{"id":417,"date":"2020-03-13T22:59:27","date_gmt":"2020-03-13T21:59:27","guid":{"rendered":"https:\/\/www.pinguytaz.net\/?p=417"},"modified":"2020-03-14T00:07:20","modified_gmt":"2020-03-13T23:07:20","slug":"clamav-protegiendo-tu-linux","status":"publish","type":"post","link":"https:\/\/www.pinguytaz.net\/index.php\/2020\/03\/13\/clamav-protegiendo-tu-linux\/","title":{"rendered":"ClamAV (Protegiendo tu LINUX)"},"content":{"rendered":"\n<p>Nadie esta libre de virus o RootKits, tampoco Linux, pero para protegernos disponemos diferentes herramientas <a href=\"https:\/\/www.clamav.net\">ClamAV<\/a>(es el tema que nos ocupa hoy) y otras como <a href=\"http:\/\/rkhunter.sourceforge.net\/\">RKhunter<\/a> para detectar rootkit traseras y otras que hablaremos en otros POST.<\/p>\n\n\n\n<p><a href=\"https:\/\/www.clamav.net\/\">ClamAV<\/a> nos permite localizar malware (virus, troyanos, gusanos, macros malignos de documentos) pues no solo el malware de Linux nos afecta ya que a veces ejecutamos aplicaciones Windows en nuestro Linux.  Ya sea escaneando la entrada de mails que era el objetivo principal para el que se creo esta herramienta, como el escaneo desde linea de comando e interfaz gr\u00e1ficos y es es multiplataforma ya que tambi\u00e9n esta disponible en Windows, MacOS, etc.  y todo esto OpenSource.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Instalaci\u00f3n<\/h4>\n\n\n\n<p>Lo primero explicaremos lo sencillo que es instalarlo que veremos que es muy f\u00e1cil en un sistema como <a href=\"https:\/\/www.debian.org\/\">Debian<\/a>:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>sudo apt install clamav clamav-daemon libclamunrar9 daemon\n\n\/\/Actualizamos la BBDD\nsudo freshclam\n\n\/\/Reiniciamos el servicio\nsudo \/etc\/init.d\/clamav-daemon start\nsudo \/etc\/init.d\/clamav-freshclam start\nsudo \/etc\/init.d\/clamav-milter start        \/\/ Proteger de SPAM nuestro servidor de correos.<\/code><\/pre>\n\n\n\n<p>En caso de no tener <a href=\"https:\/\/www.debian.org\/\">Debian<\/a> o cualquier otra distribuci\u00f3n (  RHEL\/CentOS,  Fedora,   openSUSE, OSX, etc.)   con los paquetes del antivirus, podr\u00edamos bajarnos el <a href=\"https:\/\/www.clamav.net\/documents\/installing-clamav-on-unix-linux-macos-from-source\">fuente y compilarlo<\/a>.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Uso<\/h4>\n\n\n\n<p>Despu\u00e9s de instalarlo vamos a ver como se utiliza, para despu\u00e9s ver como configurarlo para tener una protecci\u00f3n en tiempo real y que nos avise en caso de encontrar alg\u00fan problema.<\/p>\n\n\n\n<p> Lo primero, aunque se vio en la instalaci\u00f3n es el saber como tener siempre <strong>actualizada la base de datos<\/strong> de firmas. Para esto utilizaremos el comando \u00abfreshclam\u00bb pero antes de esto deberemos parar el servicio de actualizaci\u00f3n del mismo nombre.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>sudo \/etc\/init.d\/clamav-freshclam stop\nsudo freshclam\nsudo \/etc\/init.d\/clamav-freshclam start<\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"165\" src=\"https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2019\/09\/image-1024x165.png\" alt=\"\" class=\"wp-image-422\" srcset=\"https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2019\/09\/image-1024x165.png 1024w, https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2019\/09\/image-300x48.png 300w, https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2019\/09\/image-768x124.png 768w, https:\/\/www.pinguytaz.net\/wp-content\/uploads\/2019\/09\/image.png 1035w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Para poder realizar un escaneo desde linea de comando usaremos el comando \u00ab<strong><em>clamscan<\/em><\/strong>\u00bb que dispone de muchas opciones que podremos ver con \u00ab<em>man clamscan<\/em>\u00bb y que comentaremos con ejemplos las m\u00e1s utilizadas:<\/p>\n\n\n\n<p>Simplemente ejecutando \u00ab<em>clamscan<\/em>\u00bb y el directorio o fichero a examinar, nos permite analizar el fichero o directorio indicado. Pero tambi\u00e9n podremos realizar un an\u00e1lisis recursivo del directorio.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>clamscan -r &lt;directorio><\/code><\/pre>\n\n\n\n<p>Si queremos que la salida se vuelque a un fichero para poder luego ver f\u00e1cilmente los ficheros que han dado positivo. Tambi\u00e9n se puede usar la opci\u00f3n \u00ab-i\u00bb para que nos muestre solo los ficheros infectados.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>clamscan -r --log=&lt;fichero de Salda> &lt;Directorio><\/code><\/pre>\n\n\n\n<p>Se pueden definir acciones cuando se encuentre con un fichero infectado, para que no solo se quede en un aviso, como es moverlo a un directorio o borrarlo.<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>&#8211;remove    Borrara el fichero infectado.<\/li><li>&#8211;move=&lt;directrio cuarentena&gt;   Para que mueva el fichero infectado a un directorio de cuarentena, y as\u00ed asegurarnos que no es un falso positivo.<\/li><li>&#8211;copy=&lt;directorio cuarentena&gt;   En este caso no lo mueve sino que solo lo copia de forma que nos lo copia en un directorio para realizarse un an\u00e1lisis m\u00e1s profundo y mientras continuamos con el en su lugar de ejecuci\u00f3n.<\/li><\/ul>\n\n\n\n<p>Tambi\u00e9n podremos indicar que tipo de ficheros nos escanea o no \u00ab&#8211;scan-&lt;tipo&gt;=yes|no\u00bb unos se escanean por defecto, aunque podremos anularlos, y otros deberemos especificar que se escaneen.<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>&#8211;scan-pe            Ficheros Windows .EXE, .DLL, .SYS<\/li><li>&#8211;scan-ole2        COntenedores de archivos OLE<\/li><li>&#8211;scan-elf            Ficheros ejecutables Unix<\/li><li>&#8211;scan-pdf          Ficheros PDF<\/li><li>&#8211;scan-hwp3       Procesador de texto de Hewlett-Packard<\/li><li>&#8211;scan-swf           Ficheros Flash<\/li><\/ul>\n\n\n\n<p>Los escaner de ficheros que debemos indicar que si queremos revisarlos, pues por defecto est\u00e1n a no son:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>&#8211;alert-broken                            Alerta de ejecutables WIndows y Unix (PE, ELF) rotos.<\/li><li>&#8211;alert-encrypted                      Alerta de archivos y documento que esten cifrados.<\/li><li>&#8211;alert-encrypted-archive y &#8211;alert-encrypted-doc      Alerta pero solo de archivos o solo doc.<\/li><li>&#8211;alert-macros                           Alerta de ficheros que contienen macros VBA.<\/li><\/ul>\n\n\n\n<p>Podremos profundicar mucho m\u00e1s con \u00abclamsca &#8211;help\u00bb ya que podemos limitar el tama\u00f1os de los ficheros a escanear.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Configuraci\u00f3n<\/h4>\n\n\n\n<p>Ahora hablaremos de la configuraci\u00f3n, especialmente para tener una protecci\u00f3n activa, que nos permitir\u00e1 definir cualidades por defecto y tomar medidas al abrir un fichero infectado ya sea solo un aviso o un bloqueo de uso.<\/p>\n\n\n\n<p>Los ficheros de configuraci\u00f3n se encuentran en \u00ab\/etc\/clamv\u00bb donde podremos encontrar:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>clamd.conf que explicaremos para poder realizar un an\u00e1lisis en tiempo real.<\/li><li> freshclam.conf  para las actualizaciones<\/li><li>clamav-milter.conf   para configurar el antivirus en nuestro servicio de correo (sendmail por ejemplo) que en no trataremos en este articulo.<\/li><\/ul>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Nadie esta libre de virus o RootKits, tampoco Linux, pero para protegernos disponemos diferentes herramientas ClamAV(es el tema que nos ocupa hoy) y otras como RKhunter para detectar rootkit traseras y otras que hablaremos en otros POST. ClamAV nos permite localizar malware (virus, troyanos, gusanos, macros malignos de documentos) pues no solo el malware de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":705,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"site-container-style":"default","site-container-layout":"default","site-sidebar-layout":"default","disable-article-header":"default","disable-site-header":"default","disable-site-footer":"default","disable-content-area-spacing":"default","footnotes":""},"categories":[102,17,101],"tags":[105,103,106,104],"class_list":["post-417","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-rootkit","category-seguridad-linux","category-virus","tag-antivirus","tag-clamav","tag-puertas-traseras","tag-rkhunter"],"_links":{"self":[{"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/posts\/417","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/comments?post=417"}],"version-history":[{"count":11,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/posts\/417\/revisions"}],"predecessor-version":[{"id":693,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/posts\/417\/revisions\/693"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/media\/705"}],"wp:attachment":[{"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/media?parent=417"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/categories?post=417"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/tags?post=417"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}