0x42
Форумчанин
- Регистрация
- 05.05.2025
- Сообщения
- 198
- Реакции
- 137
ClamAV — это бесплатный антивирус с открытым исходным кодом, разработанный Cisco. Он работает в Linux/Unix-среде и используется для обнаружения:
- вирусов, троянов и червей;
- вредоносных PHP/JS-инъекций в сайтах;
- backdoor-скриптов;
- вредоносных вложений в архивах, PDF, офисных документах.
Установка ClamAV (Debian / Ubuntu)
Код:
sudo apt update
sudo apt install clamav clamav-daemon clamav-freshclam -yПакеты:
clamav— основной сканер (clamscan);clamav-daemon— ускоренный серверный движок (clamd);clamav-freshclam— утилита для автоматического обновления баз.
Обновление вирусных баз (важно)
ClamAV использует отдельную программу
freshclam, которая обновляет базы из Интернета.
Способ 1: Автоматически через службу freshclam (Обновление раз в час)
Код:
sudo systemctl enable clamav-freshclam
sudo systemctl start clamav-freshclam
Способ 2: Через cron (ручное управление)
Если ты хочешь сам контролировать расписание обновлений, отключи службу auto-update:
Код:
sudo systemctl stop clamav-freshclam
sudo systemctl disable clamav-freshclamИ добавь в
crontab (пример: каждый день в 01:30):
Код:
30 1 * * * /usr/bin/freshclam
Проблемы с обновлением баз в РФ
Сервера ClamAV недоступны в РФ.
Поэтому если у тебя сервер в РФ, нужно сделать следующее:
Вот от куда можно скачать базы ClamAV в РФ (Обновление раз в час):
Зеркало обнавлений антивирусных баз ClamAV на территории России
Обновление антивирусных баз ClamAV, российское зеркало
clamav-mirror.ru
Т.е. нужно прописать следующее:
Для автоматического обновления следует добавить в конфигурационный файл /etc/clamav/freshclam.conf строки:
Код:
PrivateMirror https://clamav-mirror.ru/
PrivateMirror https://mirror.truenetwork.ru/clamav/
PrivateMirror http://mirror.truenetwork.ru/clamav/
ScriptedUpdates noУдаляем старый файлы с данными об обновлении баз:
Код:
sudo rm /var/lib/clamav/freshclam.dat3. Протестируй:
Код:
sudo freshclam -v
Проверка вручную
Проверка каталога целиком:
Код:
clamscan -r --remove=yes --detect-pua=yes --scan-archive=yes /var/www/your_siteТолько новые/изменённые файлы (за 7 дней):
Код:
find -- "$SCAN_DIR" -type f -mtime -7 -exec \
clamscan --remove=yes --detect-pua=yes --scan-archive=yes -- {} + >> "$LOG_FILE"Можно добавить опции, защита от зип бомб и т.д.
--max-filesize=5M --max-scansize=25M --max-recursion=16
Автоматическая проверка по расписанию
Создай скрипт
/usr/local/bin/clamav_scan.sh:
Bash:
#!/bin/bash
SCAN_DIR="/var/www/your_site"
LOG_FILE="/var/log/clamav/site_scan.log"
> "$LOG_FILE"
find -- "$SCAN_DIR" -type f -mtime -7 -exec \
clamscan --remove=yes --detect-pua=yes --scan-archive=yes --max-filesize=5M --max-scansize=25M --max-recursion=16 -- {} + >> "$LOG_FILE"Сделай исполняемым:
Код:
chmod +x /usr/local/bin/clamav_scan.shДобавь в
crontab:
Код:
30 2 * * * /usr/local/bin/clamav_scan.shПроверка раз в день.
Логи
- Сканирование:
/var/log/clamav/site_scan.log - Обновление баз:
/var/log/clamav/freshclam.log - Демон:
/var/log/clamav/clamd.log
Рекомендации по безопасности
Открой файл конфигурации
clamd.conf или укажи параметры в командной строке, чтобы ограничить ресурсы и избежать zip-бомб:
Код:
MaxScanSize 100M
MaxFileSize 50M
MaxRecursion 16Также проверь:
Код:
clamscan --version1.0.7, а патченная версия 1.0.7+dfsg-1~deb12u1 (в Debian 12).
Полезные ссылки
- ClamAVNet — официальный сайт
- Introduction - ClamAV Documentation — документация
- Information on source package clamav — патчи и CVE
- Зеркало обнавлений антивирусных баз ClamAV на территории России — российское зеркало баз.
Вывод
ClamAV — это удобный и лёгкий способ обеспечить базовую защиту Linux-сервера и сайтов. Он особенно полезен для:
- Хостеров и владельцев форумов / CMS;
- Проверки загружаемых пользователями файлов;
- Автоматического мониторинга взлома сайта.
Важно регулярно обновлять базы, логировать действия и настраивать расписание проверок.
ClamAV не является "резидентным" антивирусом, но отлично справляется с регулярной аналитикой и обнаружением вредоносного контента.