ClamAV: Difference between revisions

Line 2:

== Instalasi ==

sudo apt update

sudo apt update

sudo apt-get install clamav clamav-daemon

</syntaxhighlight><syntaxhighlight lang="shell">

sudo apt-get install clamav clamav-daemon

</syntaxhighlight>

=== Cek Versi ===

clamscan --version

clamscan --version

</syntaxhighlight>

=== Update Data Base ===

sudo systemctl stop clamav-freshclam

sudo systemctl stop clamav-freshclam

sudo freshclam

</syntaxhighlight><syntaxhighlight lang="shell">

sudo freshclam

</syntaxhighlight>

==Penggunaan ClamAV==

Line 19:

Line 25:

Selain itu, install htop untuk memudahkan dalam membaca proses yang sedang aktif.

Install htop di [[CentOS]]

Install htop di [[CentOS]]<syntaxhighlight lang="shell">

yum install htop -y

</syntaxhighlight>Install htop di Debian/[[Ubuntu]]<syntaxhighlight lang="shell">

Install htop di Debian/[[Ubuntu]]

sudo apt install htop -y

</syntaxhighlight>Jalankan perintah berikut untuk melihat proses apa saja yang sedang berjalan di system [[Linux]]<syntaxhighlight lang="shell">

htop

Jalankan perintah berikut untuk melihat proses apa saja yang sedang berjalan di system [[Linux]]

</syntaxhighlight>

htop

==Scan Virus dan Malware==

Jika sudah terinstall, lakukan scanning virus dan malware di server Linux dengan ClamAV, dengan cara sebagai berikut, contoh di direktori <code>/home</code>

Jika sudah terinstall, lakukan scanning virus dan malware di server Linux dengan ClamAV, dengan cara sebagai berikut, contoh di direktori <code>/home</code><syntaxhighlight lang="shell">

clamscan -ri /home

</syntaxhighlight><syntaxhighlight lang="shell">

clamscan -ri /root

</syntaxhighlight>

===Keterangan===

Line 46:

Line 52:

Saat proses scanning dapat langsung dihapus oleh ClamAV dengan menambahkan option <code>–remove</code>, tetapi cara ini kita lewati mengingat jika ada virus lebih dari satu dan ClamAV tidak mendeteksinya secara keseluruhan.

Sehingga, ketika ada file yang terinfeksi ditampilkan, terlebih dahulu masuklah ke direktori dimana file berada dan jangan terburu-buru untuk dihapus. Biasanya virus tersebut sudah menggandakan diri dan biasanya jika di web hosting berekstensi .php tapi dengan nama samaran menyerupai file script <code>PHP</code> yang ada di server dan juga acap kali menggunakan abjad acak susah dieja.

Sehingga, ketika ada file yang terinfeksi ditampilkan, terlebih dahulu masuklah ke direktori dimana file berada dan jangan terburu-buru untuk dihapus. Biasanya virus tersebut sudah menggandakan diri dan biasanya jika di web hosting berekstensi .php tapi dengan nama samaran menyerupai file script <code>PHP</code> yang ada di server dan juga acap kali menggunakan abjad acak susah dieja.<syntaxhighlight lang="shell">

TXrBPv

php

.pid

</syntaxhighlight>File malware pernah dijumpai dengan ukuran yang sama yaitu 7mb. Jenis malware ini memanfaatkan server untuk ngeflood/melakukan spam ke server lain, mudah dilihat prosesnya dengan command LiSt Open Files alias <code>lsof</code> dengan filter port 80.

File malware pernah dijumpai dengan ukuran yang sama yaitu 7mb. Jenis malware ini memanfaatkan server untuk ngeflood/melakukan spam ke server lain, mudah dilihat prosesnya dengan command LiSt Open Files alias <code>lsof</code> dengan filter port 80.

Pada web [[WordPress]], untuk file-file [[WordPress]] regular dengan file virus/malware ataupun file script WP yang sudah terinfeksi, dapat dilihat dari nama file/isi kodenya.

Menghapus virus dan malware

Gunakan perintah <code>rm</code> untuk menghapus secara manual semua file yang terinfeksi

Gunakan perintah <code>rm</code> untuk menghapus secara manual semua file yang terinfeksi<syntaxhighlight lang="shell">

rm -rf TXrBPv .pid dan_file_seterusnya

</syntaxhighlight>Gunakan perintah htop atau ps untuk melihat prosesnya. Jika masih jalan, di kill . Misal nama malwarenya TXrBPv<syntaxhighlight lang="shell">

Gunakan perintah htop atau ps untuk melihat prosesnya. Jika masih jalan, di kill . Misal nama malwarenya TXrBPv

ps -ef | grep 'TXrBPv'

</syntaxhighlight>Setelah tampil PID nya langsung di kill, contoh<syntaxhighlight lang="shell">

kill -9 12986

Setelah tampil PID nya langsung di kill, contoh

</syntaxhighlight>

kill -9 12986

[[Category:Security]]

[[Category:Linux]]

@@ Line 2: / Line 2: @@
 == Instalasi ==
- sudo apt update
+<syntaxhighlight lang="shell">
+sudo apt update
- sudo apt-get install clamav clamav-daemon
+</syntaxhighlight><syntaxhighlight lang="shell">
+sudo apt-get install clamav clamav-daemon
+</syntaxhighlight>
 === Cek Versi ===
- clamscan --version
+<syntaxhighlight lang="shell">
+clamscan --version
+</syntaxhighlight>
 === Update Data Base ===
- sudo systemctl stop clamav-freshclam
+<syntaxhighlight lang="shell">
+sudo systemctl stop clamav-freshclam
- sudo freshclam
+</syntaxhighlight><syntaxhighlight lang="shell">
+sudo freshclam
+</syntaxhighlight>
 ==Penggunaan ClamAV==
@@ Line 19: / Line 25: @@
 Selain itu, install htop untuk memudahkan dalam membaca proses yang sedang aktif.
-Install htop di [[CentOS]]
+Install htop di [[CentOS]]<syntaxhighlight lang="shell">
- yum install htop -y
+yum install htop -y
+</syntaxhighlight>Install htop di Debian/[[Ubuntu]]<syntaxhighlight lang="shell">
-Install htop di Debian/[[Ubuntu]]
+sudo apt install htop -y
- sudo apt install htop -y
+</syntaxhighlight>Jalankan perintah berikut untuk melihat proses apa saja yang sedang berjalan di system [[Linux]]<syntaxhighlight lang="shell">
+htop
-Jalankan perintah berikut untuk melihat proses apa saja yang sedang berjalan di system [[Linux]]
+</syntaxhighlight>
- htop
 ==Scan Virus dan Malware==
-Jika sudah terinstall, lakukan scanning virus dan malware di server Linux dengan ClamAV, dengan cara sebagai berikut, contoh di direktori <code>/home</code>
+Jika sudah terinstall, lakukan scanning virus dan malware di server Linux dengan ClamAV, dengan cara sebagai berikut, contoh di direktori <code>/home</code><syntaxhighlight lang="shell">
- clamscan -ri /home
+clamscan -ri /home
+</syntaxhighlight><syntaxhighlight lang="shell">
- clamscan -ri /root
+clamscan -ri /root
+</syntaxhighlight>
 ===Keterangan===
@@ Line 46: / Line 52: @@
 Saat proses scanning dapat langsung dihapus oleh ClamAV dengan menambahkan option <code>–remove</code>, tetapi cara ini kita lewati mengingat jika ada virus lebih dari satu dan ClamAV tidak mendeteksinya secara keseluruhan.
-Sehingga, ketika ada file yang terinfeksi ditampilkan, terlebih dahulu masuklah ke direktori dimana file berada dan jangan terburu-buru untuk dihapus. Biasanya virus tersebut sudah menggandakan diri dan biasanya jika di web hosting berekstensi .php tapi dengan nama samaran menyerupai file script <code>PHP</code> yang ada di server dan juga acap kali menggunakan abjad acak susah dieja.
+Sehingga, ketika ada file yang terinfeksi ditampilkan, terlebih dahulu masuklah ke direktori dimana file berada dan jangan terburu-buru untuk dihapus. Biasanya virus tersebut sudah menggandakan diri dan biasanya jika di web hosting berekstensi .php tapi dengan nama samaran menyerupai file script <code>PHP</code> yang ada di server dan juga acap kali menggunakan abjad acak susah dieja.<syntaxhighlight lang="shell">
+TXrBPv
- TXrBPv
+php
- php
+php
- php
+php
- php
+.pid
- .pid
+</syntaxhighlight>File malware pernah dijumpai dengan ukuran yang sama yaitu 7mb. Jenis malware ini memanfaatkan server untuk  ngeflood/melakukan spam ke server lain, mudah dilihat prosesnya dengan command LiSt Open Files alias <code>lsof</code> dengan filter port 80.
-File malware pernah dijumpai dengan ukuran yang sama yaitu 7mb. Jenis malware ini memanfaatkan server untuk  ngeflood/melakukan spam ke server lain, mudah dilihat prosesnya dengan command LiSt Open Files alias <code>lsof</code> dengan filter port 80.
 Pada web [[WordPress]], untuk file-file [[WordPress]] regular dengan file virus/malware ataupun file script WP yang sudah terinfeksi, dapat dilihat dari nama file/isi kodenya.
 Menghapus virus dan malware
-Gunakan perintah <code>rm</code>  untuk menghapus secara manual semua file yang terinfeksi
+Gunakan perintah <code>rm</code>  untuk menghapus secara manual semua file yang terinfeksi<syntaxhighlight lang="shell">
- rm -rf TXrBPv .pid dan_file_seterusnya
+rm -rf TXrBPv .pid dan_file_seterusnya
+</syntaxhighlight>Gunakan perintah htop  atau ps  untuk melihat prosesnya. Jika masih jalan, di kill . Misal nama malwarenya TXrBPv<syntaxhighlight lang="shell">
-Gunakan perintah htop  atau ps  untuk melihat prosesnya. Jika masih jalan, di kill . Misal nama malwarenya TXrBPv
+ps -ef | grep 'TXrBPv'
- ps -ef | grep 'TXrBPv'
+</syntaxhighlight>Setelah tampil PID nya langsung di kill, contoh<syntaxhighlight lang="shell">
+kill -9 12986
-Setelah tampil PID nya langsung di kill, contoh
+</syntaxhighlight>
- kill -9 12986
 [[Category:Security]]
 [[Category:Linux]]