10-04

Clamav, faire une analyse antivirus de son serveur

Clamav est l'antivirus le plus souvent installé par défaut sur la plupart des serveurs dédiés et des systèmes Linux. Gratuit et performant il permet d'effectuer des analyses rapides à partir d'une base de données de définition de virus connus. Il tourne généralement en tâche de fond et est très souvent couplé à SpamAssassin pour effectuer les analyses antivirus des emails entrants (et sortant). Si vous souhaitez analyser votre serveur, vous pouvez utiliser le binaire clamscan pour voir si votre système est infecté ou non. Toutefois, c'est comme tous les antivirus, si le virus n'est pas dans la base de données, le virus ne sera pas trouvé. Rendez-vous dans le dossier à scanner, dans mon cas, je souhaite scanner mes sites Internet, donc situés sur la partition home.
cd /
# On ne va afficher que les fichiers infectés (--infected)
# On va analyser de manière récursives les fichiers (--recursive)
clamscan --infected --recursive home/
Patientez pendant que l'analyse se fait. Celle-ci peut être très longue si vous avez de nombreux fichiers à scanner et dépends aussi de la puissance de votre serveur. Une fois l'analyse effectué, si des virus ont été trouvés, vous trouverez des résultats de ce genre :
home/...gerard/Maildir/new/1266298341.6980.den.aserv.eu,S=11028: Trojan.Downloader.Bredolab-1423 FOUND
home/...gerard/Maildir/new/1260650169.27721.den.aserv.eu,S=3576: Phishing.Heuristics.Email.SpoofedDomain FOUND
Puis Clamav vous donnera un petit sommaire :
----------- SCAN SUMMARY -----------
Known viruses: 754683
Engine version: 0.95.3
Scanned directories: 1
Scanned files: 30407
Infected files: 99
Data scanned: 132.56 MB
Data read: 89.12 MB (ratio 1.49:1)
Time: 937.575 sec (15 m 37 s)
Voilà, il ne vous reste plus qu'à vérifier les fichiers infectés, dans mon cas il s'agissait d'emails mis en quarantaine, mais de temps en temps, il peut s'agir de réels virus uploadés par FTP.

 

 

2 Commentaires pour ce billet.

 

 

  1. Bonjour
    J'ai installé il y a peu ClamXav.
    Après analyse, il me donne ce résultat:
    /Users/Pascal/Library/Thunderbird/Profiles/8nuezzk8.default/Mail/mail.desk.eu/Inbox: Phishing.Heuristics.Email.SpoofedDomain FOUND
    ******
    The above file looks like it may be part of an email mailbox, please think carefully about what to do with this file. If it has been quarantined, you may end up losing some email. I suggest you leave this file where it is (or move it back if it's been quarantined) and delete suspicious messages from within your email client.

    Je crois comprendre qu'il y a un virus dans un de mes e-mails. Oui, mais lequel? Comment y trouver? J'ai suivi le chemin et j'arrive au fichier Inbox que j'ai ouvert avec Text edit. Mais comment savoir ce que je dois supprimer?
    Merci

  2. Ce n'est pas un virus mais uniquement un lien de phishing, par exemple les faux mails de banque, Paypal, ou autre.
    Cela ne sert à rien de le supprimer, mais sinon, il faudrait voir au niveau de ThunderBird (que je ne connais pas assez).

 

Votre commentaire