ClamAV 是 Linux 相當知名的防毒軟體,參考官網:
安裝的部分在網路上非常多:
CentOS 7
Debian 11 / Ubuntu 20.04
Install ClamAV Antivirus in Debian 11 Bullseye and Ubuntu 20.04 - LinuxStoney
ClamAV is an open-source Antivirus tool available for Linux distributions. It integrates Mail servers to scan attachments received. In addition to scanning
MacOS
How to Install ClamAV
Learn to install and use ClamAV, an open source antivirus software. This tutorial shows how to install it on macOS, Ubuntu, and Windows.
這裡也有 Linode 的教學文章:
Scanning for Vulnerabilities with ClamAV
If you suspect your Linode might be compromised by malware, you can boot into rescue mode and scan your system with ClamAV. Learn more with our guide.
因為自己Mac 是用付費防毒,尚未測試過,不未來如果有需要可以試試看。另外有一款圖形介面的沿伸軟體 ClamTK,介紹如下:
2024-12-15 Update: ClamTK 已經不再更新,最近查到 clamav-desktop 可以參考,不過這套需要再等等,據作者表示 0.4.x 會比較好用。
GitHub - ivangabriele/clamav-desktop: Cross-platform Desktop GUI for ClamAV antivirus.
Cross-platform Desktop GUI for ClamAV antivirus. Contribute to ivangabriele/clamav-desktop development by creating an account on GitHub.
幾點注意事項分享:
- 參考文件,建議 2 GB RAM ,否則掃描時會內存不足崩潰,這意味著如果買最小單位的 VPS 主機(如 Linode Nanode 1 GB 方案),基本上裝不起來的。
- 掃描位置需要特別注意下,不一定是掃描 application 的位置,常見包含 /tmp 和 /opt ,或是 user 權限所及的目錄要掃。萬一是救援狀況下,mont 新的磁碟使用救援的模式,不同 VPS 廠商有不同作法,Linode 參考這裡和這裡。
- 掃描可依照參數匯出文件,也可以直接顯示。因為 sesssion 的問題,可用 screen 之類的套件保持 session,也可以放到 crontab 中定時掃描,定時請參考這裡。
- 記得定時更新病毒庫,參考這裡。
- 有時掃毒是臨時性的,或是手動測試,動作後需要移除,如果是用套件管理的方式安裝,移除也是使用對應移除的指令即可。
- 2024-12-15 Update: 需要注意會用到的資料夾權限(e,g, chown -r clamav:clamav FOLDER_PATH),包含可能會需要使用到 log 檔案、db 檔案的位置。錯誤的話會報錯無法正確執行。
似乎很多人不太有習慣在 linux 上安裝掃毒軟體,一個原因是因為 linux 有較為嚴格的權限管理,通常影響到範圍有限,不過之前有遇過在 VPS 上安裝的 panel 有漏洞,導致整個被全面入侵。我認為通常在 linux 上掃到後門或木馬等惡意軟體的時候,要特別注意會產生惡意軟體的原因,現在比較不常見插旗的攻擊模式,大多都是透過漏洞/弱點建立後門,植入惡意軟體後躲一下,然後塞檔案或是感染其他部位,達到蒐集資料、修改資料、控制流程與詐騙等目的,或是使其成為僵屍網路之一。
所以在資安上需要筆記幾個大方向,權當廢話練習:
- 異常流量、異常行為、亦嘗事件的監控警報
- 資訊安全的衛生教育與習慣,要對 NG 行為有敏感的小心思
- 平時要多注意資安新聞,小心注意 0Day 攻擊
- 重要檔案與資料備援的機制要處理
- 不同網站發現威脅時要做好各自客製的 SOP 。如果能夠多人合作較能減輕壓力,也不容易隱瞞原因
以上。
