一、介紹
Clam AntiVirus 是一款 UNIX 下開源的 (GPL) 反病毒工具包跌穗,專為郵件網(wǎng)關(guān)上的電子郵件掃描而設(shè)計订晌。該工具包提供了包含靈活且可伸縮的監(jiān)控程序、命令行掃描程序以及用于自動更新數(shù)據(jù)庫的高級工具在內(nèi)的大量實用程序瞻离。該工具包的核心在于可用于各類場合的反病毒引擎共享庫腾仅。
主要使用ClamAV開源殺毒引擎檢測木馬、病毒套利、惡意軟件和其他惡意的威脅
1.1推励、高性能
ClamAV包括一個多線程掃描程序守護程序,用于按需文件掃描和自動簽名更新的命令行實用程序肉迫。
1.2验辞、格式支持
ClamAV支持多種文件格式,文件和存檔解包以及多種簽名語言喊衫。PDF跌造、JS、XLS族购、DOCX壳贪、PPT等
二、ClamAV安裝
2.1寝杖、安裝
CentOS 上安裝违施,clamav包需要EPEL存儲庫
yum install -y epel-release
yum install -y clamav
2.2、更新
為防止蠕蟲傳播瑟幕,必須經(jīng)常檢查更新磕蒲,ClamAV用戶需要經(jīng)常執(zhí)行freshclam,檢查間隔為30分鐘只盹。由于ClamAV用戶數(shù)量過大辣往,托管病毒數(shù)據(jù)庫文件的服務(wù)器很容易過載。如果直接執(zhí)行freshclam從公網(wǎng)更新會很慢殖卑,可以通過搭建私有鏡像源進行內(nèi)網(wǎng)分發(fā)
默認更新
cat /etc/cron.d/clamav-update
##每三個小時執(zhí)行更新
0 */3 * * * root /usr/share/clamav/freshclam-sleep
##更新病毒庫
freshclam
##病毒庫文件
/var/lib/clamav/daily.cvd
/var/lib/clamav/main.cvd
Private Local Mirrors
為解決內(nèi)網(wǎng)多客戶端上ClamAV的更新站削,占用帶寬和無法訪問等問題,可以通過搭建本地鏡像倉庫進行分發(fā)懦鼠,通過修改freshclam.conf配置钻哩,直接從內(nèi)網(wǎng)服務(wù)器進行下載病毒數(shù)據(jù)庫文件屹堰。
三、ClamAV掃描病毒
Clamscan 可以掃描文件街氢、用戶目錄或者整個系統(tǒng)
##掃描文件
clamscan targetfile
##遞歸掃描home目錄扯键,并且記錄日志
clamscan -r -i /home -l /var/log/clamscan.log
##遞歸掃描home目錄,將病毒文件刪除珊肃,并且記錄日志
clamscan -r -i /home --remove -l /var/log/clamscan.log
##建議##掃描指定目錄荣刑,然后將感染文件移動到指定目錄,并記錄日志
clamscan -r -i /home --move=/opt/infected -l /var/log/clamscan.log
- 掃描完成后伦乔,會將掃描詳細信息列出
四厉亏、周期自動掃描病毒
##每天凌晨11點進行文件掃描
crontab -e
0 23 * * * root /usr/local/bin/clamscan.sh
##配置掃描文件
vim /usr/local/clamscan.sh
clamscan -r -i /home --move=/opt/infected -l /var/log/clamscan.log
五、ClamAV與業(yè)務(wù)系統(tǒng)整合
業(yè)務(wù)系統(tǒng)可以直接調(diào)用
clamav-scanner服務(wù)來掃描上傳的文件烈和。
方案
- 在業(yè)務(wù)系統(tǒng)安裝
clamav-REST服務(wù) - 部署
clamav-scanner server - 部署clamav更新服務(wù)器爱只,或者直接上網(wǎng)更新
- 部署clamav病毒庫更新服務(wù)器
- 部署clamav查殺文件所產(chǎn)生的日志服務(wù)器(可以直接放在服務(wù)端本地)
客戶端上傳文件,業(yè)務(wù)系統(tǒng)調(diào)用clamav-rest接口招刹,讓clamd主程序?qū)ξ募M行掃描恬试,并記錄日志
