ClamAV - O que o serviço "clamd@scan" faz por padrão?

PERGUNTA: O que o serviço "clamav@scan" faz por padrão se encontrar ameaças?

Ele informa o cliente

PERGUNTA ADICIONAL: Eu gostaria que o ClamAV tivesse o comportamento "clássico" de um mecanismo antivírus, ou seja, remover ameaças automaticamente.

não faz isso. ele apenas fica esperando por algo para fornecer um arquivo para inspecionar.

Se ele não faz isso por padrão, o que devo fazer para que ele faça isso?

use o comando "clamscan".

Achei útil postar aqui algumas respostas obtidas em uma das listas de e-mail oficiais do ClamAV ( [email protected], https://www.clamav.net/contact ). A meu ver, dão uma boa visão de como proceder tendo em conta as questões que fiz .

Respostas de Órion:

• PERGUNTA

Tenho pesquisado o ClamAV para entender o que o serviço "clamd@scan" faz por padrão no caso de encontrar ameaças. Até agora não consegui obter uma resposta satisfatória e clara (fóruns, documentações, etc)...

PERGUNTA: O que o serviço "clamav@scan" faz por padrão se encontrar ameaças?

• RESPONDA

O serviço clamd@scan executa o clamd com o arquivo de configuração "/etc/clamd.d/scan.conf". Consulte esse arquivo para obter detalhes.

• PERGUNTA

PERGUNTA ADICIONAL: Eu gostaria que o ClamAV tivesse o comportamento "clássico" de um mecanismo antivírus, ou seja, remover ameaças automaticamente. Se ele não faz isso por padrão, o que devo fazer para que ele faça isso?

• RESPONDA

Consulte "man clamd.conf" e os comentários em "/etc/clamd.d/scan.conf" para suas opções.

Respostas do GW:

• PERGUNTA

PERGUNTA: O que o serviço "clamav@scan" faz por padrão se encontrar ameaças?

• RESPONDA

Eu não sei exatamente qual pacote você está usando. O comportamento do serviço prestado por um pacote dependerá de como ele foi configurado pelo provedor do pacote. Assumindo que o mantenedor do pacote não perdeu sua sanidade, o serviço será configurado simplesmente para relatar descobertas (por exemplo, registrando uma mensagem em um log do sistema e, se você usar uma ferramenta de linha de comando, imprimindo uma mensagem no tty/terminal/ qualquer que seja).

Leia a documentação no site do ClamAV para obter mais informações:

http://www.clamav.net/documents/clam-antivirus-user-manual

Cópias e paródias da documentação do ClamAV em outros lugares na Internet podem estar desatualizadas, enganosas, às vezes incorretas e, ocasionalmente, totalmente perigosas.

• PERGUNTA

PERGUNTA ADICIONAL: Eu gostaria que o ClamAV tivesse o comportamento "clássico" de um mecanismo antivírus, ou seja, remover ameaças automaticamente. Se ele não faz isso por padrão, o que devo fazer para que ele faça isso?

• RESPONDA

Leia a parte que diz

"Tome cuidado!"

Se você ainda não encontrou essa parte, continue lendo até encontrar.

• PERGUNTA

NOTAS: I - O sistema operacional escolhido foi o CentOS 7 e o processo utilizado está descrito neste tutorial https://hostpresto.com/community/tutorials/how-to-install-clamav-on-centos-7/

• RESPONDA

De um modo geral eu recomendo que você evite tutoriais como este porque eles tendem a tomar decisões por você sem o benefício de informações sobre sua situação que só você pode ter. Eu recomendo que você NÃO tente automatizar a remoção de ameaças em qualquer sistema Linux sem uma consideração muito cuidadosa. O uso descuidado do ClamAV em um sistema Linux fará mais mal do que bem. Em particular, este tutorial fará com que você verifique locais no sistema de arquivos que não podem ser verificados com segurança com o ClamAV, nem com qualquer ferramenta antivírus. Lembre-se de que, mesmo em uma instalação mínima, o ClamAV verifica muito mais do que apenas vírus e malware e que a taxa de falsos positivos nunca é zero. Sinto que, no momento, você não entende os problemas o suficiente para considerá-los com bastante cuidado.

Eu tenho usado o ClamAV por muitos anos, em centenas de sistemas Linux. Talvez isso se deva principalmente à boa higiene, mas ainda não vi o ClamAV encontrar um vírus Linux, nem malware Linux, nem rootkit Linux em nenhum sistema Linux. Eu ficaria satisfeito se alguém relatasse, aqui nesta lista, o que eles encontraram, quando eles encontraram e como eles acham que chegaram lá. Qualquer sistema Linux que tenha sido comprometido é um perigo, e meu conselho seria reconstruí-lo do zero.