π‘οΈ ClamAV β Guida Completa
ClamAV Clam AntiVirus Γ¨ un motore antivirus open-source progettato per rilevare trojan, virus, malware, rootkit e altre minacce. Γ spesso utilizzato in mail gateway, server, ambienti forensi o per eff
π‘οΈ ClamAV β Guida Completa
π CosβΓ¨ ClamAV?
ClamAV (Clam AntiVirus) Γ¨ un motore antivirus open-source progettato per rilevare trojan, virus, malware, rootkit e altre minacce. Γ spesso utilizzato in mail gateway, server, ambienti forensi o per effettuare scan manuali o programmati.
π§ Installazione
πΉ Debian/Ubuntu
sudo apt update
sudo apt install clamav clamav-daemon -yπΉ RHEL/CentOS
sudo yum install epel-release -y
sudo yum install clamav clamav-update -yπΉ Arch Linux
sudo pacman -S clamavπ Aggiornamento delle definizioni
ClamAV utilizza il tool freshclam per aggiornare il database delle firme antivirus.
Esecuzione manuale:
sudo freshclamVerifica dello stato:
sudo cat /var/log/clamav/freshclam.logπ NB: assicurati che la directory /var/lib/clamav sia scrivibile da clamav e che freshclam non sia in esecuzione in background se lanciato manualmente.
βοΈ Scansione con clamscan (versione CLI)
π Scansione di una directory:
clamscan -r /percorso/da/scansionareπ Esempi di opzioni utili:
| Opzione | Descrizione |
-r | Scansione ricorsiva |
--bell | Suona alla fine della scansione |
--remove | Rimuove i file infetti |
--move=/tmp/malware | Sposta i file infetti |
-i | Mostra solo i file infetti |
-l log.txt | Logga l'output in un file |
Esempio completo:
clamscan -r -i --move=/tmp/quarantena --log=scan_report.txt /home/userπ§ Utilizzo di clamd (demone)
clamd Γ¨ il demone di ClamAV, utile per:
- integrazione con altri software (es. mail server, SIEM, cron job)
- migliore performance rispetto a
clamscan(carica una sola volta il DB)
Avvio e gestione:
sudo systemctl start clamav-daemon
sudo systemctl enable clamav-daemonScansione con clamdscan:
clamdscan /var/www/htmlStesse opzioni di clamscan, ma molto piΓΉ veloce.
π Integrazione con Cron
Per eseguire una scansione giornaliera automatica:
sudo crontab -eE inserisci:
0 3 * clamscan -r -i /home | mail -s "ClamAV Scan Report" you@example.comπ Report e Analisi
Puoi leggere i file log di ClamAV:
/var/log/clamav/clamav.log(scansioni)
/var/log/clamav/freshclam.log(aggiornamenti DB)
Oppure creare report personalizzati con grep e awk:
grep FOUND scan_report.txt | awk -F: '{ print $1 }'π Quarantena
Puoi configurare ClamAV per spostare i file infetti in una directory di quarantena piuttosto che cancellarli:
clamscan -r --move=/var/quarantena /optAssicurati che la directory esista e che clamav abbia i permessi corretti:
sudo mkdir -p /var/quarantena sudo chown clamav:clamav /var/quarantenaπ Best Practice
β
Pianifica aggiornamenti DB frequenti con freshclam
β
Automatizza scansioni periodiche via cron
β
Usa clamd in ambienti di produzione per performance migliori
β Integra con fail2ban, mail server, SIEM, etc.
β
Escludi directory di sistema critiche durante scansioni programmate (es. /proc, /sys, /dev)
π Limitazioni
- ClamAV non offre protezione real-time come un antivirus commerciale
- Alcune firme potrebbero non rilevare minacce polimorfiche o avanzate
- Nessun sistema di machine learning o sandboxing integrato
π§ Tip da pentester/analista forense
π Se comprometti un host e vuoi fare unβanalisi rapida di eseguibili sospetti:
clamscan /tmp/eseguibileπ¦ Scarica file da un host compromesso, analizzali in sandbox con ClamAV prima di trasferirli nel tuo host locale.
π€ Puoi combinare ClamAV con strumenti come VirusTotal API, YARA, o Cuckoo Sandbox per massimizzare la detection.
β Conclusione
ClamAV Γ¨ un tool open-source potente, affidabile e versatile per la protezione e lβanalisi malware su ambienti Linux. Nonostante i limiti, resta uno standard de facto per lβantivirus open-source, utile in:
- π§ͺ Post-Compromissione
- π Analisi Forense
- π Sistemi Mail/FTP
- π Protezione di ambienti condivisi