Linux 病毒扫描工具 ClamAV 使用

功能

官网：https://www.clamav.net

ClamAV（Clam AntiVirus）是一款备受推崇的开源病毒防护软件，它在网络安全的战场上扮演着重要角色。该工具的核心能力涵盖了病毒筛查、恶意软件侦测以及为电子邮件网关提供安全屏障。

• ClamAV的核心架构包含以下几部分：
  • clamscan：一款命令行扫描工具，用于对文件和目录进行病毒检查。
  • freshclam：病毒数据库自动更新工具，确保病毒特征的时效性。
  • clamd：一款多线程的后台服务程序，实现高效的文件扫描任务。
  • 开源属性：ClamAV完全开源且免费，使其在成本敏感的环境中极具吸引力。
  • 跨平台兼容性：ClamAV支持多操作系统，适应性强。
  • 扫描效率：clamd服务采用多线程技术，大幅提升扫描效率。
  • 自动更新机制：通过freshclam工具，ClamAV能够实时更新病毒数据库。

安装

包管理器安装

安装依赖

yum install gcc openssl openssl-devel -y

yum install epel-release
yum install clamav clamav-update

手动安装RPM/DEB包

从官网下载对应版本（以0.104.2为例）：

# RPM包（CentOS/Amazon Linux）
wget https://www.clamav.net/downloads/production/clamav-0.104.2.linux.x86_64.rpm
sudo rpm -ivh --prefix=/usr/local/clamav clamav-0.104.2.linux.x86_64.rpm

# DEB包（Ubuntu）
wget https://www.clamav.net/downloads/production/clamav-0.104.2.linux.x86_64.deb
sudo dpkg -i clamav-0.104.2.linux.x86_64.deb

配置用户与目录

groupadd clamav
useradd -g clamav -s /bin/false clamav  # 创建专用用户[[1][4]]
mkdir -p /usr/local/clamav/{logs,update}  # 日志和病毒库目录
chown -R clamav:clamav /usr/local/clamav/  # 权限设置

更新病毒库

freshclam  # 自动更新（可能因网络较慢）
# 或手动下载病毒库文件（推荐国内用户）：
wget http://db.cn.clamav.net/daily.cvd
wget http://db.cn.clamav.net/main.cvd
cp *.cvd /usr/local/clamav/update/

基本使用命令

扫描文件/目录

clamscan [路径]                 # 扫描指定路径
clamscan -r /home              # 递归扫描整个目录
clamscan -i /var/www           # 仅显示感染文件
clamscan -r --remove /opt      # 自动删除感染文件[[1][3]]

常用参数

高级配置

实时监控（clamd服务）

systemctl start clamav-daemon  # 启动守护进程
systemctl enable clamav-daemon  # 开机自启

定时自动扫描

crontab -e
# 添加以下内容（示例：每天凌晨3点扫描/home目录）：
0 3 * * * /usr/bin/clamscan -r /home -l /var/log/clamav/daily_scan.log

常见问题解决

病毒库更新失败

• 检查网络连接
• 手动下载病毒库文件

wget http://db.cn.clamav.net/daily.cvd
wget http://db.cn.clamav.net/main.cvd
cp *.cvd /usr/local/clamav/update/

• 查看日志：

tail -f /var/log/clamav/freshclam.log 3

权限错误

确保病毒库目录权限：

sudo chown -R clamav:clamav /usr/local/clamav

扫描速度慢

• 排除大文件目录（如–exclude=/media）
• 限制线程数：clamscan -r --threads=2