Server bị nhiễm virus bởi các lỗ hổng bảo mật trong hệ điều hành, các phần mềm độc hại, tấn công mã độc qua website,.. phải làm sao để phát hiện và xử lý? Trong bài viết dưới đây, Nhân Hòa sẽ giới thiệu về ClamAV - Một trong những phần mềm diệt virus hàng đầu hiện nay, từ đặc điểm đến cách cài đặt và sử dụng ClamAV chi tiết.
ClamAV là gì?
ClamAV (viết tắt của Clam Antivirus) là một phần mềm chống virus mã nguồn mở, miễn phí, hỗ trợ đa nền tảng, được phát triển bởi Cisco Systems. Phần mềm này có khả năng phát hiện nhiều loại phần mềm độc hại, bao gồm virus, trojan và các mối đe dọa bảo mật khác.
Phần mềm này có thể được sử dụng trên cả Email, ứng dụng nổi bật của ClamAv trên các máy chủ mail (mail server) là hoạt động như một trình quét virus email phía máy chủ. Ứng dụng này được thiết lập dành cho Unix và cung cấp các phiên bản dành cho bên thứ ba có sẵn cho Linux, MacOs, AIX, BSD, OpenVMS, OSF(Trust 64) và Solaris. Từ phiên bản 0.97.5, Clam Antivirus được phát triển và chạy trên Microsoft Windows. ClamAV được cung cấp và sử dụng miễn phí ở tất cả các phiên bản.
>>> XEM THÊM: Virus là gì? Điểm tên các loại Virus máy tính thường gặp nhất
Các tính năng của phần mềm Clam Antivirus
ClamAV là một phần mềm hoàn toàn miễn phí, cho phép người dùng tùy chỉnh theo nhu cầu và tích hợp vào các hệ thống máy chủ như mail server, proxy server để bảo vệ hệ thống khỏi phần mềm độc hại. Dưới đây là những tính năng nổi bật của ClamAV:
Công cụ quét virus mạnh mẽ
ClamAV cung cấp một máy quét dòng lệnh giúp người dùng dễ dàng quét thủ công hoặc thiết lập lịch quét tự động để kiểm tra hệ thống. Phần mềm có khả năng phát hiện nhiều loại mã độc, bao gồm virus, trojan, spyware và ransomware.
Cập nhật cơ sở dữ liệu virus tự động
ClamAV luôn cập nhật cơ sở dữ liệu virus bốn giờ một lần, giúp phần mềm nhanh chóng nhận diện và loại bỏ các mối đe dọa mới. Việc cập nhật tự động giúp hệ thống luôn được bảo vệ trước những nguy cơ từ các loại virus mới xuất hiện.
Hỗ trợ nhiều định dạng tập tin
ClamAV có khả năng quét và phát hiện virus trên nhiều định dạng tập tin khác nhau. Tính năng này giúp phần mềm trở nên linh hoạt và phù hợp với nhiều nhu cầu bảo mật khác nhau.
Một số dạng tệp ClamAV hỗ trợ chính như:
- Tệp nén phổ biến:ZIP (bao gồm SFX), 7Zip, ARJ (SFX), Tar, CPIO, Gzip, Bzip2.
- Tệp hệ thống và phần mềm: MS OLE2, MS CHM (Compiled HTML), MS SZDD, BinHex, SIS (SymbianOS), Autolt.
- Tệp tài liệu và mã hóa:Microsoft Office, HTML, RTF (Rich Text Format), PDF. CryptFF, ScrEnc, Uuencode, TNEF (winmail.dat).
Khả năng tích hợp cao
ClamAV không chỉ hoạt động như một phần mềm diệt virus độc lập mà còn có khả năng tích hợp vào nhiều hệ thống bảo mật khác nhau.
- Mail server: Giúp quét email và tệp đính kèm, ngăn chặn mã độc lây lan qua email.
- Proxy server: Kiểm tra các tệp tải xuống từ internet để đảm bảo an toàn.
- API hỗ trợ: Có thể tích hợp vào các phần mềm bảo mật khác để mở rộng khả năng bảo vệ.
Quét tập tin theo thời gian thực
Trên hệ điều hành Linux, ClamAV có thể được cấu hình để thực hiện quét theo thời gian thực (on-access scanning). Tính năng này giúp phát hiện và ngăn chặn mã độc ngay khi chúng xuất hiện, tăng cường đáng kể mức độ bảo mật của hệ thống.
Sở hữu nhiều tính năng ưu việt như vậy, nhưng ClamAV cũng có các hạn chế nhất định khi sử dụng. ClamAV hoạt động chủ yếu thông qua dòng lệnh, gây khó khăn cho những người dùng không quen với Terminal. Bên cạnh đó, so với một số phần mềm chống virus thương mại, ClamAV có thể chậm hơn. Tuy nhiên, nhờ khả năng tùy chỉnh linh hoạt, ClamAV vẫn là một lựa chọn tốt cho các hệ thống máy chủ.
>>> KHÁM PHÁ: 7 phần mềm diệt Malware tốt nhất hiện nay
Hướng dẫn Cài đặt và sử dụng ClamAV chi tiết
1. Cài đặt ClamAV
Đầu tiên, cần kích hoạt kho lưu trữ EPEL để có thể cài đặt ClamAV:
yum install epel-release
Sau đó, cài đặt ClamAV cùng các công cụ hỗ trợ bằng lệnh:
yum -y install clamav-server clamav-data clamav-update clamav-filesystem clamav clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemd
Sau khi cài đặt, bạn có thể kiểm tra danh sách các gói ClamAV có sẵn trên hệ thống.
2. Cập nhật cơ sở dữ liệu ClamAV thủ công
Trước khi sử dụng, ClamAV cần có cơ sở dữ liệu mới nhất. Để cập nhật thủ công, chạy lệnh sau:
Lệnh này sẽ tải về cơ sở dữ liệu mới nhất để ClamAV có thể phát hiện các loại mã độc mới.
3. Thiết lập cập nhật tự động cơ sở dữ liệu
Tùy vào hệ điều hành, cách thiết lập cập nhật tự động của freshclam cũng sẽ khác nhau
Trên Ubuntu với /etc/clamav/freshclam.conf
Mở tệp cấu hình freshclam.conf của Ubuntu sẽ có 1 đoạn code như sau:
# Check for new database 24 times a day
Checks 24
DatabaseMirror db.local.clamav.net
DatabaseMirror database.clamav.net
Nội dung trên có ý nghĩa là ClamAV sẽ kiểm tra và cập nhật cơ sở dữ liệu mỗi giờ một lần.
Trên CentOS 7(Dùng Cronjob)
Với package clamav-update-0.103.7-1.el7.x86_64, ClamAV sử dụng cronjob để tự động cập nhật cơ sở dữ liệu. Cronjob này nằm trong tệp /etc/cron.d/clamav-update:
Ký hiệu “*/3” ở cột thứ 2 có nghĩa rằng ClamAV sẽ kiểm tra cập nhật 3 giờ một lần.
Người dùng có thể tùy chỉnh thời gian này theo ý muốn nhưng cần phải thay đổi cấu hình ở cả tệp /etc/sysconfig/freshclam. Nếu muốn kiểm tra cập nhật mỗi giờ, hãy sửa giá trị */3 thành *. Lúc này vào chỉnh sửa file /etc/sysconfig/freshclam, bạn sẽ thấy câu lệnh như sau:
Bỏ dấu “#” ở đầu dòng và thêm vào số phút bạn muốn giữa mỗi lần kiểm tra cập nhật. Ở ví dụ này, để freshclam update mỗi một giờ, ta thêm vào số 60
FRESHCLAM_MOD=60
Ở hình trên cũng có một cấu hình khác là FRESHCLAM_DELAY, để tắt cập nhật tự động hãy sửa thành:
FRESHCLAM_DELAY=disabled
>>> XEM THÊM: Cách nhận biết các trang web độc hại, lừa đảo cần tránh
4. Thiết lập tệp cấu hình ClamAV
ClamAV có tệp cấu hình chính nằm tại /etc/clamd.d/scan.conf.
Mặc định, ClamAV sẽ chạy với quyền của user clamscan. Tuy nhiên, để có thể quét toàn bộ hệ thống, bạn nên đổi user này thành root. Tìm đến dòng sau: User clamscan và sửa thành user root
Các tùy chọn còn lại để ở mặc định. Sau khi chỉnh sửa, lưu lại và thoát.
5. Thiết lập và khởi động dịch vụ ClamAV
Sau khi cài đặt ClamAV, hệ thống sẽ có sẵn một tệp cấu hình mẫu cho dịch vụ clamd.service. Để dịch vụ này hoạt động, bạn cần sao chép tệp này vào thư mục quản lý dịch vụ của hệ thống:
cp -ap /usr/lib/systemd/system/clamd@.service /etc/systemd/system/clamd.service
Tiếp theo, mở tệp /etc/systemd/system/clamd.service.
Thay thế %i thành scan.conf:
Bây giờ, bạn chỉ cần kích hoạt và khởi động dịch vụ ClamAV với lệnh:
systemctl enable clamd.service --now
Cuối cùng, hãy kiểm tra lại xem ClamAV có đang chạy hay không
6. Quét Virus với ClamAV
Để quét virus trong thư mục hiện tại, chạy lệnh sau:
clamscan --infected --remove --recursive ./
Giải thích các tùy chọn:
--infected: Chỉ hiển thị các tệp bị nhiễm virus.
--remove: Xóa các tệp bị nhiễm (Cẩn thận khi sử dụng vì có thể xóa nhầm tệp quan trọng).
--recursive: Quét toàn bộ các thư mục con trong thư mục hiện tại.
Nếu bạn chỉ muốn kiểm tra mà không xóa tệp bị nhiễm, hãy bỏ tùy chọn --remove.
Lời kết
Như vậy, Nhân Hòa đã giới thiệu đến bạn về ClamAV và hướng dẫn cài đặt & sử dụng ClamAV chi tiết từng bước. Vì là phần mềm mã nguồn mở, cơ sở dữ liệu của ClamAV được xây dựng từ sự đóng góp của cộng đồng và không ngừng mở rộng theo thời gian. Nhân Hòa hy vọng bài viết này hữu ích đối với bạn trong việc bảo vệ hệ thống dữ liệu của doanh nghiệp
Thông tin liên hệ Nhân Hòa:
+ Tổng đài: 1900 6680
+ Website: https://nhanhoa.com/
+ Fanpage: https://www.facebook.com/nhanhoacom
+ Khuyến mãi Nhân Hòa: https://nhanhoa.com/khuyen-mai.html