이 글은 CentOS 6.6에서 클램 안티바이러스를 설치하는 방법에대해 정리한글입니다.
클램 안티바이러스는 오픈소스로 리눅스 및 윈도우에서 포괄적으로 설치가 가능하며
바이러스의 검사가 가능하나 감염된 파일을 치료해주지는 않습니다. 사용시 이점에 유의해야합니다.
주의 : 이 글을 참고후 설치하여 발생하는 문제점은 작성자 및 스마일서브가 책임을 지지않습니다.
사용 서버 : 가상서버 CentOS 6.6 64 bit
서버 상태 : 초기 셋팅 상태
epel-release 설치
클램 안티바이러스를 설치전 epel-release의 설치를 진행해야합니다.
# yum install epel-release
클램(ClamAV) 안티바이러스 설치
epel-release의 설치가 완료되었다면 클램 안티바이러스를 설치합니다.
# yum install clamav
클램 안티 바이러스 사용
clamscan -r 디렉토리명을 이용해 사용하면 검사가 진행되지만 이런 메세지가 나올수도 있습니다.
안의 내용을 구글 번역등으로 살펴보면 데이터 베이스를 업데이트 하라는 부분을 확인할수있습니다.
이 부분을 해결해 보기위해 업데이트를 진행해보겠습니다.
|
[root@localhost ~]# clamscan -r /etc
LibClamAV Warning: **************************************************
LibClamAV Warning: *** The virus database is older than 7 days! ***
LibClamAV Warning: *** Please update it as soon as possible. ***
LibClamAV Warning: **************************************************
LibClamAV Error: Can’t load /var/lib/clamav/main.cvd: Can’t verify database integrity
LibClamAV Error: cli_loaddbdir(): error loading database /var/lib/clamav/main.cvd
ERROR: Can’t verify database integrity
———– SCAN SUMMARY ———–
Known viruses: 78529
Engine version: 0.99.1
Scanned directories: 0
Scanned files: 0
Infected files: 0
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 0.00:1)
Time: 0.306 sec (0 m 0 s)
|
클램 안티바이러스 데이터베이스 업데이트 (실패 부분)
아래의 명령어를 입력하면 업데이트가 진행됩니다. 우선 첫번째로 실패할 부분을 보여드린것은
저뿐만이 아니라 다른 분도 업데이트 진행시 실패할 가능성이 있을것같아 이부분을 먼저 보여드렸습니다.
데이터베이스 업데이트
# freshclam
이 부분은 아래 문제로 인해 일어날 가능성이 있습니다. 제가 잘못본 부분도 있을수
있기때문에 홈페이지에 있는 원문을 아래에 적어두겠습니다.
1. 방화벽에서 53포트가 차단되어있다.
2. /etc/resolv.conf에 등록된 네임서버가 정상적으로 작동하고 있지않다.
원문 ( https://www.clamav.net/documents/troubleshooting-faq )
|
I get this error when running freshclam: ERROR: Connection with ??? failed . What shall I do?
Either your dns servers are not working or you are blocking port 53/tcp. You should manually check that you can resolve hostnames with: $ host database.clamav.net. If it doesn’t work, check your dns settings in /etc/resolv.conf. If it works, check that you can receive dns answers longer than 512 bytes, e.g. check that your firewall is not blocking packets which originate from port 53/tcp. An easy way to find it out is: $ dig @ns1.clamav.net db.us.big.clamav.net
|
클램 안티바이러스 데이터베이스 업데이트 (성공 부분)
저의 경우 방화벽에서 53번 포트가 차단되어있지않았고 등록된 네임서버도 따로 문제가 있는편은 아니었습니다.
시간적 여유를 두고 2~3번 freshclam을 진행하니 정상적으로 업데이트가 진행된 부분을 확인할수 있었습니다.
데이터베이스 업데이트
# freshclam
바이러스 검사
clamscan -r /디렉토리 명령어를 이용해서 검사가 정상적으로 진행된점을 확인할수있습니다.
간략한 사용 방법은 아래와 같습니다.
디렉토리를 정한 후 그 디렉토리를 검사
# clamscan -r /디렉토리명
디렉토리를 검사후 검사 내용을 로그파일로 생성 (로그 파일 이름은 원하는걸로)
# clamscan -r /디렉토리명 -l datacheck.log
클램 안티바이러스에 대한 자세한 사용법은 아래를 참고해주시기 바랍니다.
# clamscan -h
|
Clam AntiVirus Scanner 0.99.1
By The ClamAV Team: http://www.clamav.net/about.html#credits
(C) 2007-2015 Cisco Systems, Inc.
–help -h Print this help screen
–version -V Print version number
–verbose -v Be verbose
–archive-verbose -a Show filenames inside scanned archives
–debug Enable libclamav’s debug messages
–quiet Only output error messages
–stdout Write to stdout instead of stderr
–no-summary Disable summary at end of scanning
–infected -i Only print infected files
–suppress-ok-results -o Skip printing OK files
–bell Sound bell on virus detection
–tempdir=DIRECTORY Create temporary files in DIRECTORY
–leave-temps[=yes/no(*)] Do not remove temporary files
–database=FILE/DIR -d FILE/DIR Load virus database from FILE or load
all supported db files from DIR
–official-db-only[=yes/no(*)] Only load official signatures
–log=FILE -l FILE Save scan report to FILE
–recursive[=yes/no(*)] -r Scan subdirectories recursively
–allmatch[=yes/no(*)] -z Continue scanning within file after finding a match
–cross-fs[=yes(*)/no] Scan files and directories on other filesystems
–follow-dir-symlinks[=0/1(*)/2] Follow directory symlinks (0 = never, 1 = direct, 2 = always)
–follow-file-symlinks[=0/1(*)/2] Follow file symlinks (0 = never, 1 = direct, 2 = always)
–file-list=FILE -f FILE Scan files from FILE
–remove[=yes/no(*)] Remove infected files. Be careful!
–move=DIRECTORY Move infected files into DIRECTORY
–copy=DIRECTORY Copy infected files into DIRECTORY
–exclude=REGEX Don’t scan file names matching REGEX
–exclude-dir=REGEX Don’t scan directories matching REGEX
–include=REGEX Only scan file names matching REGEX
–include-dir=REGEX Only scan directories matching REGEX
–bytecode[=yes(*)/no] Load bytecode from the database
–bytecode-unsigned[=yes/no(*)] Load unsigned bytecode
–bytecode-timeout=N Set bytecode timeout (in milliseconds)
–statistics[=none(*)/bytecode/pcre] Collect and print execution statistics
–detect-pua[=yes/no(*)] Detect Possibly Unwanted Applications
–exclude-pua=CAT Skip PUA sigs of category CAT
–include-pua=CAT Load PUA sigs of category CAT
–detect-structured[=yes/no(*)] Detect structured data (SSN, Credit Card)
–structured-ssn-format=X SSN format (0=normal,1=stripped,2=both)
–structured-ssn-count=N Min SSN count to generate a detect
–structured-cc-count=N Min CC count to generate a detect
–scan-mail[=yes(*)/no] Scan mail files
–phishing-sigs[=yes(*)/no] Signature-based phishing detection
–phishing-scan-urls[=yes(*)/no] URL-based phishing detection
–heuristic-scan-precedence[=yes/no(*)] Stop scanning as soon as a heuristic match is found
–phishing-ssl[=yes/no(*)] Always block SSL mismatches in URLs (phishing module)
–phishing-cloak[=yes/no(*)] Always block cloaked URLs (phishing module)
–partition-intersection[=yes/no(*)] Detect partition intersections in raw disk images using heuristics.
–algorithmic-detection[=yes(*)/no] Algorithmic detection
–scan-pe[=yes(*)/no] Scan PE files
–scan-elf[=yes(*)/no] Scan ELF files
–scan-ole2[=yes(*)/no] Scan OLE2 containers
–scan-pdf[=yes(*)/no] Scan PDF files
–scan-swf[=yes(*)/no] Scan SWF files
–scan-html[=yes(*)/no] Scan HTML files
–scan-xmldocs[=yes(*)/no] Scan xml-based document files
–scan-hwp3[=yes(*)/no] Scan HWP3 files
–scan-archive[=yes(*)/no] Scan archive files (supported by libclamav)
–detect-broken[=yes/no(*)] Try to detect broken executable files
–block-encrypted[=yes/no(*)] Block encrypted archives
–nocerts Disable authenticode certificate chain verification in PE files
–dumpcerts Dump authenticode certificate chain in PE files
–max-filesize=#n Files larger than this will be skipped and assumed clean
–max-scansize=#n The maximum amount of data to scan for each container file (**)
–max-files=#n The maximum number of files to scan for each container file (**)
–max-recursion=#n Maximum archive recursion level for container file (**)
–max-dir-recursion=#n Maximum directory recursion level
–max-embeddedpe=#n Maximum size file to check for embedded PE
–max-htmlnormalize=#n Maximum size of HTML file to normalize
–max-htmlnotags=#n Maximum size of normalized HTML file to scan
–max-scriptnormalize=#n Maximum size of script file to normalize
–max-ziptypercg=#n Maximum size zip to type reanalyze
–max-partitions=#n Maximum number of partitions in disk image to be scanned
–max-iconspe=#n Maximum number of icons in PE file to be scanned
–max-rechwp3=#n Maximum recursive calls to HWP3 parsing function
–pcre-match-limit=#n Maximum calls to the PCRE match function.
–pcre-recmatch-limit=#n Maximum recursive calls to the PCRE match function.
–pcre-max-filesize=#n Maximum size file to perform PCRE subsig matching.
–enable-stats Enable statistical reporting of malware
–disable-pe-stats Disable submission of individual PE sections in stats submissions
–stats-timeout=#n Number of seconds to wait for waiting a response back from the stats server
–stats-host-id=UUID Set the Host ID used when submitting statistical info.
–disable-cache Disable caching and cache checks for hash sums of scanned files.
(*) Default scan settings
(**) Certain files (e.g. documents, archives, etc.) may in turn contain other
files inside. The above options ensure safe processing of this kind of data.
|
