본문 바로가기

linux

터미널을 이용하여 clamav를 활용하기

설치

sudo apt install clamav clamav-daemon libclamunrar7


백신 데이터를 업데이트 하기 전에 설정파일을 수정합니다.

sudo gedit /etc/clamav/freshclam.conf

(gedit는 그놈 데스크탑의 텍스트 편집기입니다. 마테는 pluma, xfce는 mousepad, lxde는 leafpad, KDE는 kate 등으로 상황에 맞게 변경하시면 됩니다.)


마지막 끝에서 2번째 줄에 local 이란 단어를 jp 또는 au 또는 cn으로 변경합니다. jp는 일본서버, au는 호주서버, cn은 중국서버입니다.

예시)

DatabaseMirror db.jp.clamav.net

DatabaseMirror database.clamav.net

저장 후 종료.


업데이트 실행합니다. (루트 권한이 필요합니다.)

sudo /usr/bin/freshclam

첫실행에는 업데이트 완료까지 시간이 다소 걸립니다. (main.cvd ; daily.cvd ; bytecode.cvd 업데이트 완료될 때까지 인내심을 갖고 기다립시다.)


특정 폴더를 검사해보겠습니다. (역시 루트 권한이 필요합니다.) (유저명은 로그인할 때 아이디 입니다.) (바탕화면에 1 폴더를 검사하는 것입니다.) (아래 예시에서 필요로 하는 것을 터미널에 복사/붙여넣기해서 사용하시면 됩니다.)

sudo /usr/bin/clamscan -r /home/유저명/바탕화면/1/

(영문판인 경우 바탕화면 대신 Desktop으로 변경하시기 바랍니다.)

역시 바탕화면 1폴더를 검사하지만, 만약 감염된 파일이 있을 때는 휴지통으로 이동시키는 방법입니다. (유저명은 로그인할 때 아이디입니다. 본인에게 맞게 적절히 변경하여 주십시오.)

sudo /usr/bin/clamscan -r --move=/home/유저명/.local/share/Trash/files/ /home/유저명/바탕화면/1/


전체 루트 검사 (탐지 속도가 그다지 빠르지 않기 때문에 권장하지는 않습니다.)

sudo /usr/bin/clamscan -ril /var/log/clamscan.log /

gedit /var/log/clamscan.log  (검사 완료 후 로그파일을 확인해보십시오.)


전체 루트 검사를 하지만 감염된 파일이 있을 때 휴지통으로 이동시키는 방법입니다. (유저명은 로그인할 때 아이디 입니다.)

sudo /usr/bin/clamscan -r --move=/home/유저명/.local/share/Trash/files/ /


다운로드 폴더를 검사하지만 감염된 파일이 있을 때 휴지통으로 이동시키는 방법입니다. (유저명은 로그인할 때 아이디)

sudo /usr/bin/clamscan -r --move=/home/유저명/.local/share/Trash/files/ /home/유저명/다운로드/


조금 응용해서 특정폴더 (바탕화면 1폴더)를 검사해서 검출된 파일은 휴지통으로 이동시키고 바탕화면에 보고서(report.txt)를 만들어서 어떤 종류에 바이러스에 감염되었는지 확인하는 방법입니다. (유저명 3개를 변경해주십시오.)

sudo clamscan -r /home/유저명/바탕화면/1/ --move=/home/유저명/.local/share/Trash/files/ | grep FOUND >> /home/유저명/바탕화면/report.txt


-> 진하게 표시한 부분을 본인의 필요에 맞게 경로를 변경하시면 됩니다. 예를들어 /, /home, /home/유저명/다운로드/


보통 리눅스에는 특별한 바이러스가 없습니다. 검사해서 아무것도 나오지 않으면 정말 바이러스가 검출되어서 휴지통으로 이동하는지를 눈으로 확인해보고 싶으실 수가 있습니다. 테스트 용도로 Eicar-Test-Signature 파일을 다운로드 받으실 수도 있습니다만, 권장하지는 않습니다. 오직 테스트 용도로만 사용하시고 검사 후에는 휴지통에서 즉시 삭제하시기 바랍니다.

http://www.eicar.org/85-0-Download.html


삭제는

sudo apt remove --purge clamav clamav-daemon libclamunrar7 && apt autoremove


바이러스로 판명되어서 휴지통으로 이동한 파일에 대해서 삭제가 망설여진다면 바이러스 토탈을 통해 한번 더 검증해보실 수도 있습니다. clamav가 오진하는 경우도 있을 수 있기 때문입니다.

https://www.virustotal.com/en/


* 수동으로 업데이트하기

ps -ef | grep freshclam

sudo kill -15 피드넘버

sudo /usr/bin/freshclam