最近服务器莫名其妙发生一些疑似木马情形,只好寻寻觅觅找到了clamav,以下是实录
1.首先是下载软件包并安装:
#下载页面 http://www.clamav.net/downloads wget -c http://www.clamav.net/downloads/production/clamav-0.99.2.tar.gz tar zxvf clamav-0.99.2.tar.gz cd clamav-0.99.2 ./configure --prefix=/usr/local/clamav make #这个过程时间有点长 make install
2.其他文件(配置文件)和目录(日志及病毒库)的创建
# 创建日志目录 mkdir /usr/local/clamav/logs # 创建病毒库目录 mkdir /usr/local/clamav/updata # 创建并配置clamav主配置文件clamd.conf cp /usr/local/clamav/etc/clamd.conf.sample /usr/local/clamav/etc/clamd.conf vi /usr/local/clamav/etc/clamd.conf
必须修改的几处:
Example注释
LogFile取消注释并修改后面的路径为/usr/local/clamav/logs/clamd.log
PidFile取消注释并修改后面的路径为/usr/local/clamav/updata/clamd.pid
DatabaseDirectory取消注释并修改后面的路径为/usr/local/clamav/updata
上面的2,3,4分别是clamav的扫描日志,程序PID及病毒库路径
#创建并配置clamav的升级配置文件freshclam.conf cp /usr/local/clamav/etc/freshclam.conf.sample /usr/local/clamav/etc/freshclam.conf vi /usr/local/clamav/etc/freshclam.conf
必须修改的几处:
Example注释
DatabaseDirectory取消注释并修改后面的路径为/usr/local/clamav/updata
UpdateLogFile取消注释并修改后面的路径为/usr/local/clamav/logs/freshclam.log
PidFile取消注释并修改后面的路径为/usr/local/clamav/updata/freshclam.pid
上面的2,3,4分别是病毒库路径,更新日志和PID文件路径
3.因为上面指定了各个PID,日志,病毒库等路径,所以下面要创建
groupadd clamav #创建clamav组 useradd -g clamav clamav #创建clamav用户并加入clamav组 touch /usr/local/clamav/logs/freshclam.log chown clamav:clamav /usr/local/clamav/logs/freshclam.log touch /usr/local/clamav/logs/clamd.log chown clamav:clamav /usr/local/clamav/logs/clamd.log chown clamav:clamav /usr/local/clamav/updata
至此,按照配置都完成了。
4.升级一下当前的病毒库(可能网络问题,经常不好使)
/usr/local/clamav/bin/freshclam
使用方法:
#查看参数 /usr/local/clamav/bin/clamscan --help #扫描并清除(清除受影响的文件,比较危险直接删除) /usr/local/clamav/bin/clamscan --remove #递归扫描(扫描当前目录下及其下的所有目录) /usr/local/clamav/bin/clamscan -r #扫描过程中只显示受感染的文件 /usr/local/clamav/bin/clamscan -i #扫描结果导入文件中 /usr/local/clamav/bin/clamscan -l /path/to/log #以上的参数可以互相结合使用
建议做一个定时的升级和扫描任务:(crontab 排除/sys目录)
#### update clamav anti virus databases ### 1 5 * * * /usr/local/clamav/bin/freshclam ### clamav scan anti virus export the result to /tmp/anti.log 0 0 * * * /usr/local/clamav/bin/clamscan -r / -i -l /tmp/anti.log --exclude-dir=/sys
参考资料:http://linuxguest.blog.51cto.com/195664/199632/