Khi Server bị nhiễm virus/trojan/malware bởi các thành phần như source website, mã nguồn chương trình lạ,… thì làm sao để phát hiện và xử lý chúng? Sau đây hãy cùng khotenmien.vn tìm hiểu bài viết dưới đây để hiểu hơn về ClamAV là gì? Cách phát hiện virus và xử lý chúng 1 cách dễ dàng và nhanh chóng nhất!
ClamAV là gì?
ClamAV là từ viết tắt của tên gọi Clam Antivirus được phát triển bởi Tập đoàn chuyên về công nghệ thông tin và kết nối mạng internet hệ thống Cisco (Cisco Systems). Clam Antivirus là một bộ công cụ không mất lệ phí, hỗ trợ đa nền tảng và cùng với hệ thống mở có thể phát hiện được nhiều phần mềm, mã nguồn độc hại trong số đó gồm có cả virus.
Ứng dụng này được phát triển trên cả Email, một trong những phần mềm chính của nó là trên cácmáy chủ Mail như một trình quét virus Email phía máy chủ.
Ứng dụng này được phát triển dành cho Unix và có các phiên bản dành cho bên thứ ba có sẵn cho AIX, BSD, Linux, MacOS, OpenVMS, OSF(Trust 64) & Solaris. Kể từ phiên bản 0.97.5, Clam Antivirus được xây dựng và chạy trên Microsoft Windows. toàn bộ các phiên bản của Clam Antivirus được cung cấp và dùng không mất lệ phí.

Tính năng của ứng dụng Clam Antivirus
Clam Antivirus bao gồm một vài tiện ích: Một máy quét dòng lệnh, cập nhật cơ sở dữ liệu tự động và một khả năng mở rộng đa luồng Daemon , chạy trên một engine chống virus từ một thư viện chia sẻ.
Một vài định dạng Clam Antivirus hỗ trợ chính như: Zip (including SFX) file Zip (bao gồm cả SFX), Zip (including SFX) tệp tin Zip (bao gồm cả SFX), 7Zip, ARJ (bao gồm cả SFX), Tar, CPIO, Gzip, Bzip2, MS OLE2, MS CHM (Compiled HTML), MS SZDD định dạng nén, BinHex, SIS( gói SymbianOS), Autolt.
Clam Antivirus cũng hỗ trợ nhiều định dạng tài liệu bao gồm Microsoft Office, HTML, RTF( Rich Text Format), PDF (Portable Document Format), Mã hóa tập tin với CryptFF & ScrEnc, Uuencode, TNEF (winmail.dat). Cơ sở dữ liệu của phần mềm được cập nhật liên tục trong ngày, thời gian hàng ngày là bốn giờ một lần.

Cách cấu hình ClamAV dễ dàng
1. Cài đặt ClamAV trên Linux
Có hai hình thức để cài đặt chương trình ClamAV trên Linux là :
- Thiết lập từ Repository của OS
- Biên dịch mã nguồn source ClamAV
1.1 Cài đặt ClamAV từ Repository CentOS hoặc Ubuntu
Bạn có thể tiến hành thiết lập ClamAV thông qua chương trình ‘yum‘ trên CentOS/RHEL hoặc ‘apt-get‘ trên Debian/Ubuntu.
+ Centos/RHEL
# yum install -y clamav clamd
#yum install -y clamav-server clamav-server-systemd clamav-scanner-systemd clamav-data clamav-update clamav-filesystem clamav clamav-devel clamav-lib
+ Debian/Ubuntu
# apt-get install -y clamav clamav-daemon
# clamscan --version
2. Khởi động dịch vụ ClamAV
Bình thường ClamAV chỉ sử dụng cho hoạt động quét bình thường. mặc dù vậy khi kích hoạt cơ chế dịch vụ, ClamAV sẽ được load lên RAM và các dịch vụ khác có thể truy xuất port dịch vụ ClamAV để dùng tính năng quét virus cho nhanh.
Dịch vụ ClamAV (clamd hoặc clam-daemon), hay được dùng trong các hoạt động nâng cao như quét virus trong các Email incomming. Vậy ta có cần khởi động dịch vụ này không? Câu trả lời là không, nếu như bạn không xài tính năng nâng cao kết hợp.
+ Init system (CentOS/RHEL 6 Ubuntu 14.04)
# /etc/init.d/clamd start
# chkconfig clamd on
+ Systemd system (CentOS/RHEL 7 Ubuntu 16.04
# systemctl start clamd
# systemctl enable clamd
3. Cập nhật các cơ sở dữ liệu mẫu Virus
Như đã chỉ rõ ở đầu bài, thì bạn cần thường xuyên cập nhập CSDL chứa các mẫu nhận diện virus/malware thì ClamAV mới có thể quét phát hiện chúng.
# freshclam
Các file CSDL cập nhập sẽ được lưu tại:
/var/lib/clamav/daily.cvd
/var/lib/clamav/main.cvd
4. Tiến hành sử dụng ClamAV Scan Virus
‘Clamscan’ là chương trình binary chính của ClamAV được dùng để quét mã độc. Để coi các option dùng của ‘clamscan‘ bạn hãy sử dụng option ‘–help‘.
# clamscan --help
ClamAV có thể scan một hay nhiều file chỉ định hoặc scan cả một thư mục quy định.
# clamscan eicar
# clamscan --recursive=yes --infected --exclude-dir='^/etc' /
#clamscan -r <đường dẫn các bạn mong muốn quyét>
Chú thích:
- –infected hoặc -i: chỉ in output các tệp bị cho là nhiễm mã độc.
- –recursive hoặc -r: scan cả các Folder hay tệp phía trong thư mục cha.
- –remove=[yes/no]: xoá luôn các tệp tin bị nghi nhiềm mã độc tìm thấy.
- –no-summary: không in ra nội dung tổng kết.
- –log=/file.log: ghi log scan vào tệp tin cụ thể.
- –mv=/path: di chuyển toàn bộ tệp tin bị nghi là nhiễm mã độc đến Folder khác.
5. Tải xuống một mẫu thử Virus
Đây chính là một mẫu thử chỉ chứa dấu hiệu (signature) phổ biến không hiện hữu mã độc nào hết.
wget -O- http://www.eicar.org/download/eicar.com.txt | clamscan -stdin: Eicar-Test-Signature FOUND
- clamscan –: tức là bạn có thể scan một stream lấy output trước đây làm input mẫu sẽ scan.
Các bạn có thể viết một shell script để tự động quét virus vào một thời điểm cụ thể nào đấy trong ngày bằng dịch vụ “cron” .
6. Cấu hình cronjobs ClamAV
Để thực thi cấu hình cho hệ thống quét malware theo thời gian định kì cronjob thì ta làm như sau:
# crontab -e00 * * * clamscan --recursive=yes --infected /home/
Với nội dung cấu hình cronjob trên thì cứ mỗi ngày vào lúc 00 giờ sáng, chương trình ClamAV sẽ tiến hành quét malware, trojan ở thư mục /home/.
Tổng kết
Trên đây là bài viết tồng hợp về ClamAV là gì? Và cách cấu hình ClamAV dễ dàng nhất. Nếu như trong quá trình tham khảo mà bạn có bất cứ thắc mắc nào thì đừng ngại để lại phía bên dưới bài viết một comment để cùng mình giải đáp nhé!
Xem thêm : Cách tạo file SVG từ PNG hoặc JPG trong photoshop dễ dàng
Thanh Xuân – Tổng hợp, bổ sung