最近阿里雲服務器在半年內中了兩次挖礦病毒,於是想着安裝個殺毒軟件試試,網上查了一下決定試一下ClamAV,結果最后發現該殺毒軟件對挖礦病毒無效,因為殺毒軟件是針對文件的,但是挖礦病毒的最大特點就是挖礦腳本執行后會自我刪除,然后通過另一個腳本跟定時任務去下載挖礦腳本,所以挖礦腳本並不存在與服務器:
所以ClamAV是掃不到挖礦病毒的,也無從得知能否真的掃描識別挖礦腳本病毒。
雖然沒有達到最初目的,但是還是安裝過程整理一下,ClamAV的安裝可以分為yum安裝跟二進制包安裝,其中yum安裝比較簡單,不做過多描述。
一、yum安裝
1、安裝epel源
wget https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
rpm -ihv epel-release-latest-7.noarch.rpm
2、安裝殺毒軟件
yum -y install clamav-server clamav-data clamav-update clamav-filesystem clamav clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemd
3、修改配置文件
修改/etc/freshclam.conf 和 /etc/clamd.d/scan.conf ,將 文中“Example” 注釋掉,如“#Example”,一般在第8行,下圖是修改后的配置:
4、升級病毒庫
freshclam
5、查殺病毒
##掃描文件
clamscan targetfile
##遞歸掃描home目錄,並且記錄日志
clamscan -r -i /home -l /var/log/clamscan.log
##遞歸掃描home目錄,將病毒文件刪除,並且記錄日志
clamscan -r -i /home --remove -l /var/log/clamscan.log
##建議##掃描指定目錄,然后將感染文件移動到指定目錄,並記錄日志
clamscan -r -i /home --move=/opt/infected -l /var/log/clamscan.log
二、二進制包安裝
1、下載
打開官網地址https://www.clamav.net/
2、准備工作
然后上傳到服務器,解壓
創建用戶組跟用戶
groupadd clamav
useradd -g clamav clamav
然后安裝依賴包gcc、g++、check、libxml2、pcre2、bzip2、openssh、openssl、libcurl等等,雖然官網上有提示說有哪些包是必須的依賴包,有哪些是推薦的包,實際上都是要看編譯的報錯,根據報錯來安裝依賴包,然后需要注意的是,上面提到的libxml2、pcre2、bzip2、openssh、libcurl等安裝包都是需要安裝帶devel的安裝包,如libxml2-devel、pcre2-devel這樣,具體的分辨方法就是先安裝libxml2,再次進行編譯,如果還是報錯提示少了libxml2的類,那就需要安裝libxml2-devel了。還有就是因為編譯的時候需要用到gcc跟g++,安裝的時候應該安裝gcc-c++,因為沒有單獨的g++安裝包。
3、編譯安裝
進入解壓得到的文件夾執行編譯命令
./configure --prefix=/opt/clamav
--prefix=/opt/clamav指定安裝目錄,需要注意的是,編譯時會校驗clamav用戶跟用戶組是否存在,如果沒有操作第2步中的創建用戶跟用戶組操作,則需要增加參數--disable-clamav,完整命令如下:
./configure --prefix=/opt/clamav --disable-clamav
編譯成功后,執行make
然后再執行make install
至此安裝完畢,但是還不能啟動,需要先修改配置文件
4、修改配置文件
cp /opt/clamav/etc/clamd.conf.sample /opt/clamav/etc/clamd.conf
cp /opt/clamav/etc/freshclam.conf.sample /opt/clamav/etc/freshclam.conf
vim /opt/clamav/etc/clam.conf
注釋掉“Example”行,一般在第8行
增加以下內容
LogFile /opt/clamav/logs/clamd.log
PidFile /opt/clamav/updata/clamd.pid
DatabaseDirectory /opt/clamav/updata
vim /opt/clamav/etc/freshclam.conf
注釋掉“Example”行,一般在第8行
增加以下內容(此配置是病毒庫存放路徑配置,配置的路徑必須存在且擁有這個擁有者組是clamav:clamav,如果不配置,更新病毒庫時就會使用默認路徑,會報錯提示路徑不存在,可以補充配置或者直接創建默認路徑文件夾,並把擁有者跟擁有者組改成clamav:clamav即可) DatabaseDirectory /opt/clamav/updata
mkdie /opt/clamav/updata
chown -R clamav:clamav /opt/clamav/updata
5、更新病毒庫
cd /opt/clamav/bin
./freshclam
6、查殺病毒
##掃描文件 clamscan targetfile ##遞歸掃描home目錄,並且記錄日志 clamscan -r -i /home -l /var/log/clamscan.log ##遞歸掃描home目錄,將病毒文件刪除,並且記錄日志 clamscan -r -i /home --remove -l /var/log/clamscan.log ##建議##掃描指定目錄,然后將感染文件移動到指定目錄,並記錄日志 clamscan -r -i /home --move=/opt/infected -l /var/log/clamscan.log
需要注意的是,二進制包安裝的clamav並沒有配置PATH環境變量,需要手工配置或者進入到clamav的安裝目錄下的bin目錄來使用
