web analytics

Linux en Security: ClamAV antivirus

Print Friendly, PDF & Email

Euh, waarom een anti-virus voor Linux.
Ik dacht dat Linux virus-vrij was.

Voor het grootste gedeelte is het inderdaad zo dat de Linux omgeving dermate in elkaar zit dat het een lastige en moeilijke omgeving is om er malware op los te laten.
Lees The short life and hard times of a Linux virus

Er zijn echter wel redenen waarom je toch een anti-virus pakket zou moeten draaien op je Desktop PC en deze hebben bijna allemaal te maken met met het samenleven in een Windows wereld:

  1. de IT-richtlijnen betreffende BYOD verplichten je om op je apparaat een werkende en actuele virusscanner te hebben.
  2. om een Windows schijf in je systeem te scannen
  3. om een Windows-based NAS of harde schijf te scannen
  4. om een Windows machine te scannen over het netwerk
  5. om een Windows virtual machine van binnen de virtuele machine te beschermen
  6. om bestanden te scannen op Windows malware die je gaat versturen naar anderen
  7. om een e-mail te scannen op Windows malware welke je gaat doorsturen
  8. omdat bepaalde Windows virussen onder Wine kunnen draaien
  9. je rolt eigen gemaakte Linux programma’s uit

Ondanks alles mag je nooit uit het oog verliezen dat een malware besmettingen binnen Linux altijd mogelijk is
it is not if, but when
dus …

Kennis is macht

Wanneer je je moet beschermen tegen malware, is het belangrijk te weten dat malware typisch komt als een onderdeel van een uitvoerbaar bestand (≈ exe-bestand in Windows), of dat de malware het uitvoeringsbestand zelf is.
Wat velen over het hoofd zien, maar minstens even belangrijk is, is te weten dat malware zich ook in niet-uitvoerbare bestanden zoals  *.doc bestanden, tekstbestanden en FLV bestanden kan bevinden. Hoe doen ze dat?

  • Iedereen die vertrouwd is met macro’s in een tekstverwerker (zoals MS-Word of Libre-Office) is zich bewust van de kans op macro virussen. Een macro virus is gewoon een  virus geschreven in de macrotaal van de applicatie.
  • Voor virussen in een tekstbestand zou een gebruiker een programma kunnen binnentrekken die zijn uitvoerbare code gewoon vanuit het tekstbestand haalt dat samen met het programma was binnengetrokken.
  • Bij FLV (Flash-bestanden) is het mogelijk een Flash-virus te maken die de code zou uitvoeren die in het Flash-videobestand verborgen zit.
  • Ook niet vergeten: de meeste screensavers zijn uitvoerbare bestanden, dus kan er daar ook malware in verstopt zitten.
  • Bepaalde malware kan je systeem besmetten door via een open netwerkverbinding  binnen te glippen, of door een actieve verbinding te gijzelen.
    Dat is de één van redenen waarom bepaalde systeembeheerders de netwerkpoorten die niet in gebruik zijn als gesloten instellen.

Ondank het feit dat Linux zeer weinig virussen telt, zouden alle desktop PC’s en servers minsten een bepaalde vorm van bescherming moeten hebben tegen malware. Als je weet hoe malware werkt, en hoe je je systeem kan beschermen, zal deze kennis je helpen om je systemen vrij te houden van malware.

Hou er ook rekening mee dat crackers (kwaadaardige hackers) non-stop nieuwe afzetgebieden voor hun malware zoeken en zeer inventief zijn in het vinden van manieren om malware af te leveren bij hun slachtoffer.

Wetende dat veel bedrijven en steden langzaam maar zeker migreren naar Linux platforms, zal de Linux gemeenschap een steeds interessantere doelgroep worden om aan te vallen. Welke cracker zou nu Google niet eens op de knieën willen krijgen via malware….

Kortom : Preventie is het sleutelwoord

Antivirus Software/Virus Scanners:

Virus scanners zijn veiligheidssoftware die op je systeem zoeken naar malware. De scanners gaan op zoek naar bepaalde patronen in de code of specifieke karakteristieken eigen aan de malware, de zogenaamde signaturen.
Afhankelijk van de dreiging, de virusscanner en diens instellingen, kan de malware per direct van het systeem verwijderd worden, of kan aan de gebruiker gevraagd worden wat te doen met de gevonden malware.

ClamAV

clamav_logoDe meest populaire anti-virus voor Linux is ClamAV. ClamAV is een commandoregel anti-virus programma met een kleine RAM voetafdruk. Het is volledig vrij en openbron onder de GPL licentie. De updates zijn eveneens vrij.
ClamAV’s web-adres is clamav.net. Gebruikers kunnen naar deze site gaan voor downloads om de software vanuit de source te installeren of ze kunnen het volgende ingeven op de commandoregel om Clamav te installeren en te runnen (ubuntu en afgeleiden):

$ sudo su
# apt-get install clamav clamav-daemon clamav-freshclam clamav-unofficial-sigs
# freshclam
# service clamav-daemon start
# exit
$

De virus definities van ClamAV worden via het programma freshclam geüpdated.
Voer dus regelmatig sudo freshclam uit om de virus definities aan te passen. Werk je met ClamTK dan kan je dat automatiseren.

Opmerking: na het starten van fresclam op Linux Mint 17 werd direct gemeld dat de versie van Clamav uit de repo’s van Mint niet de laatste versie van het programma was. Om deze te hebben moest ik dus naar de website om het via de richtlijnen op https://github.com/vrtadmin/clamav-faq/blob/master/faq/Installing.md te installeren.
Het is belangrijk om ook https://github.com/vrtadmin/clamav-faq/blob/master/faq/faq-upgrade.md goed te lezen.
Ondanks die warning leek alles vlot te werken. Het was maar een punt-update verschil.

Terminal_005

ClamTK

ClamTK is een vrije grafische font-end (GUI) voor ClamAV en valt onder de GPL licentie.
ClamTK geeft parameters door naar ClamAV, maar ClamTK doet de scan niet zelf noch enige andere taak.
Installeer ClamTK, via het onderstaand commando:

sudo apt-get install clamtk

Na installatie vind je ClamTK terug in je menu, of via de Dash in Ubuntu.
Virusscanner_006

Ik draai enkel de scan op mijn /home map, recursief, zodat alle submappen ook meegenomen worden. Dat het  scannen een intensieve taak zie je als je effe ‘top’ draait of  het processenbheer opent.

Je kijkt dus best  wanneer je de opdracht loslaat op je systeem.

Virusscanner_007

Terminal_008

Processenbeheer_009

Oops…

En dat je ‘iets’ kunt vinden op je box blijkt uit het resultaat van de scan.

Virusscanner_011

4 bedreigingen gevonden op 93204 bestanden. Ben je ook benieuwd?

Scan Resultaten_012

Zoals je ziet werkt de scanner perfect, daar hij de test-bestanden heeft gedetecteerd.

ClamTK Planner

Via het menu ‘Geavanceerd > AV-instellingenwizard opnieuw uitvoeren’ roep je onderstaand scherm op en je bepaalt dat je automatisch je virusdefinities zult ophalen.

clamtk_013

Vervolgens open je de planner via het menu Geavanceerd > Taakplanner of de combinatie Ctrl-T. In het venster geef je een tijd aan om te scannen en een tijd om de definities op te halen. In beide gevallen op de + knop klikken om het tijdstip te bevestigen.

Plannen_014

Klik dan op [Sluiten] om je planning vast te leggen.

Mijn gedacht…

Je zal me niet horen zeggen dat je geen Anti-virus moet gebruiken. Er is inderdaad Linux malware maar het is enorm zeldzaam. Het is duidelijk een kwestie van persoonlijke voorkeur of je nu wel of niet gebruik maakt van anti-virus software.
Ik raad het aan bij servers en bedrijfscomputers. Voor je thuis PC laat ik het aan jou over, maar zelf gebruik ik Clamav op mijn Productie Desktop-PC,omdat ik daar programma’s ontwikkel onder Gambas en regelmatig een .deb bestand aanmaak om bij klant te installeren.
Ik lig wel niet wakker van de Windows malware die ik eventueel zou hebben. Dat is voor mij een non-event. Die gemeenschap is niet mijn grootste zorg. Dat daar ook automatisch op gezocht wordt is goed, maar niet essentieel voor mij.

That’s just my 2 cents about Linux malware.  😉

Beoordeling

2 Reacties

  1. Tony Impr
    1. eijie (Auteur bericht)

      Bedankt Tony. Foutje is rechtgezet

      Reageren

Geef een reactie

%d bloggers liken dit: