ClamAV antivirus

Twee maanden geleden merkte ik dat op mijn Raspberry Pi, die ik altijd voor mijn projecten gebruik, mijn wachtwoord voor de SSH niet werkte. Elke keer als ik aanlogte nadat de Raspberry opgestart was, moest ik het wachtwoord op de Pi resetten om een SSH verbinding te krijgen. Later bleek dat zich een trojan virus op de Pi bevond dat stiekem coins aan mijnen was.

Met name Raspberry Pi’s met oudere versies Raspberry Pi OS (Raspbian) en niet-geüpdatete Pi’s, en degenen die hun standaard gebruikersnaam en wachtwoord niet hebben gewijzigd, maar zijn geconfigureerd om externe SSH-verbindingen toe te staan lopen een groot besmettingsrisico. Het virus gebruikt de Pi om cryptocurrency te minen. Het betreft weliswaar een eenvoudige trojan, maar werkt zeer effectief en kan onopgemerkt blijven als je niet weet waar je op moet letten.

Ik was naïef en gebruikte nog het standaard wachtwoord en dacht dat mijn Raspberry Pi niet besmet zou kunnen worden, het is toch immers Linux. Na de SD-kaart opnieuw van een schoon Raspberry Pi OS (Buster) voorzien te hebben wilde ik een hoger beveiligingsniveau door de Pi van antivirus software te voorzien.

ClamAV is een populaire gratis en open-source antivirus-engine die is ontworpen om een ​​breed scala aan bedreigingen op Unix-gebaseerde systemen zoals Raspberry Pi OS te detecteren. Door ClamAV op de Raspberry Pi te gebruiken, kan je het apparaat scannen op trojans, virussen, malware en andere kwaadaardige bedreigingen.

Hoewel Linux-systemen doorgaans worden beschouwd als minder kwetsbaar voor virussen, is het toch goed om uw systeem in de gaten te houden.

Het gebruik van een antivirusprogramma is vooral handig als de Raspberry Pi gebruikt om bestanden te hosten die vanaf andere apparaten toegankelijk zijn. Bijvoorbeeld als de Raspberry Pi als NAS gebruikt wordt.

ClamAV installeren
Voordat de antivirussoftware op de Raspberry Pi geïnstalleerd wordt, moeten we eerst de pakketlijst bijwerken. Je kan de pakketlijst bijwerken door de volgende opdracht uit te voeren.

sudo apt update

ClamAV kan worden geïnstalleerd vanuit de Raspbian-repository door de onderstaande opdracht uit te voeren.

sudo apt install clamav

Wanneer ClamAV op de Raspberry Pi is geïnstalleerd, zal deze automatisch een service opzetten die de virusdatabase elk uur bijwerkt. Het is mogelijk om het aantal controles dat ClamAV uitvoert op updates te verhogen als je denkt dat elk uur niet genoeg is.

Gebruikersinterface ontbreekt
Er is geen GUI om dit allemaal te beheren, alleen opdrachtregels. Je kan het pakket ClamTk installeren om de basisinterface gebruiken of je kan de opdrachten hieronder in de terminal gebruiken.


Een antivirusscan uitvoerenBasisgebruik van Clamscan
Het uitvoeren van een antivirusscan op de Raspberry Pi is een relatief eenvoudig proces met de ClamAV-software. Om een scan uit te voeren, moeten we gebruik maken van de clamscan opdracht zoals we hieronder hebben getoond.

clamscan

Het meest elementaire gebruik van deze opdracht scant alleen het hoogste niveau van de basismap van de huidige gebruiker.

Recursief (herhaalt) scannen van bestanden en mappen
We kunnen de clamscan opdracht ook recursief onze thuismap laten scannen.
Het enige dat we hoeven te doen, is het -r argument achter het clamscan commando toevoegen.

clamscan -r

Meerdere mappen scannen
Je kan met deze opdracht verder gaan door de map op te geven die je wilt scannen. Je kan
zelfs meerdere mappen en bestanden specificeren. Als we bijvoorbeeld alle homedirectory’s en onze mount-directory willen scannen, kunnen we de volgende opdracht gebruiken.

clamscan -r /home /mount

Geïnfecteerde bestanden automatisch verwijderen
Als je clamscan de virussen die het op je Raspberry Pi detecteert automatisch wilt laten verwijderen, kun je een andere optie gebruiken.

Deze optie is –remove. Houd er rekening mee dat u voorzichtig moet zijn met deze optie, aangezien het verwijderde bestand niet meer kan worden hersteld.

clamscan -r --remove /home /mount

Geïnfecteerde bestanden automatisch verplaatsen
Als u wilt dat de antivirussoftware gedetecteerde bestanden verplaatst in plaats van ze te verwijderen, kunt u ook een extra optie gebruiken.

Om bestanden te verplaatsen, kan je gebruik maken van de –move=/DIRECTORY/ optie waar /DIRECTORY/ de map is waarnaar je de bestanden wilt verplaatsen. Deze optie kan gedetecteerde bestanden naar een vergrendelde map verplaatsen waar je ervoor kunt zorgen dat de bestanden die je verwijdert geen valse positieven zijn.

clamscan -r --move=/quarantine/ /home /mount

Alleen geïnfecteerde bestanden loggen
Om de zaken een beetje schoner te maken, kan je de antivirus-engine vertellen alleen geïnfecteerde bestanden terug te melden. Om dit te doen, hoeven we alleen de -i optie toe te voegen. Deze optie vertelt de scanner om alleen geïnfecteerde bestanden af te drukken.
Hieronder heb ik een voorbeeld van het combineren van deze optie met de recursieve optie.

clamscan -ri /home/

Automatisch scannen op virussen
In deze sectie laten we je zien hoe je een cronjob kunt instellen om elke dag automatisch op virussen te scannen.

1 – Om de antivirussoftware dagelijks op onze Raspberry Pi uit te voeren, gaan we een klein scriptje maken. We zullen dit script gebruiken om een aantal basiszaken voor ons af te handelen, zoals het genereren van een lognaam voor de huidige dag.

Begin met het schrijven van dit bash-script door de volgende opdracht uit te voeren.

sudo nano /root/scanvirus.sh

2 – Voer in dit script de volgende regels code in.
Dit script dat we gaan schrijven is vrij eenvoudig, dus het zou gemakkelijk moeten zijn om dit verder uit te breiden voor uw gebruik.

#!/bin/bash

De eerste regel is om te helpen bepalen wat het bestand uit moet voeren.

LOGNAME="/var/log/clamav/clamav-$(date +'%Y-%m-%d').log";

De tweede regel creëert onze variabele genaamd LOGNAME. Binnen deze variabele slaan we een pad op naar de clamav-directory met een bestandsnaam die we voor het logboek hebben gegenereerd. Deze gegenereerde bestandsnaam maakt gebruik van het date-commando om het huidige jaar, de maand en de dag op te nemen.

DIRTOSCAN="/home";

Op de derde regel specificeren we de map die we ClamAV willen laten scannen in onze DIRTOSCAN variabele. Voor onze doeleinden wordt deze directory de /home directory.

clamscan -ri "$DIRTOSCAN" &>"$LOGNAME";

Ten slotte voeren we de clamscan opdracht uit met zowel de recursieve (-r) als de geïnfecteerde (-i) opties. We gaan door onze DIRTOSCAN variabele als de map om te scannen en gebruiken de omleidingsoperator om de uitvoer van de opdracht op te slaan in ons logbestand.

Het bestand waarin de gegevens moeten worden opgeslagen, wordt opgeslagen in onze LOGNAME variabele. Nadat je alle code hebt ingevoerd, zou het er uiteindelijk een beetje uit moeten zien als wat we hieronder hebben.

#!/bin/bash

LOGNAME="/var/log/clamav/clamav-$(date +'%Y-%m-%d').log";

DIRTOSCAN="/home";

clamscan -ri "$DIRTOSCAN" &>"$LOGNAME";

Als je klaar bent, kan je het bestand opslaan door op CTRL+X te drukken, gevolgd door “Y” en vervolgens op de [ENTER].

Nu het script is gemaakt, kunnen we de crontab aanpassen om het eenmaal per dag aan te roepen. We zullen dit uitvoeren onder de root-gebruiker, omdat we ervoor willen zorgen dat we voldoende rechten hebben om alle bestanden in de thuismap te lezen.

sudo crontab -e

Als gevraagd wordt welke editor je wilt gebruiken, raad ik aan om nano te selecteren. Voeg in de crontab aan de onderkant van het bestand de volgende regel toe. Deze regel voert ons bash-script elke dag om middernacht uit.

0 0 * * * bash /root/scanvirus.sh

Als je klaar bent, kan je het bestand opslaan door op CTRL+X te drukken, gevolgd door “Y” en vervolgens op de [ENTER].


Op dit punt zou je nu met succes de ClamAV-antivirussoftware op de Raspberry Pi moeten hebben ingesteld.

Have A Nice Day!

Geef als eerste een reactie

Laat een reactie achter

Het e-mailadres wordt niet gepubliceerd.


*