ClamAV ist ein kostenloser open source Virenscanner für Unix/Linux. Besonders gern wird er auf Mailservern verwendet, um verseuchte Emails abzufangen.

Homepage: http://www.clamav.net/

Lizenz: GPL

Links

Deutsche Dokumentationen

Clam AntiVirus 0.71 Benutzerhandbuch

DSPAM mit eingebettetem ClamAV, integriert in Postfix

Postfix-Cyrus-Procmail-SpamAssassin Howto

Postfix + ClamAV in 4 Schritten

Englische Dokumantationen

Ausführliche Doku vom ClamAV-Projekt

Clam AntiVirus 0.93

Tipps & Tricks

• wenn man clamav aus den Sourcen übersetzt, ist die Installation standardmäßig nach /usr/local. Die Config wird dann korrekt unter /usr/local/etc/{clamav.conf,freshclam.conf} gefunden, ohne dass man das angeben müsste.

• Änderungen an clamav.conf:

  # DIES SOLLTE MAN NICHT ÜBERSEHEN UND ENTFERNEN:
  # Comment or remove the line below.
  Example
  LogFile /var/log/virus.log
  LogTime
  # folgendes muss mit der amavis-config übereinstimmen:
  LocalSocket /var/run/clamav/clamd
  FixStaleSocket
  # gleicher User wie amavis:
  User antivirus

• Änderungen an freshclam.conf:

  # gleicher user wie amavis:
  DatabaseOwner antivirus
  NotifyClamd
  OnErrorExecute echo "freshclam: virus database update failed." | mail -s "clamav virus db update failed." root@localhost

Per /etc/cron.d/antivirus mittels cron alle 2h nach Updates sehen (entspricht der Empfehlung von ClamAV):

PATH=/bin:/usr/bin:/sbin:/usr/sbin:/usr/local/bin:/usr/local/sbin
0 */2 * * *  root /usr/local/bin/freshclam >/dev/null 2>&1

Man kann freshclam auch als Dämon laufen lassen, die cron-Methode war mir aber lieber weil:

• kein dauerlaufender Dämon Resourcen benötigt
• kein Dämon sich verklemmen kann (und dann nie wieder updated)
• kein Initscript notwendig ist

Für die aktuelle Version unter Debian folgende Zeilen in die sources.list aufnehmen:

deb ftp://ftp2.de.debian.org/debian-volatile stable/volatile main
deb ftp://ftp2.de.debian.org/debian-volatile stable-proposed-updates/volatile main

Clamav in Debian etch tut nicht mehr stabil, Update-Probleme ...

Clamav 0.90 aus etch tut nicht mehr korrekt, freshclam.log zeigt:

ClamAV update process started at Sun Feb 24 08:25:22 2008
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.90.1 Recommended version: 0.92.1
DON'T PANIC! Read http://www.clamav.net/support/faq
main.cvd is up to date (version: 45, sigs: 169676, f-level: 21, builder: sven)
Ignoring mirror 62.26.160.3 (too often connections with outdated version)
Trying host db.local.clamav.net (62.201.161.84)...
Downloading daily-5950.cdiff [0%]
Ignoring mirror 62.201.161.84 (too often connections with outdated version)
ERROR: getpatch: Can't download daily-5951.cdiff from db.local.clamav.net

Der #clamav IRC-Support empfiehlt, die Version aus etch/volatile zu nehmen.

Dazu dieses zu /etc/apt/sources.list hinzufügen:

deb http://volatile.debian.org/debian-volatile etch/volatile main contrib non-free

Dann apt-get update, um neue Paketlisten zu holen und mit apt-get -s dist-upgrade simulieren, was es alles in Bezug auf clamav updaten würde.

Dann mit apt-get install <paketname> diese clamav-Pakete installieren.

Frage: WELCHE clamav-pakete? Könnte man das bitte präziser beschreiben? Danke!

Zum Schluss vorsichtshalber die sources.list wieder in den alten Zustand versetzen und nochmal apt-get update.

Na, das ist ja wohl quatsch, denn damit würde man beim nächsten update die Pakte wieder rausschmeissen.-

@addon nein - bei mir nicht - man sollte sogar volatile wieder auskommentieren, denn dummerweise wird ja nicht nur clamav geupdated sondern auch alles andere - und dort will ich keine volatile-pakete haben !

Mini-Howto

Viren ausfiltern auf MUA-Ebene

Mit AMaViS oder ScanMail kann man ganze Mailserver vor Viren schützen. Manchmal will man aber auch nur das eigene Mail-Konto sauber halten.

Kmail

Mit dem angehängten Python-Programm pclamscan.py kann man bei kmail alle eingehenden Mails Scannen und ggf. in einen Quarantäne Ordner verschieben (Falls der Spam-Filter sie nicht schon fängt). Bei einem Virus-Verdacht fügt es einer durchgepipeten Mail den Header X-Virus: yes an. Um das in Kmail zu erreichen sind folgende Schritte nötig:

1. ggf. Python installieren

2. pclamscan.py in den Pfad kopieren (z.B. nach /usr/bin/)

3. und ausführbar machen: chmod a+x pclamscan.py

4. In Kmail den Ordner Virus-Verdacht anlegen

5. Einstellungen/Filter Einrichten auswählen

6. einen neuen Filter anlegen und in Virusscan mark" umbenennen

7. Filter Bedingung: <Nachricht> passt auf Regulären Ausdruck: .*

8. Filter Aktion: Entferne Vorspann: X-Virus

9. Filter Aktion: mehr anklicken

10. Filter Aktion: durch Programm leiten: pclamscan.py

11. bei Weitere Einstellungen darf die Option "Bearbeitung hier abbrechen, falls Bedingung zutrifft" nicht aktiviert sein

12. einen weiteren Filter anlegen und Virusscan Quarantäne nennen.

13. der Virusscan Quarantäne Filter muss unterhalb des Virusscan mark Filters stehen

14. Filter Bedingung: X-Virus enthält yes

15. Filter Aktion: Verschieben in Ordner Virus-Verdacht

16. bei Weitere Einstellungen soll diesmal die Option "Bearbeitung hier abbrechen, falls Bedingung zutrifft" aktiviert sein

Hinweis zu Mandriva

Unter Mandriva muss man unter Umständen das Skript pclamscan.py anpassen sofern es nach obiger Beschreibung nicht funktioniert. Dazu öffnet man das Skript pclamscan.py in einem beliebigen Texteditor und ändert die Zeile scannerbin = "/usr/local/bin/clamscan --mbox -" in scannerbin = "/usr/bin/clamscan --mbox -", entfernt also das /local.

TrashScan

Bei ClamAV ist ein kleines Shellscript dabei, mit dem man sich der nervigen Windows-Viren entledigen kann. Es verwendet procmail.