Como usar o ClamAV ?

Buckminster
(usa Debian)

Enviado em 25/03/2024 - 11:14h

OnAccessIncludePath
Purpose: The files within the any specified path(s) will be monitored for access attempts. If the DDD system is enabled, clamd will watch this path recursively, i.e., the specified directory and all subdirectories will be monitored. If the DDD system is disabled, only the topmost directory will be watched and all subdirectories will be ignored.

Caveats: This option will be ignored if OnAccessMountPath is enabled. As an additional precaution, if DDD is enabled, clamd will prevent users from specifying “/” as an include path.

OnAccessExcludePath
Purpose: Recursively removes the given directory from the set of directories monitored by clamd.

Caveats: If the DDD system is disabled, this option is ignored.

https://blog.clamav.net/2016/03/configuring-on-access-scanning-in-clamav.html

Veja aqui o que é o tal DDD:
https://aaronbrighton.medium.com/installation-configuration-of-clamav-antivirus-on-ubuntu-18-04-a641...

Para ter o ScanOnAcces o clamd deve rodar como root.

ScanOnAccess
Purpose: Enables on-access scanning under clamd if set to “yes”. If set to ”no”, all other on-access configurations options will be ignored.

Caveats: clamd must be run as root.

Para scanear o sistema de arquivos inteiro no primeiro link tem exemplos:

ScanOnAccess yes
OnAccessMountPath /
OnAccessExcludeUID 0

Details: This will set fanotify to watch the entire filesystem in real-time and trigger ClamAV to run scans on any files opened, accessed, or closed except by the root user. While clamd will report any viruses found during this scanning, fanotify will not perform any blocking or prevention.

Não recomendo fazer isso de escanear o sistema inteiro, dará muito falso positivo.
Na documentação oficial do On-Access Scanning, eles desaconselham a tentativa de monitorar todo o sistema e, na verdade, até impedem que você configure o OnAccessIncludePath /.

IMPORTANTE:

Sempre antes de executar freshclam deve-se parar o serviço, a sequência é sempre essa:

# systemctl stop clamav-freshclam
# freshclam
# systemctl start clamav-freshclam

Aconselho também a parar o serviço cada vez que alterar os arquivos de configurações.
O ClamAV é bem xarope de lidar, mas depois de funcionar redondo ele é extremamente estável, dá pouco trabalho.

Nesse artigo, torno a postar, tem arquivos reais de exemplo:
https://www.vivaolinux.com.br/artigo/Antivirus-ClamAV-com-protecao-em-tempo-real?pagina=1

E aqui tem mais informações:
https://www.vivaolinux.com.br/artigo/ClamAV-o-kit-de-ferramentas-antivirus/

"ClamAV é um kit de ferramentas antivírus de código aberto (GPLv2), projetado especialmente para verificação de e-mail em gateways de e-mail. Ele fornece vários utilitários, incluindo um daemon multithread flexível e escalável, um scanner de linha de comando e uma ferramenta avançada para atualizações automáticas de banco de dados. O núcleo do pacote é um mecanismo antivírus disponível em forma de biblioteca compartilhada.
Dica: ClamAV não é um antivírus tradicional ou pacote de segurança de endpoint. Para um conjunto moderno de segurança de endpoint completo, confira Cisco Secure Endpoint. Consulte "produtos relacionados" abaixo para obter mais detalhes."
https://docs.clamav.net/Introduction.html


_________________________________________________________
Always listen the Buck!
Enquanto o cursor estiver pulsando, há vida!

Henrique-RJ
(usa Outra)

Enviado em 25/03/2024 - 13:57h

Agradeço a todos pela força mas o processamento fica a 100% mesmo ?

Isso não é algum conflito nas configurações ?

@Buckminster e @aguamole


_______________________________________________________
E viu-se um grande sinal no céu: uma mulher vestida do sol, tendo a lua debaixo dos seus pés, e uma coroa de doze estrelas sobre a sua cabeça. Apocalipse 12:1 Nsa Sra de Fátima, Nsa Sra de Lourdes, Nsa Sra das Graças ...
_______________________________________________________
São Padre Pio de Pietrelcina, Santa Faustina Kowalska, São Francisco de Assis e Santa Gema Galgani foram alguns dos que tiveram os milagres dos Estigmas de Cristo em seus corpos, Feridas que sangravam
_______________________________________________________
Milagre Eucarístico que ocorreu em uma Igreja de Lanciano na Itália no ano de 750 em que o vinho se tornou sangue e o pão carne humana estão até hoje intactos. https://pt.wikipedia.org/wiki/Milagre_eucar%C3%ADstico_de_Lanciano

aguamole
(usa KUbuntu)

Enviado em 25/03/2024 - 15:08h

Uai, eu expliquei, fica assim só quando scaneia arquivos, só que os arquivos são scaneados só uma vez e só scaneia de novo se eles forem modificados, não vai ficar para sempre em 100%, se você deixar o sistema parado, dps de um tempo você vai perceber que para.

Henrique-RJ
(usa Outra)

Enviado em 25/03/2024 - 23:20h

Lembro que isso aconteceu quando coloquei a pasta /home/ que antes de abrir o Firefox o processador estava normal mas assim que o abri começou o processamento alto em um dos núcleos. Deve ter sido por causa da pasta .cache que fica em /home/henrique/.cache que é onde se localiza o cache dos navegadores e para onde são baixados a todo o instante os objetos da navegação mas não esperei o processamento alto diminuir. Isso parece que até impediu o carregamento da aba do Gmail no Firefox. E é bom lembrar que no cache ainda se encontram os exploits e trojans pois não o limpei ainda e talvez isso é que tenha causado todo esse transtorno já que o clamonacc deveria estar detectando eles que são 19 além de haverem lá centenas de objetos. Acho que eu teria que limpar esse cache primeiro e observar o processamento. Ainda vou voltar a tentar ativar o On-Access Scanner sabendo disso agora.

Olha que com o antivírus da Comodo não tinha tanta complicação, era só instalar e usar. Pena que o escaneamento em tempo real dele ainda esteja quebrado. Agora sua detecção me parece inferior á do ClamAV.

Que mão-de-obra louca ...

OFF.: @aguamole pelo jeito você é mineiro uai !! Parabéns !!

_______________________________________________________
E viu-se um grande sinal no céu: uma mulher vestida do sol, tendo a lua debaixo dos seus pés, e uma coroa de doze estrelas sobre a sua cabeça. Apocalipse 12:1 Nsa Sra de Fátima, Nsa Sra de Lourdes, Nsa Sra das Graças ...
_______________________________________________________
São Padre Pio de Pietrelcina, Santa Faustina Kowalska, São Francisco de Assis e Santa Gema Galgani foram alguns dos que tiveram os milagres dos Estigmas de Cristo em seus corpos, Feridas que sangravam
_______________________________________________________
Milagre Eucarístico que ocorreu em uma Igreja de Lanciano na Itália no ano de 750 em que o vinho se tornou sangue e o pão carne humana estão até hoje intactos. https://pt.wikipedia.org/wiki/Milagre_eucar%C3%ADstico_de_Lanciano

Henrique-RJ
(usa Outra)

Enviado em 26/03/2024 - 01:11h

Reinstalei tudo aqui, configurei e nada de detectar o eicar, nem no log do clamonacc apareceu a detecção ...

Talvez tente de novo outro dia.

_________________________________________________________________
EDIT.

Percebi aqui, apos fazer escaneamento a partir do ClamTK, que alguns trojans que estavam no cache do Firefox sumiram. Eram 9 e agora so tem 3. Passei o da Comodo e nada detectou e agora estou passando o Kaspersky Rescue Disk a partir do boot. E estranho isso de arquivos do cache do Firefox terem sumido do nada.


_______________________________________________________
E viu-se um grande sinal no céu: uma mulher vestida do sol, tendo a lua debaixo dos seus pés, e uma coroa de doze estrelas sobre a sua cabeça. Apocalipse 12:1 Nsa Sra de Fátima, Nsa Sra de Lourdes, Nsa Sra das Graças ...
_______________________________________________________
São Padre Pio de Pietrelcina, Santa Faustina Kowalska, São Francisco de Assis e Santa Gema Galgani foram alguns dos que tiveram os milagres dos Estigmas de Cristo em seus corpos, Feridas que sangravam
_______________________________________________________
Milagre Eucarístico que ocorreu em uma Igreja de Lanciano na Itália no ano de 750 em que o vinho se tornou sangue e o pão carne humana estão até hoje intactos. https://pt.wikipedia.org/wiki/Milagre_eucar%C3%ADstico_de_Lanciano

Buckminster
(usa Debian)

Enviado em 26/03/2024 - 09:27h

Para evitar o uso de 100% da CPU

1- Procure e edite o arquivo .service dentro do teu sistema· Aqui no Debian é o clamav-daemon.service dentro de /lib/systemd/system/.

Ou use um dos comandos abaixo que cairá direto no arquivo.

Para Debian e derivados:
# systemctl edit --full clamav-daemon

No RHEL/CloudLinux/AlmaLinux/RockyLinux, etc:
# systemctl edit --full clamd@scan

[Unit]
Description = clamd scanner (%i) daemon
Documentation=man:clamd(8) man:clamd.conf(5) https://www.clamav.net/documents/
# Check for database existence
# ConditionPathExistsGlob=@DBDIR@/main.{c[vl]d,inc}
# ConditionPathExistsGlob=@DBDIR@/daily.{c[vl]d,inc}
After = syslog.target nss-lookup.target network.target

[Service]
Type = forking
TimeoutStartSec = 420 <<< sete este parâmetro, caso ainda não tiver
ExecStart = /usr/sbin/clamd -c /etc/clamd.d/%i.conf
Restart = on-failure

Talvez no teu sistema tenha alguns parâmetros diferentes, daí somente acrescente.
Depois de alterar e salvar, dê um 'systemctl daemon-reload'.

2- Aumente os pontos de controle:

O inotify tem um número limitado de pontos de controle disponíveis para uso por um processo a qualquer momento. Para aumentar o número de inotifywatch-points disponíveis para uso pelo ClamAV (para 524288), execute:

# echo 20971520 | sudo tee -a /proc/sys/fs/inotify/max_user_watches

Saída:

20971520

AVISO: o número ali são 20M convertidos em bytes. Esse número deve ser o mesmo do parâmetro OnAccessMaxFileSize no clamd.conf. Caso você mudar o número do parâmetro OnAccessMaxFileSize deve executar esse comando novamente com o novo número.

3- Evite usar 'OnAccessIncludePath /', isto faz escanear o sistema inteiro de arquivos começando pela raiz (root), sendo que o próprio ClamAV bloqueia e não aconselha.

4- Abra o arquivo:
/etc/security/limits.conf
e acrescente a linha na posição abaixo
...
clamav - priority 15
# End of file

Salve, saia e reinicie o ClamAV
# service clamav-daemon restart

A linha diz ao sistema para dar a prioridade 15 para o ClamAV que é mais alta do que o padrão 10, mas permite ao ClamAV ter mais acesso à CPU e isso consome menos recursos.



_________________________________________________________
Always listen the Buck!
Enquanto o cursor estiver pulsando, há vida!

aguamole
(usa KUbuntu)

Enviado em 26/03/2024 - 10:01h

Na verdade o comando para definir prioridade é o nice ou renice, digite man nice ou man renice para manual, o manual do nice diz:

DESCRIPTION

       Run  COMMAND  with an adjusted niceness, which affects process scheduling.  With no COMMAND, print the current niceness.  Niceness values range from -20 (most favorable to the process)

       to 19 (least favorable to the process). 

O processo sendo definido o nice para "15" fica com menor prioridade(baixa) sobre processos "10" ou seja tem menor tempo de CPU, a pergunta é, qual das partes da explicação você se confundiu?

Buckminster
(usa Debian)

Enviado em 26/03/2024 - 10:11h

Na verdade me confundi no comando, o correto é:

4- Abra o arquivo:
/etc/security/limits.conf
e acrescente a linha na posição abaixo
...
clamonacc - priority 15
# End of file

# - priority - the priority to run user process with
...
# - nice - max nice priority allowed to raise to values: [-20, 19]

No man /etc/security/limits.conf
priority
the priority to run user process with (negative values boost process priority)

nice
maximum nice priority allowed to raise to (Linux 2.6.12 and higher) values:
[-20,19]

Depois de alterar execute:
# source /etc/security/limits.conf
Deverá retornar nada indicando que deu tudo certo.


Veja o htop:
https://imgur.com/a/2mLoDko

root@debiantop:/etc/clamav# free --mega
total usada livre compart. buff/cache disponível
Mem.: 16425 5746 7215 487 4299 10678
Swap: 1024 0 1024


_________________________________________________________
Always listen the Buck!
Enquanto o cursor estiver pulsando, há vida!

aguamole
(usa KUbuntu)

Enviado em 26/03/2024 - 10:31h

A então o objetivo é reduzir a prioridade, você disse aumentar a prioridade antes.
Não seria melhor definir a prioridade no script clamoncc-bash.sh usando o nice? ao invés de fazer isso no systemd? A tanto faz né. A diferença é que no systemd tem que dar reaload no systemctl mas só muda isso.

Mas reduzir a prioridade não diminui a sobrecarga, o que faz é o CPU dar mais atenção para outros processos e ignorar a demanda do clamonacc, e também o clamonacc ele não scaneia os arquivos, quem scaneia é o clamd ele só passa para o clamd a lista de arquivos a ser scaneiado, então teria que mudar a prioridade é do clamd mesmo.

$ man clamd

SCAN file/directory

              Scan a file or a directory (recursively) with archive support enabled (if not disabled in clamd.conf). A full path is required. 

É por isso que o clamonacc depende do clamd, porque é o clamd que faz o serviço pesado.

Buckminster
(usa Debian)

Enviado em 26/03/2024 - 10:59h

https://docs.clamav.net/manual/Usage/Scanning.html#clamonacc-v0102
"O On-Access Scanning (clamonacc) do ClamAV é um cliente que roda em seu próprio aplicativo junto, mas separadamente da instância clamd. O On-Access Scanner é capaz de impedir o acesso de/para qualquer arquivo malicioso que ele descobrir - com base no veredicto que recebe do clamd - mas por padrão ele é configurado para ser executado no modo somente notificação, o que significa que ele simplesmente alertará o usuário, se um arquivo malicioso for detectado, executará quaisquer ações adicionais que o usuário possa ter especificado na linha de comando, mas isso não impedirá ativamente que os processos leiam ou gravem nesse arquivo."

O calmonacc é necessário na tal proteção em tempo real, mesmo só avisando o clamd (que faz o serviço pesado) justamente para não consumir recursos da máquina, o clamonacc avisa qual arquivo dá para abrir e qual não de acordo com as configurações Include/exclude path no clamd.conf, além das outras, depois o clamd entra em ação, entendeu?
O clamonacc surgiu na versão 0.102, portanto, surgiu depois justamente para sanar um pouco o problema de consumir recursos.
Claro que tu pode usar sem o clamonacc, mas daí consumirá mais memória e mais CPU ainda. Caso tu tiver uma configuração robusta de hardware, pode usar o clamd direto.

E no limits.conf coloque os dois então, eles têm funções diferentes:
...
clamonacc - priority 15
clamonacc - nice 15
# End of file

Caso colocar o clamd no arquivo dará erro após rodar o source.
Eu, particularmente, só coloquei as linhas no limits.conf porque o Henrique falou que estava com consumo alto de CPU, coisa que eu nunca tive aqui e acredito que é por causa de ter aumentado os limites de controle para 20M, além dos outros parâmetros, como escrevi acima no outro post e também porque tenho boa quantidade de RAM na máquina.

E leia de novo:
"A linha diz ao sistema para dar a prioridade 15 para o ClamAV que é mais alta do que o padrão 10, mas permite ao ClamAV ter mais acesso à CPU e isso consome menos recursos."
Nada a ver com aumentar ou diminuir a prioridade por si só, mas tem a ver com o padrão e com colocar a prioridade num limite certo para não consumir tanta CPU no escaneamento ao abrir cada arquivo.
Lembrando que o ClamAV não fica escaneando o tempo todo (aliás, nenhum anti-vírus faz isso), o ClamAV especificamente escaneia quando alguma coisa acontece no sistema e isso de acordo com as configurações dos arquivos ou quando você decide escanear uma pasta em específico também de acordo com as configurações dos dois arquivos.

E lembrando também que a função principal do ClamAV é ser um anti malware (que é projetado para "pegar" tudo; em 'malware' inclui-se vírus, ramsonware, etc) de um modo geral para e-mails, o clamav-milter é a função principal dele, o clamscan e o clamdscan são, grosso modo, acessórios.
A Cisco está implementando o ClamAV como anti-vírus, mas é uma solução de código aberto, então acredito que será assim por um bom tempo, dependendo de cada um configurar de acordo com as suas necessidades.
É a tal liberdade do Linux, que, por um lado é bom, mas por outro lado nunca existe uma configuração padrão, vai de cada sistema, hardware, etc.


No link abaixo tem ótimos exemplos de configurações (com explicações) para usar no clamd.conf, vejam nos Use Case:
https://docs.clamav.net/manual/OnAccess.html

_________________________________________________________
Always listen the Buck!
Enquanto o cursor estiver pulsando, há vida!

aguamole
(usa KUbuntu)

Enviado em 26/03/2024 - 11:43h

Eu expliquei 2 vezes já que o clamonacc não fica em loop scaneiando arquivos repetidamente infinitamente, ele usa um sistema de controle(inotify) para snacanear o arquivo uma só vez e depois para de fazer este serviço e só verifica novamente se o arquivo for modificado, não faz nenhum sentido antivirus scanear arquivo em loop infinito.

Henrique-RJ
(usa Outra)

Enviado em 26/03/2024 - 12:20h

Em todas as tentativas que fiz até agora não consegui um alerta se quer de detecção do eicar no log do clamonacc.

É frustrante.


_______________________________________________________
E viu-se um grande sinal no céu: uma mulher vestida do sol, tendo a lua debaixo dos seus pés, e uma coroa de doze estrelas sobre a sua cabeça. Apocalipse 12:1 Nsa Sra de Fátima, Nsa Sra de Lourdes, Nsa Sra das Graças ...
_______________________________________________________
São Padre Pio de Pietrelcina, Santa Faustina Kowalska, São Francisco de Assis e Santa Gema Galgani foram alguns dos que tiveram os milagres dos Estigmas de Cristo em seus corpos, Feridas que sangravam
_______________________________________________________
Milagre Eucarístico que ocorreu em uma Igreja de Lanciano na Itália no ano de 750 em que o vinho se tornou sangue e o pão carne humana estão até hoje intactos. https://pt.wikipedia.org/wiki/Milagre_eucar%C3%ADstico_de_Lanciano