Антивирус clamav что это
ClamAV стоит несколько особняком в компании прочих антивирусных решений. Это свободный продукт распространяемый по лицензии GPL и доступный для всех основных операционных систем. Справедливо возникает вопрос - насколько данный антивирус эффективен? В нашей статье мы постараемся дать ответ на данный вопрос.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Также сразу следует уточнить: ClamAV не является антивирусом для защиты рабочих станций, его основное назначение - работа на почтовых шлюзах, что накладывает определенный отпечаток на характеристики продукта. В тоже время существуют и десктопные версии антивируса и даже коммерческие продукты на его основе.
Но обо всем по порядку. Прежде всего нас интересует эффективность движка ClamAV в средах Windows и Linux. Для этого мы протестировали ClamAV с графической надстройкой в среде Kubuntu 12.10 и ClamWin в среде Windows 8. Для тестирования мы использовали тот же набор вредоносного ПО, который использовали для проверки MSE, что дает возможность дополнительно сравнить результаты. В обоих случаях использовалась последняя на сегодня версия ClamAV - 0.97.6.
Первое, что обращает на себя внимание - это высокая скорость сканирования, пожалуй самая высокая среди известных нам антивирусов. Учитывая то, что основная задача ClamAV - сканирование почтового трафика на шлюзах, становится понятно, что скорость положена во главу угла, возможно даже в ущерб эффективности, что подтверждается результатами.
Linux версия ClamAV определила чуть больше половины из предложенного набора, Windows версия неожиданно показала ощутимо более плохой результат.
Как интерпретировать полученные результаты? Безусловно, хотя бесплатный и открытый ClamAV показал себя гораздо лучше Microsoft Security Essentials, для защиты рабочих станций его эффективности явно недостаточно. Однако никто и не предлагает это делать.
А вот если учесть, что основное использование ClamAV - шлюзы и это первый рубеж антивирусной защиты инфраструктуры, то результат весьма и весьма неплох, с учетом возможности сканирования трафика (и не только почтового) на лету. Действительно, 50% вирусов отсеянные на первом этапе - это в разы меньшее количество вирусных инцидентов в вашей сети. Хотелось бы, конечно, и больше, но что имеем, то имеем. Во всяком случае мы не видим оснований отказываться от ClamAV, как решения для шлюзов, и заменять его на коммерческие решения. Высокая скорость и бесплатность делают ClamAV неплохим выбором для небольших и средних сетей.
Но на этом наш обзор не заканчивается. На официальном сайте ClamAV присутствует ссылка на Immunet 3.0 - коммерческий продукт на основе ClamAV и предназначенный для защиты рабочих станций под управлением Windows. Данный продукт предлагает к использованию три антивирусных движка: ClamAV, TETRA и облачный движок на базе ClamAV, требующий наличия интернет соединения. Существует также бесплатная версия, в которой доступны только ClamAV и облачный движок.
Облачный движок можно сочетать с двумя другими, совместное использование ClamAV и TETRA не рекомендуется. Антивирусный движок в облаке довольно необычный, но вполне ожидаемый шаг, облачные решения предлагают все ведущие антивирусные вендоры. Кроме минуса, в виде обязательного интернет соединения, такой подход несет ряд плюсов: всегда актуальная база, высокая скорость реагирования на новые угрозы.
Мы протестировали каждый движок в отдельности и связки из оффлайн и облачного движков, в итоге были получены следующие результаты:
Облачный движок показал более высокий чем ClamWin результат, но все еще весьма низкий для настольного антивируса, кроме того требование постоянного наличия интернет соединения позволяет использовать данный движок только в качестве дополнительного.
ClamAV показал более высокий результат, но также недостаточный для применения для защиты рабочих станций, в сочетании с облаком получился несколько более высокий результат, но все еще недостаточный для настольного продукта.
Движок TETRA показал гораздо лучшие результаты и подключение облачного движка практически никак не повлияло на результат. Однако резко выросло время сканирования, примерно на уровне коммерческих решений. Общий результат для движка не первого эшелона неплох, однако платить за это деньги? Какой смысл? Немного доплатив (Immunet стоит 20$) можно взять антивирус от ведущих производителей или воспользоваться многочисленными бесплатными решениями.
ClamAV в ходе нашего тестирования показал весьма неоднозначные результаты. С одной стороны высокая скорость при среднем уровне детекта делает его неплохим, с учетом бесплатности, решением для шлюзов, с другой результат явно недостаточен для защиты рабочих станций и Immunet 3.0 это прекрасно продемонстрировал. Поэтому мы не рекомендуем использовать ClamAV для защиты пользовательских ПК, в тоже время не видим причин отказываться от него на шлюзах и Linux-серверах в качестве первого рубежа антивирусной защиты.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
5. Chkrootkit
Из названия этого антивируса, Chkrootkit, можно предположить, что он работает с правами root-пользователя. И на самом деле — так оно и есть. Это, честно говоря, наиболее удачное решение для поиска руткитов на Linux.
Программа занимает мало места и не требует установки. Её можно записать на CD или на USB-диск. Пакет Chkrootkit содержит множество модулей, способных удовлетворить нуждам самого взыскательного пользователя.
▍Особенности Comodo
- Бесплатность.
- Простота установки и использования.
- Сканирование по требованию, отсутствие ложных срабатываний.
- Защита в реальном времени.
- Защита от спама.
- Кроссплатформенность.
- Поддержка серверных дистрибутивов Linux.
▍Особенности Sophos
- Бесплатность.
- Поддержка графического интерфейса и командной строки.
- Обнаружение и удаление вредоносного ПО.
- Подходит для защиты от червей, троянских программ, вирусов и от другого вредоносного ПО.
- Занимает мало места, лёгок в установке и использовании.
- Кроссплатформенность.
- Позволяет блокировать и устранять угрозы не только в Linux.
▍Особенности ClamTK
- Открытый исходный код.
- Бесплатность.
- Графический интерфейс.
- Поддержка сканирования по требованию.
- Не требует установки
Сравнение качества лечения
С детектированием мы разобрались. Выясним насколько полно антивирусы определяют фрагмент вредоносного кода в файле. Это важно для организации лечения. Будет не очень хорошо, если при удалении найденного антивирусом фрагмента кода файл вдруг станет нерабочим, а как следствие, часто и сам сайт перестанет функционировать. Конечно, существуют целые вредоносные файлы, но сейчас мы рассматриваем случаи, когда вредоносный код внедрен в хороший файл и удалять все его содержимое целиком нельзя.
Разберем этот параметр на примере вредоносного кода, который детектировали сравниваемые антивирусы. В нашем примере код имел такое содержание:
LMD определяет его как вредоносный по вхождению такого участка кода:
Сам по себе этот участок кода вряд ли можно назвать вредоносным и он вполне может встретиться в нормальных скриптах.
Manul определяет его как вредоносный по вхождению такого участка:
Как мы уже писали, Manul много чего считает опасным. Использование множества встроенных PHP функций присутствует почти в каждом скрипте и поднимать тревогу только по этому поводу нет смысла, это только затрудняет анализ отчетов по сканированиям.
ClamAV не нашел в этом коде ничего.
Вирусдай смог найти этот код целиком. Соответственно этот код может быть безопасно удален из файла, чего нельзя сказать о других антивирусах.
Возьмем другой пример с кодом примерно такого содержания:
Его нашли все 4 антивируса.
LMD нашел такой участок:
Сомнительно, но имеет право на жизнь.
Хорошо, но ClamAV ищет этот код по точному вхождению. Он не сможет найти этот код при малейшем его изменении при повторном заражении. Но эта разновидность вируса редко встречается именно в таком виде и скорее всего при заражении другого сайта код будет выглядеть несколько иначе.
Manul нашел это:
Тоже хорошо, тем более любая разновидность этого кода им тоже будет найдена, так как поиск производится по достаточно сложному регулярному выражению, охватывающему все разновидности этого кода.
Но ни в одном случае найденный код не может быть вырезан из файла. Вирусдай же определяет весь этот код от начала до конца как вредоносный и может безболезненно его вырезать при лечении. Вообще лечение файлов (имеется в виду не удаление файла, а именно вырезание вредоносного участка из файла) недоступно во всех этих антивирусах. Вирусдай тоже может вылечить не все, но многое.
Вы можете подумать, что мы специально могли взять такие примеры вирусов, которые не лечатся другими антивирусами. Это не так. Мы просто постарались выбрать примеры, наиболее наглядно показывающие разницу качества лечения. В принципе почти любой пример, который мы могли бы взять, показывал бы то же самое, но не так наглядно. Мы анализировали антивирусные базы всех антивирусов, и почти все сигнатуры в этих базах детектируют отдельные мелкие участки кода, не охватывая тело вируса целиком.
2. Comodo
Антивирус Comodo также можно считать одним из лучших. Он хорошо известен благодаря отличной поддержке разных архитектур и кроссплатформенности. Кроме того, он умеет сканировать электронную почту, такая возможность в других программах встречается нечасто. Comodo для Windows, кроме того, содержит модуль файрвола, работающий на 32 и 64-битных архитектурах. Антивирус Comodo для Linux поддерживает практически все дистрибутивы, поэтому он весьма широко распространён среди пользователей Linux. Ещё одна замечательная возможность Comodo заключается в том, что этот антивирус может работать и на сервере, например, на Red Hat Enterprise Linux Server, OpenSUSE, и SUSE Linux Enterprise Server.
Установка и запуск ClamAV
Загрузите последнюю версию ClamAV и установите антивирус.
Затем, откройте командную строку в режиме администратора. В Windows 8.1 или Windows 10 вы можете нажать Win-X и выбрать “Командная строка (администратор)”. В Windows 7 наберите в поиске меню Пуск “cmd”, кликните правой кнопкой мыши по “cmd.exe” и выберите пункт “Запустить от имени администратора”. Затем нужно перейти по пути расположения файлов ClamAV. Для этого используйте команду “cd” и укажите путь к файлам:
cd "C:\Program Files\ClamAV-x64\" для ClamAV 64-bit
cd "C:\Program Files (x86)\ClamAV\" для ClamAV 32-bit
Почти беспристрастное сравнение антивирусов LMD, Manul, ClamAV и Вирусдай.
За последний год ряды антивирусов, которые борются с заражением веб-сайтов, пополнились несколькими новыми представителями. Теперь выбор веб-мастера или владельца сайта становится сложнее. Еще год или два назад выбирать было не из чего.
Разборы отдельных случаев применения антивирусов уже публиковались на Хабре. Однако, сколько-нибудь общее и полноценное сравнение никто не делал. Чтобы помочь понять разницу между антивирусными продуктами для борьбы с вирусами на серверах и сайтах мы сегодня сравним по полноте и точности антивирусные базы четырех антивирусов. Сделать постараемся это корректно и беспристрастно.
Вместо вывода
ClamAV не умеет лечить. LMD, ClamAV и Манул — бесплатные серверные утилиты, а Вирусдай — платный SaaS с поддержкой и фаерволом. Обсуждать функциональность и удобство использования каждого антивируса мы в данной статье не будем, поскольку отличий у них множество, а ограничимся только сравнением антивирусных баз. Сухая статистика говорит лучше обилия пустых слов. Да и кроме того, каждый волен выбирать себе инструмент по душе и по потребностям.
Операционные системы — это очень сложные конструкции, в которых находится место для ошибок, проблем и других нежелательных явлений. Особые опасения вызывают искусственно созданные «явления», которые мы называем вирусами, троянскими конями, сетевыми червями и шпионскими программами. Операционные системы семейства Linux считаются неплохо защищёнными от подобного рода проблем, но вероятность их возникновения далеко не нулевая. Для защиты от вредоносного ПО специалисты по безопасности разрабатывают программы, которые обычно называют антивирусами.
Сегодня мы рассмотрим десять лучших антивирусов для Linux. В Сети можно найти немало рассуждений о «самых лучших антивирусах», но мы полагаем, что доверять стоит не рассуждениям, а фактам. Программы, представленные здесь, отлично показали себя в независимых исследованиях, и именно поэтому они попали в этот обзор.
Пошаговая установка ClamAV на Ubuntu Server
Важно: все команды я вводил под root. Вы можете через sudo – но тогда я не гарантирую что всё будет так же.
Не буду описывать все эксперименты которые я провёл за день, а напишу пошаговую инструкцию – которая на моей системе позволила запустить нормально ClamAV . Плюс некоторые комментарии.
Удаляем все упоминания о старых установках:
apt-get purge clamav clamav-base clamav-daemon clamav-freshclam clamav-milter clamdscan clamassassin
Скачиваем установочный пакет и кидаем в корень диска сервера. Для меня это: clamav-0.104.2.linux.x86_64.deb
Далее устанавливаем программа для установки deb пакетов в Ubuntu – gdebi:
apt-get install gdebi
Устанавливаем ClamAV версии 0.104.2:
Проверяем как установилось:
Версия последняя. Та, что надо.
Далее наc подстерегает очередная проблема. Как я понял (но может я и не прав) эта версия почему-то не включает в себя установку демонов. Вот папка с установленным антивирусом:
Демона тут нету. Можно запустить антивирус из консоли – но как установить демон, я так и не понял.
Вот запросы на проверку служб:
Далее запускаем стандартный установщик:
apt-get install clamav clamav-daemon
Как я понял – установщик установит демонов, а сам ClamAV не установит т.к. есть уже более новая установленная версия.
Проверяем какая версия:
Видим что версия последняя и не затёрлась нашей предыдущей установкой. Изначально эта команда выдавала версию 0.102.1
systemctl status clamav-daemon
systemctl status clamav-freshclam
Clamav-freshclam – есть и запущен. Clamav-daemon – есть и остановлен. Пока по плану.
Пытаемся скачать базы данных:
Видим что ругается на файл конфигов. Идём в папку и смотрим:
Переименовываем файлы в:
clamd.conf
freshclam.conf
Далее открываем их и удаляем слово "Example". Так:
Почему это было не сделать изначально? Остальные настройки я не трогал – все по умолчанию. Всё работает и так. (хотя вру – одну настройку всё же я менял, но о ней позже).
Но вы можете установить настройки согласно вашим системным требованиям.
Новая попытка закачки баз данных:
Забыл отключить демона clamav-freshclam. Тут видно, что идёт конфликт доступа к файлу логов. Можно было бы и более грамотно работать с файлом, без локов.
service clamav-freshclam stop
Аллилуйя! В этот раз всё OK. Базы скачиваются.
Ну теперь clamav-daemon должен запустится (нет)
service clamav-daemon start
systemctl status clamav-daemon
Не запустился. Вроде как не может найти базы данных по пути: /var/lib/clamav
А их там и нету. Поиск показал, что базы находятся тут:
Вот мы и возвращаемся к настроечным файлам. Изначально я открыл файл clamd.conf
И вставил строку:
Но демон clamav-daemon всё рано не искал базы по этому пути.
Затем я в двух файлах:
И уже демон clamav-freshclam – закачал базы по нужному пути /var/lib/clamav
Запускаем и проверяем демон clamav-daemon:
service clamav-daemon stop
service clamav-daemon start
systemctl status clamav-daemon
Ура всё работает! Наконец то финиш (нет)
Я попытался присоединится к демону через дефолтный адрес:
Но ничего не получилось (((
Смотрим что у нас там по портам:
netstat -ntlp | grep LISTEN
Листинг не привожу (конфиденциальность) – но демона нашего там нет. И порт 3310 никто не слушает.
В интернете я нашёл информацию, что эту проблему можно решить с помощью настройки файла конфигурации.
Запускается настройка – суть которой ввести последовательно все значения в файле конфигурации. Всё было нормально пока я не дошёл до параметра:
Тут и далее следующие 3 параметра входили в вечный цикл. Всё перепробовал – вечный цикл и всё тут.
Потом нашёл тут, что да – есть такой баг и его вроде как поправили. Видимо до моей системы эта правка так и не добралась. Решил бросить этот вариант.
Далее я провозился оставшеюся часть дня. Сразу привожу рабочий вариант.
Открываем файл /etc/clamav/clamd.conf
И вставляем в самый верх строки:
TCPSocket 3310
TCPAddr localhost
Далее открываем файл:
И делаем такое содержимое:
[Service]
ExecStartPre=-/bin/mkdir /run/clamav
ExecStartPre=/bin/chown clamav /run/clamav
[Socket]
SocketUser=clamav
ListenStream=3310
Сохраняем всё. Далее команда перезагрузки конфигов:
Запускаем демон. Проверяем порт:
Есть контакт! Неужели на этом всё? В этот раз ДА. Всё заработало. Ну и видео демонстрации работы.
О программе
Что нового
Новое в ClamAV 0.105.0 (04.05.2022)
Системные требования
Полезные ссылки
Подробное описание
ClamAV - антивирусное решение для защиты компьютера и электронной почты от угроз безопасности, которое позволяет обнаруживать более 750 000 вирусов, червей и троянов.
▍Особенности ESET NOD32 Antivirus 4
- Лучшая программа для обнаружения вирусов и других вредоносных программ по результатам испытаний.
- Лучшее средство для защиты от вирусов и шпионского ПО.
- Подходит для домашних пользователей и для организаций.
- Поддержка функций сетевой безопасности.
- Автоматическое обновление.
▍Особенности Avast Core Security
- Антивирусная защита в реальном времени с возможностью обнаружения шпионского ПО.
- Сканирование по запросу и запланированное сканирование.
- Защита сети.
- Подходит для домашних пользователей и для организаций.
- Регулярные обновления.
Итоги
Мы постарались рассказать здесь о лучших антивирусах для Linux, основываясь на различных характеристиках этих программ, таких, как цена, доступность, надёжность и результаты независимых испытаний. Вы могли заметить, что список начинали бесплатные продукты, среди которых любой сможет подобрать подходящий Linux-антивирус. Дальше шли платные программы, имеющие пробные версии, которые показывают очень высокие результаты в тестах. Вполне возможно, что вам приглянётся одна из них. В целом же можно сказать, что любой из рассмотренных здесь антивирусов поможет вам защититься от вредоносного ПО.
Какая ОС лучше? Windows? Linux? Может MacOS? Холивары на эту тему наверно не кончатся никогда и будут бесконечным оазисом контента для различных статей. Множество копий противоборствующих сторон имеют явно эмоциональный окрас, но для технаря важны только факты и рабочие практики применения.
Данная статья это туториал (последний раздел) - как установить текущую на данный момент версию антивируса ClamAV 0.104.2 на Ubuntu Server. И "весёлые" приключения по миру nix* (первые три раздела).
Задача
Немного лирики окончил, приступаю к теме статьи.
Мне поступила достаточно типичная задача – надо проверять антивирусом файлы, которые закачиваются на сервер пользователями.
Конечно – сейчас вирусы такие, что без “нейросетей” и не поймёшь, что этот вирус. Или на диске он зашифрованный и только загрузившись в память может, расшифровав себя, показать гнилое нутро.
Но хоть какую-то защиту антивирус дать может.
Нужен был бесплатный антивирус. Поискав в интернете нашёлся подходящий кандидат ClamAV
Этот антивирус имеет богатую историю. Используется на множестве mail серверов. И поддерживается до сих пор. А также имеет API для индивидуальной проверки файлов. То, что надо.
Для старта был решено запустить систему на Windows.
Как ни странно – почти всё прошло удачно. ClamAV был скачан с официального сайта. Установлен как служба без проблем. Базы данных антивируса загрузились с первого раза.
Небольшие проблемы были в подключении к API.
В NuGet было несколько библиотек для работы с API. В в топе висела nClam. C почти полтора миллионом скачиваний и уже 7-ой версией. В общем внушает доверие.
Скачиваний, правда по сравнению с nClam только 25 тысяч. Но с этой библиотекой всё заработало корректно.
Для теста был скачан файл с сигнатурой вируса от сюда.
ClamAV определял вирус.
Эксперимент завершился полностью успехом – и было решено перенести всё на Ubuntu Server. Ожидалось что это займёт максимум 30 минут. Ага…
Пришлось потратить день. И чтобы другие не тратили столько времени - написан этот туториал.
Сравнение точности детектирования
Давайте разберемся с точностью детектирования угроз каждым антивирусом. Для каждого из пациентов возможны ложные срабатывания и наша задача — определить их долю во множестве обнаруженных файлов каждым из антивирусов в отдельности. Ведь никому не нужен антивирус, который показывает пальцем на хорошие файлы вместо зараженных.
Для анализа точности определения угроз мы будем использовать набор сайтов (W). Разницы между заражениями и подозрениями мы не будем делать из-за того, что подобных функций нет у некоторых антивирусов. Нам придется вручную проверить обнаруженный каждым антивирусом файл на предмет наличия вредоносного кода в нем (мы же боремся за объективность). Такая работа, как вы понимаете, (в случае, если таких файлов много) отнимет много сил и времени. Поэтому мы возьмем набор сайтов W необходимым и достаточным для удовлетворительной точности и сравнительно небольшого времени ручного анализа. W=1500.
Пусть , , , — множества файлов, определенные каждым из антивирусов в отдельности при анализе одного и того же набора сайтов (W).
Точностью определения (A) антивируса будем называть подмножество различных гарантированно содержащих вредоносный код файлов , выявленных им на соответствующем множестве . Т.е. , , , .
Для наглядности будем измерять точность детектирования A в единицах соответствующего . Результаты замеров точности приведены ниже.
В тестах мы не использовали md5 сигнатуры из антивирусных баз ClamAV и LMD. При заражении веб-сайтов вредоносный код почти всегда либо встраивается в существующие файлы, либо видоизменяется от одного заражения к другому. Такой полиморфизм легко реализовать, когда дело касается заражения веб-сайтов. В таком случае эффективность определения угроз по контрольным суммам файлов крайне низка, но при этом она подразумевает вычисление этих сумм для тысяч файлов на сайте, что существенно снижает быстродействие, почти не сказываясь на качестве обнаружения.
10. Avast Core Security
Avast Core Security — это последняя программа, которую мы рассмотрим, однако, это не значит, что она хуже других. Avast Core Security входит в список лучших антивирусов по результатам испытаний. Антивирус поддерживает множество Linux-дистрибутивов, 32-битные и 64-битные программные архитектуры. Помимо традиционной защиты от вирусов, он содержит средства для обеспечения сетевой безопасности и защиты файловых серверов. Продукт это платный, но его пробная версия выглядит весьма достойно даже в сравнении с бесплатными антивирусами, в чём-то даже у них выигрывая.
7. ClamTK
ClamTK — это усовершенствованная версия ClamAV, обладающая простым графическим интерфейсом и предназначенная для широкого круга пользователей. Благодаря наличию графического интерфейса, пользоваться этим антивирусом очень легко, у него есть подсистема для сканирования по требованию. Проект написан на Perl с использованием библиотеки GTK.
▍Особенности ClamAV
- Открытый исходный код.
- Бесплатность.
- Кроссплатформенность (Linux, Windows, MacOS).
- Работает из терминала.
- Поддерживает почтовые службы.
- Совместим с POSIX.
- Не требует установки.
3. ClamAV
Пожалуй это — самый известный в сообществе Linux антивирус. ClamAV — это проект с открытым исходным кодом, пользоваться им можно бесплатно. Он считается многопрофильным антивирусом, который умеет бороться с троянцами, вирусами, другими вредоносными программами. Кроме того, он поддерживает сканирование стандартных почтовых шлюзов. Пользоваться им легко, работает он быстро, так как не имеет графического интерфейса и им управляют из терминала.
Попытка установки ClamAV на Ubuntu Server
Поискав в интернете я нашёл около 2 десятков (было ещё больше) сайтов с информацией как поставить ClamAV на Ubuntu. Инструкция была практически идентичная на всех серверах.
Сперва выполняем стандартную команду обновления:
А потом собственно команду установки антивируса и одновременно установки демона для API:
apt-get install clamav clamav-daemon
Это практически всё. Проще инструкции придумать сложно.
Это команда устанавливает файлы самого антивируса ClamAV. А также 2 демона. Первый clamav-freshclam – для автоматической закачки баз данных. Второй clamav-daemon - API.
Проверяем как установились демоны:
systemctl status clamav-freshclam
Второй демон clamav-daemon – который предоставляет нам API для проверки файлов:
systemctl status clamav-daemon
Почему-то не запущен.
service clamav-daemon start
Не запустился. Ругается что нету баз данных. Но тут всё по плану. Все туториалы говорят, что надо закачать базы данных вручную.
Для этого останавливаем автоматический загрузчик:
service clamav-freshclam stop
Далее одной командой загружаем вручную
Собственно, на этом этапе закончился процесс простой установки ClamAV через туториал.
Как я понял версия в официальном дистрибутиве устарела настолько, что даже не может скачать базы данных. Выше я писал про проблему обновлений в nix мире. Вот как раз прилетело и мне.
Не буду описывать мои поиски как же закачать последнюю версию антивируса, приведу результат.
Есть 2 способа. Первый - настроить Backports. Это путь рекомендуется на официальном сайте ClamAV:
Я не захотел выбирать этот путь что бы не угробить всё окончательно.
Ну и второй вариант – скачать пакет и установить вручную. На официальном сайте есть пакеты для различных систем:
6. Rootkit Hunter
Rootkit Hunter — это ещё одно отличное средство для поиска руткитов. Программа работает из терминала, умеет распознавать руткиты, бэкдоры и другие локальные эксплойты, умеет искать вредоносный код в обычных текстах, а также выполнять проверки системы на предмет наличия характерных признаков вредоносного ПО. Для работы Rootkit Hunter требуется BASH, он поддерживает обширный набор дистрибутивов Linux.
Сравнение полноты определения
Второй важный параметр для антивируса — полнота определения, т.е. количество выявляемых угроз из их полного числа на зараженном сервере или сайте.
Полнота в нашем анализе тесно связана с точностью определения. Мы будем рассматривать для сравнения полноты только точные (не ложные) срабатывания антивирусов.
Возьмем множества точных срабатываний антивирусов из предыдущего теста: , , , — множества точно зараженных файлов, определенные каждым из антивирусов в отдельности при анализе одного и того же набора сайтов (W). Считаем, что — это объединенное множество гарантированно зараженных файлов, выявленных антивирусами на заданном тестовом наборе сайтов W. Другими словами, .
Полнотой определения (F) антивируса будем называть подмножество различных гарантированно зараженных файлов, выявленных им на объединенном множестве файлов . Т.е. , , , .
Будем измерять полноту определения F в единицах . Итак, вот какие данные мы получили при анализе параметра полноты для каждого из антивирусов.
Итак, мы сравнили качество и полноту детектирования заражений. Теперь приведем сводные данные в одной таблице.
Полнота определения F, % | Точность определения A, % | |
LMD | 11,86% | 60,52% |
Вирусдай | 78,87% | 92,72% |
Манул | 47,42% | 2,53% |
ClamAV | 9,28% | 69,23% |
При ручной проверке файлов, определенных антивирусами как зараженные, мы выявили несколько интересных фактов, о которых хотелось бы упомянуть отдельно. Начнем с количества файлов, обнаруженных каждым антивирусом. Manul нашел зараженные или подозрительные файлы почти на каждом проверяемом сайте. Мы были сильно удивлены, когда посчитали, что доля детектированных им файлов составила 98% от общего количества файлов, детектированных всеми антивирусами.
Беда в том, что, как видно из второй диаграммы, только 2.5% этих файлов действительно были заражены. Остальные — ложные срабатывания. Хотя полнота определения у него достаточно высока, такое количество ложных срабатываний сильно затрудняет дальнейший ручной анализ и лечение. Анализируя саму антивирусную базу Manul мы выяснили, что он записывает в «подозрения» достаточно большое количество часто встречающихся безопасных фрагментов кода. Например, как подозрения определяются следующие вхождения: file_put_contents , @file_get_contents , move_uploaded_file , ini_set , error_reporting , phpinfo , extract , @include , mail , touch , chdir , copy , create_function и тп. Отсюда следует, что весьма сложно написать сколь нибудь серьезный PHP скрипт, в котором Manul не найдет подозрений.
Отчасти это касается и ClamAV. Он, к примеру, ищет вхождения некоторых простых английских слов и тоже определяет их как заражения. LMD очень часто по неизвестной причине находит вирусы в библиотеке zip.lib.php, встречающейся на многих сайтах. Конкретно определяется как заражение такой участок кода:
Причины этого неизвестны. И таких примеров можно найти еще достаточно много. Вирусдай тоже не безгрешен. Бывает так, что он находит подозрительный (например, обфусцированный) код в файле, который не является вредоносным. Обфускация может применяться и для защиты программ, а не только для сокрытия вредоносных кодов. Но не смотря на это, его полнота определения превосходит остальные веб-антивирусы.
Наше сравнение, как написано в начале статьи, все же является «почти беспристрастным» по нескольким причинам. Мы проводили тесты на веб-сайтах, то есть искали вирусы только в веб-скриптах. В связи с этим мы не обрабатывали md5 сигнатуры (по описанным выше причинам). Так же ClamAV все же более универсальное средство поиска угроз, рассчитанное не только на веб-сайты.
4. F-PROT
F-PROT — это хорошо известный антивирус для Linux. Его можно использовать как для домашних нужд, так и в организациях. Он поддерживает 32-битные и 64-битные программные архитектуры. Он умеет обнаруживать более 2119958 известных вирусов, а также — их разновидности. С его помощью можно бороться и с троянскими программами и даже с загрузочными вирусами. Этот антивирус не требует установки, он умеет выполнять сканирование по расписанию с использованием заданий cron.
1. Sophos
По результатам исследований, Sophos можно признать одним из лучших бесплатных антивирусов для Linux. Он не только поддерживает сканирование по запросу, но и обеспечивает защиту системы в реальном времени. Существуют разные варианты этого антивируса, помимо Linux, он может использоваться и на других платформах, например, на Windows и Android. Он способен обнаруживать и удалять червей и троянцев. Если вы любите покопаться в командной строке, он предоставляет соответствующий интерфейс.
▍Особенности Rootkit Hunter
- Обнаружение руткитов.
- Поддержка интерфейса командной строки.
- Лёгок в использовании и быстро работает.
- Поддерживает сканирование текстовых файлов.
- Не требует установки.
▍Особенности F-PROT
- Бесплатность.
- Не требует установки.
- Умеет детектировать более 21 миллиона угроз.
- Поддерживает различных программные архитектуры.
- Умеет проверять внешние носители информации.
- При сканировании может выявлять загрузочные вирусы, макровирусы и троянские программы.
8. BitDefender
Вполне возможно, что BitDefender может стать вашим следующим антивирусом. Он отлично справляется со своими обязанностями. Есть, правда, одно «но» — программа это не бесплатная, для загрузки доступна пробная версия. Однако, это не умаляет достоинств данного антивируса.
▍Особенности Chkrootkit
- Обнаружение руткитов.
- Малый размер.
- Не требует установки.
- Лёгок в использовании и быстро работает.
- Запускается из терминала.
- Имеет богатые возможности.
Обзор ClamAV
Интернет является бесконечным источником информации, но также включает большое количество рисков безопасности, которые могут быть помещены на компьютер без вашего контроля. Таким образом, очень важно иметь на компьютере установленный антивирус и регулярно обновлять его.
ClamAV является одним из программных решений для поддержания безопасности ваших данных и предотвращения доступа к файлам со стороны вирусов. Продукт оптимизирован для почтовых серверов, что характеризует его направленность скорее на администраторов сети, чем на рядовых пользователей.
Программный пакет включает несколько инструментов командной строки, которые разработаны для выполнения многопоточного сканирования, сканирования по требованию и обновления базы данных антивирусных сигнатур. Антивирус не имеет графического интерфейса, изменить настройки движка можно с помощью редактирования конфигурационных файлов.
Хотя установщик не включает файлы справки и руководства, Вы можете получить доступ к онлайн базе знаний на сайте разработчиков. ClamAV является проектом с открытым исходным кодом, а значит Вы можете поучаствовать в его разработке или поделиться собственным мнением в крупном сообществе пользователей.
Если Вам нужен легкий антивирусный сканер для электронной почты, ClamAV является одним из доступных решений. Тем не менее, следует протестировать уровень обнаружения продукта в конкретных условиях, чтобы выбрать наилучший продукт для ваших нужд.
Вступление
Отходя от темы и если говорить в целом о экосистеме nix*, то за годы практики у меня сложилась мнение. Если ты настроил машину, при этом пропотев n-ное количество часов, то такая машина будет работать безотказно, годами. До следующего обновления…
Мне кажется, nix* системы вряд ли станут популярными в обывательском секторе, потому что имеют одну убийственную “архитектурную” особенность.
Бесконечное постоянное обновление софта без обратной совместимости.
Казалось бы, постоянно новое – это хорошо. Но это монета с двумя сторонами. И тёмная сторона, к сожалению, как раз обращена к новичкам, да и midl пользователям - ничего толком не “работает из коробки”.
У меня много подобных историй, жалко, что я их не документировал в туториалы. Помню, как вроде на 18 Ubuntu Server надо было сделать софтовый RAID. И как я вступал в ступор на окнах настройки который вели в никуда. Сам дистрибутив был скачан с официального сайта как самый "надёжный" и "правильный". Действовал по всем правилам, из инструкций из интернета, которые были все одинаковые на всех сайтах. Везде было сказано – делай так и всё будет работать. А у меня все настроечные окна были – но сам RAID не создавался.
И только после нескольких дней страданий выяснилось – что в казалось бы “официальной версии” просто вырезали часть, которая отвечала за окончание настройки RAID – при этом оставили начальные окна настройки. Неофициальная версия – помогла.
9. ESET NOD32 Antivirus 4
В испытаниях ESET занимает верхнюю строчку рейтингов и признан лучшим антивирусом для Linux. Однако, продукт это платный, бесплатно его можно лишь попробовать. Правда, возможности этого антивируса позволяют говорить о том, что он стоит тех денег, что за него просят. Можно сказать, что это — лучший антивирус для Linux, существуют его версии и для других ОС.
▍Особенности BitDefender
- Сканирование архивов.
- Интеграция с окружением рабочего стола.
- Интуитивно понятный графический интерфейс и возможность работать из командной строки.
- Отправка заражённых файлов на карантин в защищённую директорию.
Читайте также: