O AntiVírus ClamAV é bastante utilizado em servidores linux. Possui um mecanismo antivírus eficiente para detectar trojans, vírus, malware, phishing e outras ameaças. Como padrão o ClamAV disponibiliza algumas assinaturas antivírus que são atualizadas através de seu repositório padrão, porém, principalmente em Servidores Web, com PHP, Python etc… onde são instalados todo tipo de aplicação, incluindo WordPress, Joomla… ou MailServers que recebem phishing , vírus, trojans, nos mais diversos arquivos e formatos, se faz necessário assinaturas adicionais para o ClamAV.
Na Web existem vários projetos e sites que oferecem assinaturas grátis ou pagas para o ClamAV, porém é muito importante identificar a qualidade destas assinaturas, é bastante comum encontrar assinaturas que irão gerar o que chamamos de “falso positivo” .
A eXtremeSHOK através do GitHub criou um projeto com nome ClamAV-unofficial-sigs que reúne várias assinaturas confiáveis, disponíveis na Web para o ClamAV, mantendo tudo sempre atualizado .
Além das assinaturas disponíveis pelo projeto, vamos adicionar parte das assinaturas confiáveis que utilizamos com nossos clientes de Gerenciamento de Servidor Linux.
Vamos abordar a seguir o passo a passo para a correta instalação e configuração do ClamAV-unofficial-sigs em servidores CentOS e CloudLinux.
Instale o repositorio epel-release
Verifique em seu firewall e abra se necessário as portas:
Instale o ClamAV e componentes:
Configure o SELinux para permitir o Clamav ( Se Selinux estiver habilitado)
** Verifique se o Selinux está habilitado. Se estiver desabilitado pule este passo.
Se o resultado for enable prossiga (se disable pule para usuário ClamAV):
Crie o grupo e usuário para o ClamAV
Crie o diretório, altere grupo e usuário para ClamAV
Removendo Example
Edite o arquivo scan.conf
Localize LocalSocket e substitua por:
A seguir no shell do linux cole o bloco abaixo:
Configurando o FreshClam, cole o bloco abaixo:
Habilitar, Iniciar e verificar se está tudo ok com status:
Instalando Dependências:
Instalação do clamav-unofficial-sigs:
Se sua distribuição linux é Almalinux 8 ou CloudLinux 8 copie e cole as instruções abaixo:
**Nota: para outras distribuições Linux, acesse o link abaixo, e em “Operating System Specific Install” , selecione a melhor opção para seu Linux. clamav-unofficial-sigs
Antes de seguir para o próximo passo, cadastre-se em dois sites que oferecem excelentes assinaturas para o ClamAV.
1 – SecuriteInfo Free
Crie sua conta grátis em : https://www.securiteinfo.com/clients/customers/signup
Você receberá um e-mail com um link para ativar sua conta, após a ativação , receberá outro email com seu usuário e senha para login no site.
Faça login e acesse : https://www.securiteinfo.com/clients/customers/account
Clique na aba Setup, verá uma URL a frente de DatabaseCustomURL
Precisamos localizar seu identificador individual que é composto por uma sequencia de 128 caracteres.
Na url a frente de DatabaseCustomURL copie a sequencia após
https://www.securiteinfo.com/get/signatures/
até “/”
Guarde estas informações, vamos utilizá-las no próximo passo.
Os outros repositórios utilizados pelo clamav-unofficial-sigs não necessitam de cadastro, apenas para conhecimento, irei citá-los abaixo:
Yara Rules: https://github.com/Yara-Rules/rules
Urlhaus: https://urlhaus.abuse.ch/
Linux Malware Detect Assinaturas: https://www.rfxn.com/projects/linux-malware-detect/
** Existem na web muitas assinaturas grátis para o ClamAV, infelizmente muitas geram falso positivos na detecção do Virus/Malware. É muito importante verificar na comunidade e outros meios a confiança destas novas assinaturas.
Vamos adicionar no arquivo de configuração que iremos abordar a seguir, dois novos repositórios adicionais de assinaturas para o ClamAV.
MailOrder: https://www.mailborder.com/
MalwareExpert: https://malware.expert/
Configuração das assinaturas para o Clamav:
Edite o arquivo user.conf :
Localize e remova o # das seguintes linhas:
Substitua YOUR-SIGNATURE-NUMBER pelo código com 128 caracteres que guardou ao seguir os passos acima em SecuriteInfo Free
A seguir vamos adicionar mais algumas assinaturas.
localize e remova o # das linhas:
apague as linhas em negrito(cinza) acima e cole o conteúdo abaixo :
Execute o Script abaixo para baixar pela primeira vez todas as assinaturas e finalizar algumas configurações. Este processo pode demorar um pouco, aguarde até o final.
O Script a seguir irá instalar instruções para manter atualizado o sistema e assinaturas:
O Script a seguir irá instalar instruções para o logrotate referente a clamav-unofficial-sigs:
Nota final: Clientes da HelpSysAdmin de Gerenciamento de Servidor possuem estas e muitas outras assinaturas confiáveis para o ClamAV.