一、簡(jiǎn)介

ClamAV（Clam AntiVirus）是Linux平臺(tái)上的開源病毒掃描程序倚评，主要應(yīng)用于郵件服務(wù)器辫诅，采用多線程后臺(tái)操作，可以自動(dòng)升級(jí)病毒庫杉武。

二陷谱、安裝

安裝epel軟件源

# 安裝
[root@localhost ~]# yum install -y epel-release  

# 緩存 
[root@localhost ~]# yum clean all && yum makecache 

安裝clamav程序

[root@localhost ~]# yum -y install clamav-server clamav-data clamav-update clamav-filesystem clamav clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemd 

三、配置SELinux

配置ClamAV權(quán)限

[root@localhost ~]#  setsebool -P antivirus_can_scan_system 1 
[root@localhost ~]#  setsebool -P clamd_use_jit 1 

查看設(shè)置結(jié)果

[root@localhost ~]# getsebool -a | grep antivirus 
antivirus_can_scan_system --> on 
antivirus_use_jit --> on 

四百揭、配置ClamAV

1.刪除示列

[root@localhost ~]# sed -i -e "s/^Example/#Example/" /etc/clamd.d/scan.conf 
[root@localhost ~]# sed -i -e "s/^Example/#Example/" /etc/freshclam.conf 

2.編輯配置文件

[root@localhost ~]# vim /etc/clamd.d/scan.conf 

3.找到以下行

#LocalSocket /var/run/clamd.scan/clamd.sock 

• 刪除#符號(hào)并保存您的更改

五、更新病毒庫

[root@localhost ~]# freshclam 

病毒庫保存位置：

/var/lib/clamav/daily.cvd 
/var/lib/clamav/main.cvd 

六蜓席、啟動(dòng)Clamd服務(wù)

[root@localhost ~]# sudo systemctl start clamd@scan [root@localhost ~]# sudo systemctl enable clamd@scan

七器一、掃描病毒

clamscan 可用以掃描文件, 用戶目錄亦或是整個(gè)系統(tǒng)：

##掃描文件 
[root@localhost ~]# clamscan targetfile  

##遞歸掃描home目錄，并且記錄日志 
[root@localhost ~]# clamscan -r -i /home  -l /var/log/clamav.log  

##遞歸掃描home目錄厨内，將病毒文件刪除盹舞，并且記錄日志 
[root@localhost ~]# clamscan -r -i /home  --remove  -l /var/log/clamav.log  

##掃描指定目錄，然后將感染文件移動(dòng)到指定目錄隘庄，并記錄日志 
[root@localhost ~]# clamscan -r -i /home  --move=/tmp/clamav -l /var/log/clamav.log 

說明:

• -r -i 遞歸掃描目錄
• -l 指定記錄日志文件
• --remove 刪除病毒文件
• --move 移動(dòng)病毒到指定目錄

1.重點(diǎn)掃描目錄

clamscan -r  -i /etc --max-dir-recursion=5 -l /var/log/clamav-etc.log

clamscan -r  -i /bin --max-dir-recursion=5 -l /var/log/clamav-bin.log

clamscan -r  -i /usr --max-dir-recursion=5 -l /var/log/clamav-usr.log

clamscan -r  -i /var --max-dir-recursion=5 -l /var/log/clamav-var.log

2.掃描報(bào)告說明

----------- SCAN SUMMARY -----------
Known viruses: 9141451                  #已知病毒
Engine version: 0.102.4                 #軟件版本
Scanned directories: 498                #掃描目錄
Scanned files: 738                      #掃描文件
Infected files: 4                       #感染文件!!!
Data scanned: 530.25 MB                 #掃描數(shù)據(jù)
Data read: 14131.60 MB (ratio 0.04:1)   #數(shù)據(jù)讀取
Time: 203.805 sec (3 m 23 s)            #掃描用時(shí)

3.查看病毒文件

cat /var/log/clamav-bin.log | grep "FOUND" 

FQA

1、使用過程中癣亚，報(bào)錯(cuò)：LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0

image.png

解決方法：
掃描/sys/會(huì)產(chǎn)生大量報(bào)錯(cuò),跳過此文件夾即可
-i 代表只報(bào)出infected的文件
-r 代表子文件夾也要掃描,/就是根目錄了

clamscan --exclude-dir=/sys/ -i -r /

2丑掺、

參考鏈接：https://zhuanlan.zhihu.com/p/266731354