clamav

Suite à une infection par un cheval de Troie sur une de mes machines Debian, je me suis mis en quête d’un antivirus tournant sur Linux.

Dans ce tuto, je vais donc vous expliquer comment installer l’antivirus ClamAV sur votre distribution Debian et lancer un scan antiviral.

Choix de l’antivirus :
Malheureusement, les Antivirus sous Debian ne courent pas les rues et il n’y en a pas beaucoup de gratuit.
J’ai donc choisis le plus répandu et le plus fiable : ClamAV

Installation de ClamAV

Avant d’installer l’antivirus, je vous conseille fortement de faire une MAJ complète de votre Debian :

 apt-get update && apt-get upgrade 

L’installation de ClamAV n’est pas compliquée et se fait via les dépôts :

 apt-get install clamav clamav-freshclam 

Une fois installé, on vérifie que les paquets ont bien été installés et sont bien présents :

# dpkg -l | grep -i clam<br />ii clamav 0.97.8+dfsg-1~squeeze1 anti-virus utility for Unix - command-line interface<br />ii clamav-base 0.97.8+dfsg-1~squeeze1 anti-virus utility for Unix - base package<br />ii clamav-daemon 0.97.8+dfsg-1~squeeze1 anti-virus utility for Unix - scanner daemon<br />ii clamav-freshclam 0.97.8+dfsg-1~squeeze1 anti-virus utility for Unix - virus database update utility<br />ii clamav-unofficial-sigs 3.6-1 update script for 3rd-party clamav signatures<br />ii libclamav6 0.97.8+dfsg-1~squeeze1 anti-virus utility for Unix - library 

Logiquement, si l’installation s’est bien passée, un nouvel utilisateur « ClamAV » et un nouveau groupe « ClamAV » ont été créés :

# grep clamav /etc/passwd /etc/group<br />/etc/passwd:clamav:x:105:109::/var/lib/clamav:/bin/false<br />/etc/group:clamav:x:109:

Mise à jour des bases antivirale de ClamAV

Si tout est OK, on passe à la mise à jour des bases antivirales.
Pour lancer les mises à jour, on passe par la commande « freshclam » :

#freshclam

Si vous rencontrez l’erreur ci-dessous, pas de panique, cela veut dire que le processus de mise à jour s’est lancé en mode démon suite à l’installation de l’antivirus.

ERROR: /var/log/clamav/freshclam.log is locked by another process

Pour vérifier que le processus est bien lancé en démon, entrez la commande suivante :

# ps -ef | grep freshclam

Votre Debian devrait vous renvoyer cette ligne :

clamav 1643 1 0 Mar27 ? 00:06:10 /usr/bin/freshclam -d --quiet

Vous avez la possibilité de modifier la périodicité des mises à jours de l’antivirus dans le fichier de config :

vim /etc/clamav/freshclam.conf

La ligne à modifier :

Checks 24

Le nombre correspond aux nombres de mises à jour quotidien. Dans la config de base, 24 fois par jour soit une fois toutes les heures.
Vous pouvez réduire à 5 fois par jour sans aucun soucis :

Checks 5

Lancer manuellement le scan antivirus de ClamAV

La commande à lancer est « clamscan ». Vous avez des options en pagaille mais pour ma part, je n’utilise que les options « infected » et « recursive ».
– L’option « infected » permet d’afficher que les fichiers infectés pendant le scan.
– L’option «  »recursive » permet d’analyser de manière récursives les fichiers.
Pour avoir plus d’infos sur les options possibles, je vous invite à entrer la commande suivante :

#clamscan -h

Pour lancer le scan Antiviral, entrez la commande suivante (avec vos propres options si vous le souhaitez).
Pour l’exemple, je ne scan que le dossier utilisateur (/home).
L’analyse peut être longue en fonction du nombres de fichiers et de la puissance du serveur :

#clamscan -i -r /home

Si des fichiers infectés sont trouvés, vous aurez un retour de ce type :

home/...chris2309/Maildir/new/25976841256.3526.den.aserv.eu,S=11028: Trojan.Downloader.Bredolab-1423 FOUND<br />home/...chris2309/Maildir/new/2534857439.35486.den.aserv.eu,S=3576: Phishing.Heuristics.Email.SpoofedDomain FOUND

Une fois l’analyse terminée, ClamAV vous fera un retour de ce type :

----------- SCAN SUMMARY -----------<br />Known viruses: 3610878<br />Engine version: 0.97.8<br />Scanned directories: 3<br />Scanned files: 3<br />Infected files: 0<br />Data scanned: 0.00 MB<br />Data read: 0.00 MB (ratio 0.00:1)<br />Time: 11.825 sec (0 m 11 s)

A noter que ClamAV ne supprime pas les fichiers infectés. Ca sera donc à vous de le faire.

Configurer un scan automatique de ClamAV

Pour pouvoir mettre en place un scan automatique, il faut le configurer via cron (Cron étant les taches planifiées de votre serveur).

On ouvre le fichier de configuration des crons :

vim /etc/crontab

Pour configurer, par exemple, un scan quotidien à 23H00 sur le home de l’utilisateur toto, ajoutez à la fin du fichier la ligne suivante :

00 23 * * * clamscan -i -r /home/toto

Ce tutoriel sur ClamAV est terminé.

Vous êtes maintenant capable d’installer l’antivirus ClamAV, de faire les mises à jour antivirale et de lancer un scan en manuel et en automatique.

N’hésitez pas à réagir en commentaires de cet article si vous avez des questions ou si vous rencontrez des difficultés.

Enjoy !

[Tuto Geek] Installation et configuration de l’antivirus ClamAV sur Debian

3 thoughts on “[Tuto Geek] Installation et configuration de l’antivirus ClamAV sur Debian

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Lire plus :
Timelaps
[News Geek] Quand Google nous montre l’évolution de notre planète

Google propose un tout nouvel outil nommé Timelapse. Timelapse vous montre l'évolution de notre planète entre 1984 et 2012.

Fermer