ClamAV el antivirus de Linux, es necesario?

Antivirus
Antivirus

Creo que estamos todos de acuerdo en que la seguridad de un sistema es muy importante, por lo que en cualquier sistema operativo deberíamos tener un antivirus. Sí, también en GNU/Linux. No me vale de nada que digáis que en Linux no existen virus o que es imposible que nos infecten, porque no es así. ¿Habéis escuchado el dicho “más vale prevenir que curar”? Pues aplicadlo a vuestros equipos y servidores. He hecho una pregunta en Twitter sobre si debemos utilizar antivirus en Linux y he tenido varias respuestas que afirmaban que es mejor usar antivirus. Obvio.

Un ejemplo que da que pensar es el de tener un servidor de correo electrónico con unos cuantos usuariosy. Será mejor analizar los correos enviados y recibidos en busca de cualquier virus, ¿no? Si no, cualquiera podría infectarse. Como no queremos eso, pues con ClamAV en nuestro sistema GNU/Linux nos protegera.

Paso 1: Instalación

Para instalar ClamAV, tendremos que introducir los siguientes comandos:

Antes de nada, actualizar el sistema:
sudo apt-get update && sudo apt-get upgrade -y
Tras esto, instalamos:
sudo apt-get install clamav clamav-daemon -y

Paso 2: Actualizar la base de datos de virus

Para que ClamAV pueda detectar virus, debe tener su base de datos actualizada.
sudo freshclam
Obtenemos algo parecido a esto:
ClamAV update process started at Sun Feb 8 17:24:00 2015
main.cvd is up to date (version: 55, sigs: 2424225, f-level: 60, builder: neo)
daily.cvd is up to date (version: 20045, sigs: 1320886, f-level: 63, builder: neo)
bytecode.cvd is up to date (version: 245, sigs: 43, f-level: 63, builder: dgoddard)

Paso 3: Escanear un directorio

Ya sea desde la raíz o desde cualquier carpeta, vamos a realizar un análisis de los archivos en un directorio de forma recursiva. Por ejemplo, para analizar la carpeta /home/mario, introducimos lo siguiente:
sudo clamscan -r /home/armandof

En mi caso, obtengo este resultado:
/home/armandof/.bash_history: OK
/home/armandof/.bashrc: OK
/home/armandof/archivo.txt: OK
/home/armandof/.cache/motd.legal-displayed: Empty file
/home/armandof/.bash_logout: OK
/home/armandof/.profile: OK
/home/armandof/LEEME.txt: OK

———– SCAN SUMMARY ———–
Known viruses: 3739593
Engine version: 0.98.6
Scanned directories: 2
Scanned files: 6
Infected files: 0
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 0.00:1)
Time: 7.047 sec (0 m 7 s)

Se han analizado 6 archivos y no se ha encontrado ninguno infectado.

¿Qué pasaría si tuviéramos un virus? Vamos a descargar de esta página un archivo “infectado” para comprobar si el antivirus funciona:
wget http://www.eicar.org/download/eicar_com.zip

Acabamos de descargar un archivo ZIP que, si todo vabien, ClamAV detectará como malicioso:
sudo clamscan -r /home/armandof

Obteniendo el siguiente resultado tras realizar el análisis:
/home/armandof/.bash_history: OK
/home/armandof/.bashrc: OK
/home/armandof/archivo.txt: OK
/home/armandof/.cache/motd.legal-displayed: Empty file
/home/armandof/.bash_logout: OK
/home/armandof/.profile: OK
/home/armandof/LEEME.txt: OK
/home/armandof/eicar_com.zip: Eicar-Test-Signature FOUND

———– SCAN SUMMARY ———–
Known viruses: 3739593
Engine version: 0.98.6
Scanned directories: 2
Scanned files: 7
Infected files: 1
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 0.00:1)
Time: 8.265 sec (0 m 8 s)

Paso 4: Eliminar archivos infectados

Para eliminar el archivo comprimido que ClamAV ha detectado como malicioso, introducimos lo siguiente:
sudo clamscan --infected --remove --recursive /home/armandof

Con estos parámetros, obtendremos como salida únicamente los archivos infectados, los cuales serán eliminados:
/home/armandof/eicar_com.zip: Eicar-Test-Signature FOUND
/home/armandof/eicar_com.zip: Removed.

———– SCAN SUMMARY ———–
Known viruses: 3739593
Engine version: 0.98.6
Scanned directories: 2
Scanned files: 7
Infected files: 1
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 0.00:1)
Time: 9.651 sec (0 m 9 s)

Paso 5: Ejecutar demonios

Para que no tengamos que estar continuamente analizando carpetas, vamos a ejecutar un daemon en segundo plano, tanto de ClamAV como de Freshclam:
sudo /etc/init.d/clamav-daemon start
sudo /etc/init.d/clamav-freshclam start

Si da error al ejecutar los daemon, es posible que no tengáis suficiente RAM. A mi me daba error en una máquina virtual con 512 MB, pero he ampliado y ya funciona correctamente.

Paso 6: Estudiar posibles configuraciones de ClamAV

ClamAV tiene bastante parámetros de configuración. Para conocerlos todos, introducid el siguiente comando:
clamscan --help

Escanear una partición o una unidad externa

Para analizar un disco duro externo, un Pendrive, u otra partición dentro del mismo disco duro, lo único que tendremos que cambiar es el output final de la ruta. Para comprobar la ruta, o el nombre de identificador de un volumen en concreto, puedes ayudarte de este comando:
fdisk -l

Esto te mostrará el la ruta con el nombre de identificador de cada volumen. Las diferentes particiones del disco interno se identifican como ‘sda’ o ‘hdb’, mientras que los discos externos conectados por USB son los ‘sdb’.
Estas rutas serán las que deberás indicarle a ClamAV para especificar en que volumen de disco quieres que haga el análisis. Conociendo esto, ya puedes ejecutar ClamAV en cualquier volumen de disco, y utilizando cualquiera de las opciones de escaneo que ya hemos visto antes. Aquí tienes algunos ejemplos:

Para hacer un escaneo en la partición que sale identificada como ‘sda4′ que este caso imaginemos que tiene instalada Windows 7, puedo utilizar:
sudo clamscan -r /media/sda4

Para hacer un análisis completo del Pendrive que en mi caso tengo identificado como ‘sdb1′:
sudo clamscan -r /media/sdb1

ClamTK Interfas grafica de clamav

Antes de nada, instalamos:
sudo apt-get install clamtk -y
o
wget -c https://bitbucket.org/dave_theunsub/clamtk/downloads/clamtk_5.00-1_all.deb && sudo dpkg -i clamtk_5.00-1_all.deb && sudo apt-get -f install
Una vez instalado ClamTK, puedes abrirlo desde el mismo Dash de Ubuntu tecleando por su nombre, o accediendo en el menú ‘Actividades’ en GNOME, dependiendo de la distro que utilices.
clamtk-scanner-5
Al abrir la aplicación, El diseño de ClamTk es bastante simple, se dispone de una sola ventana en la que se diferencia un menú con las funciones comentadas, un panel de acciones donde se localizan en un botón las funciones más comunes en un escaneo, así como preferencias a seleccionar para un análisis. En el panel de estado muestra la versión del motor antivirus, versión de la interfaz, fecha de las últimas definiciones de virus instaladas, fecha del último análisis realizado y último fichero infectado. Además para las versiones del motor antivirus, interfaz y últimas definiciones instaladas indica con una cruz roja si no está actualizado o con un tick verde si está al día. Por último al ejecutar un análisis se activa el panel analizar donde muestra el directorio o fichero analizándose actualmente, el progreso del escaneo, cantidad de archivos analizados y cantidad de virus encontrados. Se podrá cerrar este panel pulsando sobre la X de éste o con la opción Limpiar Salida.

Por esto, considero mucho más interesante y útil utilizar ClamAV desde la terminal, ya que permite muchísimo más juego, a la vez que está más depurado y es mucho más transparente al usuario.

Esto es todo por este artículo. Recordad que la seguridad es importante y haced todo lo posible por evitar problemas que puedan afectar a los usuarios de vuestro servicio.
(Tomado de geekytheory.com)
antivirus-en-linux

3 Replies to “ClamAV el antivirus de Linux, es necesario?”

  1. Me ha gustado el artículo, bueno ya me gustó cuando lo leí en febrero de 2015 en Geeky Theory. Al menos a la hora de copiar intenta cambiar algo los textos un poco y la imagen principal. Lo único ti yo es la imagen del final que esta graciosa. Un saludo.

  2. Muy buen artículo. Me he peleado muchas veces con ClamAv, pero este post me lo ha dejado muy claro. Está muy bien explicado. Gracias

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*