/ 有码集

使用 ClamAV 检查服务器病毒木马

简介

ClamAV 是款主要用于 Linux 平台(其它平台有移植版)的免费开源杀毒软件,据说病毒数据库至少每 4 小时更新一次,可以用来扫描服务器上是否存在被感染的文件和木马。

安装

直接使用 yum 安装 ClamAV:

yum -y install clamav

更新病毒库

一般直接运行 freshclam 命令更新,但由于一些原因,国内服务器常常无法正常连接更新服务器,需要自己手动下载文件到 /var/lib/clamav/ 中覆盖旧文件 :

cd /var/lib/clamav/ && \
rm -f *.cvd && \
wget http://db.local.clamav.net/bytecode.cvd && \
wget http://db.local.clamav.net/daily.cvd && \
wget http://db.local.clamav.net/main.cvd && \
freshclam

扫描服务器

基本命令如下:

# 全盘扫描,只输出被感染文件,保存结果到 /root/scan.log
clamscan -r -i / -l /root/scan.log
# 进入后台扫描,只输出被感染文件,保存结果到 /root/scan.log
clamscan -r -i / > /root/scan.log &
# 扫描指定目录,只输出被感染文件,路径深度 5 层,保存结果到 /root/scan.log
clamscan -r -i /usr --max-dir-recursion=5 -l /root/scan_usr.log

如果要检测到感染文件或木马时直接删除文件,可以加上 --remove 参数:

clamscan -r --remove /usr