono connettersi al demone Clamav che essendo sempre in memoria accelera le operazioni di scan dei virus.
sudo apt-get install clamav-daemon
Per controllare che il demone clamscan sia in esecuzione
maurizio@ubu1404s:$ ps fax | grep [c]lam 14931 ? Ss 0:09 /usr/bin/freshclam -d --quiet 16839 ? Ssl 0:00 /usr/sbin/clamd
Una volta installato il demone si può utilizzare il comando clamdscan in sostituzione di clamscan
Controllare che il servizio si avvia al boot con:
maurizio@ubu1404s:$ sudo sysv-rc-conf --list | grep clam clamav-daemo 0:off 1:off 2:on 3:on 4:on 5:on 6:off clamav-fresh 0:off 1:off 2:on 3:on 4:on 5:on 6:off
Clamav GUI
Diverse le interfacce grafiche disponibili per clamav una delle efficaci è senz’altro ClamTK ora alla versione 5.10. L’interfaccia è completamente rinnovata rispetto alla versione 4.xx.
ClamTK può essere installato da terminale con
sudo apt-get install clamtk
e avviato sempre da terminale con
clamtk
Thunderbird e ClamAV
L’integrazione tra server mail e clamav per lo scan degli allegati e ben supportata. Del resto questa è una delle principali funzioni di clamav. Un po’ più problematica la disponibilità di add-on per clients email. Ad esempio per Thunderbird era disponibile l’add-on clamdrib che tuttavia non è più supportato dalle ultime versione del client ( link Clamdrib update). In questo caso si può tuttavia ovviare, con un approccio un po’ artiginale :
1) in thunderbird abilitare allow in prefereces> security
[X] Anti-virus clients to quarantine individual incoming messagges
Thunderbird consentire quarantine
2)
-impostare clamtk come programma per l’apertura dei files in prefereces> attachments
Thunderbird Clamtk 510
– l’impostazione può essere fatta anche direttamente nella email selezionando l’allegato poi tasto destro quindi <open> <open with> e selezionare sempre clamtk
Thunderbird Clamtk
Thundebird ClamTK
thunderbird open with clamtk
Schedulare ClamAV
E possibile schedulare l’attività di clamAV per controllare la propria home o l’ intero sistema. Ad esempio per controllare la propria home al 1:00 am si può usare cron impostando qualcosa del tipo :
0 1 * * * -i /usr/bin/clamscan -ri /home/user -l /var/log/clamscan.log --move=/tmp/virus/
Clamav PPA
Per disporre sempre della versione più recente di ClamAV si può utilizzare il ppa specifico che si installa con
sudo add-apt-repository ppa:ubuntu-clamav/ppa sudo apt-get update sudo apt-get install clamav nautilus-clamscan
FIle di configurazione
Per consentire a freshclam e clam di agire come demone in ubuntu nel corso dell’installazione vengono generati lo user: clamav e il gruppo: clamav
La directory con i database contenenti le definioni dei virus di trovano in /var/lib/clamav/
I databases usati da clamav al momento sono
main.cvd ver. 55 released on 17 Sep 2013 10:57 :0400 (sig count: 2424225) daily.cvd ver. 20253 released on 27 Mar 2015 18:51 :0400 (sig count: 1359727) bytecode.cvd ver. 247 released on 27 Feb 2015 14:27 :0500 (sig count: 41)
UpdateLogFile /var/log/clamav/freshclam.log
I file di configurazione sono posizionati in /etc/clamav
/etc/clamd.conf /etc/freshclam.conf
Risorse:
- Installare l’antivirus Clamav in ubuntu 13.04 Raring Ringtail
- Clamav l’antivirus per linux in ubuntu 12.04 e 12.10
- Clam AntiVirus
- Antivirus – Community Ubuntu Documentation
- ScanningEmail – Community Ubuntu Documentation
- ClamAV – Community Ubuntu Documentation
- The short life and hard times of a Linux virus
- What happened to Clamdrib (Linux) • mozillaZine Forums
maurizio siagri 