やればできる＠clamav

clamavではできないと思っている人もいるようなので
書いておきます。

/home サブディレクトリを含めた再帰的スキャンの例

まずはパターンファイルを更新
sudo freshclam
　
1 感染ファイルを作成したディレクトリに隔離
sudo mkdir /usr/local/virus
sudo chown hogehoge:hogehoge /usr/local/virus
clamscan -r /home –move=/usr/local/virus | grep FOUND

　＊　隔離用ディレクトリはスキャン対象にしないこと
　＊　所有者をrootのままでアクセス権を変更（707等）しても可能だが、
　　　セキュリティ的には所有者をユーザーに変更がお薦めです。
　　　

2 感染ファイルを削除
clamscan -r /home –remove | grep FOUND

　＊　| grep FOUND は感染ファイルを検出した行のみ表示
　＊　–move=　と　–remove　は　ーではなくー ー （２本）です。
　　　エディタの都合で１本に表示しちゃいます。（コピペ不可）

上記のコマンドはGUIフロントエンドのClamTKでも同様な
ことができます。

オンアクセス（リアルタイム）スキャン

/etc/clamav/clamd.conf をrootで編集。

#ScanOnAccess false　←ディフォルト
ScanOnAccess yes　　　　←変更
リアルタイムスキャンしたいディレクトリを列記
以下列記例
OnAccessIncludePath /home/mainte/DownLoads　
OnAccessIncludePath /home/mainte/.cache/mozilla/firefox/30vnu03k.default-1445351765224/cache2/entries　←　１行です

clamavは感染ファイルの修復はできません。

またclamavは検出率が低いという評価があるようですが、
その調査では有名ベンダー製品の検出率が100%またはそれに近い
となっています。
実は調査のサンプルファイルはそのベンダーが持っているもの
だったりして、だとしたら100%検出は当たり前ですよね。
逆にclamavの開発プロジェクトの所有するサンプルのなかで、
有名ベンダー製品では検出できなかったものもあり、
100%という検出率には懐疑的にならざるを得ません。

ちなみにIPAへの感染報告は、セキュリティソフトがWindowsOSほど
充実していないLinuxディストリにおいて、Windowsの1%にも満たず、
攻撃のターゲットになっていないことが伺えます。

またファイル改変や予期しない動作に対する検知や阻止能力は
カーネル自体に備わっていたり、他の手段もあるので、windowsで
ない限りclamavで十分であると言えます。

セキュリティキーワード

・Tripwire　強力な改竄検知
・chkrootkit　ルートキット検出ツール
・ufw・gufw　ファイヤーウォール（iptables）の設定ツール