ClamAV: Difference between revisions
No edit summary |
No edit summary |
||
| Line 4: | Line 4: | ||
<syntaxhighlight lang="shell"> | <syntaxhighlight lang="shell"> | ||
sudo apt update | sudo apt update | ||
</syntaxhighlight><syntaxhighlight lang="shell"> | </syntaxhighlight> | ||
<syntaxhighlight lang="shell"> | |||
sudo apt-get install clamav clamav-daemon | sudo apt-get install clamav clamav-daemon | ||
</syntaxhighlight> | </syntaxhighlight> | ||
| Line 16: | Line 18: | ||
<syntaxhighlight lang="shell"> | <syntaxhighlight lang="shell"> | ||
sudo systemctl stop clamav-freshclam | sudo systemctl stop clamav-freshclam | ||
</syntaxhighlight><syntaxhighlight lang="shell"> | </syntaxhighlight> | ||
<syntaxhighlight lang="shell"> | |||
sudo freshclam | sudo freshclam | ||
</syntaxhighlight> | </syntaxhighlight> | ||
| Line 25: | Line 29: | ||
Selain itu, install htop untuk memudahkan dalam membaca proses yang sedang aktif. | Selain itu, install htop untuk memudahkan dalam membaca proses yang sedang aktif. | ||
Install htop di [[CentOS]]<syntaxhighlight lang="shell"> | Install htop di [[CentOS]] | ||
<syntaxhighlight lang="shell"> | |||
yum install htop -y | yum install htop -y | ||
</syntaxhighlight>Install htop di Debian/[[Ubuntu]]<syntaxhighlight lang="shell"> | </syntaxhighlight> | ||
Install htop di Debian/[[Ubuntu]] | |||
<syntaxhighlight lang="shell"> | |||
sudo apt install htop -y | sudo apt install htop -y | ||
</syntaxhighlight>Jalankan perintah berikut untuk melihat proses apa saja yang sedang berjalan di system [[Linux]]<syntaxhighlight lang="shell"> | </syntaxhighlight> | ||
Jalankan perintah berikut untuk melihat proses apa saja yang sedang berjalan di system [[Linux]] | |||
<syntaxhighlight lang="shell"> | |||
htop | htop | ||
</syntaxhighlight> | </syntaxhighlight> | ||
| Line 35: | Line 49: | ||
==Scan Virus dan Malware== | ==Scan Virus dan Malware== | ||
Jika sudah terinstall, lakukan scanning virus dan malware di server Linux dengan ClamAV, dengan cara sebagai berikut, contoh di direktori <code>/home</code><syntaxhighlight lang="shell"> | Jika sudah terinstall, lakukan scanning virus dan malware di server Linux dengan ClamAV, dengan cara sebagai berikut, contoh di direktori <code>/home</code> | ||
<syntaxhighlight lang="shell"> | |||
clamscan -ri /home | clamscan -ri /home | ||
</syntaxhighlight><syntaxhighlight lang="shell"> | </syntaxhighlight> | ||
<syntaxhighlight lang="shell"> | |||
clamscan -ri /root | clamscan -ri /root | ||
</syntaxhighlight> | </syntaxhighlight> | ||
| Line 52: | Line 70: | ||
Saat proses scanning dapat langsung dihapus oleh ClamAV dengan menambahkan option <code>–remove</code>, tetapi cara ini kita lewati mengingat jika ada virus lebih dari satu dan ClamAV tidak mendeteksinya secara keseluruhan. | Saat proses scanning dapat langsung dihapus oleh ClamAV dengan menambahkan option <code>–remove</code>, tetapi cara ini kita lewati mengingat jika ada virus lebih dari satu dan ClamAV tidak mendeteksinya secara keseluruhan. | ||
Sehingga, ketika ada file yang terinfeksi ditampilkan, terlebih dahulu masuklah ke direktori dimana file berada dan jangan terburu-buru untuk dihapus. Biasanya virus tersebut sudah menggandakan diri dan biasanya jika di web hosting berekstensi .php tapi dengan nama samaran menyerupai file script <code>PHP</code> yang ada di server dan juga acap kali menggunakan abjad acak susah dieja.<syntaxhighlight lang="shell"> | Sehingga, ketika ada file yang terinfeksi ditampilkan, terlebih dahulu masuklah ke direktori dimana file berada dan jangan terburu-buru untuk dihapus. Biasanya virus tersebut sudah menggandakan diri dan biasanya jika di web hosting berekstensi .php tapi dengan nama samaran menyerupai file script <code>PHP</code> yang ada di server dan juga acap kali menggunakan abjad acak susah dieja. | ||
<syntaxhighlight lang="shell"> | |||
TXrBPv | TXrBPv | ||
php | php | ||
| Line 58: | Line 78: | ||
php | php | ||
.pid | .pid | ||
</syntaxhighlight>File malware pernah dijumpai dengan ukuran yang sama yaitu 7mb. Jenis malware ini memanfaatkan server untuk ngeflood/melakukan spam ke server lain, mudah dilihat prosesnya dengan command LiSt Open Files alias <code>lsof</code> dengan filter port 80. | </syntaxhighlight> | ||
File malware pernah dijumpai dengan ukuran yang sama yaitu 7mb. Jenis malware ini memanfaatkan server untuk ngeflood/melakukan spam ke server lain, mudah dilihat prosesnya dengan command LiSt Open Files alias <code>lsof</code> dengan filter port 80. | |||
Pada web [[WordPress]], untuk file-file [[WordPress]] regular dengan file virus/malware ataupun file script WP yang sudah terinfeksi, dapat dilihat dari nama file/isi kodenya. | Pada web [[WordPress]], untuk file-file [[WordPress]] regular dengan file virus/malware ataupun file script WP yang sudah terinfeksi, dapat dilihat dari nama file/isi kodenya. | ||
Menghapus virus dan malware | Menghapus virus dan malware | ||
Gunakan perintah <code>rm</code> untuk menghapus secara manual semua file yang terinfeksi<syntaxhighlight lang="shell"> | Gunakan perintah <code>rm</code> untuk menghapus secara manual semua file yang terinfeksi | ||
<syntaxhighlight lang="shell"> | |||
rm -rf TXrBPv .pid dan_file_seterusnya | rm -rf TXrBPv .pid dan_file_seterusnya | ||
</syntaxhighlight>Gunakan perintah htop atau ps untuk melihat prosesnya. Jika masih jalan, di kill . Misal nama malwarenya TXrBPv<syntaxhighlight lang="shell"> | </syntaxhighlight> | ||
Gunakan perintah htop atau ps untuk melihat prosesnya. Jika masih jalan, di kill . Misal nama malwarenya TXrBPv | |||
<syntaxhighlight lang="shell"> | |||
ps -ef | grep 'TXrBPv' | ps -ef | grep 'TXrBPv' | ||
</syntaxhighlight>Setelah tampil PID nya langsung di kill, contoh<syntaxhighlight lang="shell"> | </syntaxhighlight> | ||
Setelah tampil PID nya langsung di kill, contoh | |||
<syntaxhighlight lang="shell"> | |||
kill -9 12986 | kill -9 12986 | ||
</syntaxhighlight> | </syntaxhighlight> | ||
[[Category:Security]] | [[Category:Security]] | ||
[[Category:Linux]] | [[Category:Linux]] | ||
Revision as of 21:59, 5 September 2022
ClamAV adalah salah satu antivirus yang direkomendasikan untuk Linux. Terkadang kalian mungkin membutuhkan antivirus karena tidak ada sebuah system yang benar-benar aman dan secure.
Instalasi
sudo apt update
sudo apt-get install clamav clamav-daemon
Cek Versi
clamscan --version
Update Data Base
sudo systemctl stop clamav-freshclam
sudo freshclam
Penggunaan ClamAV
Langkah pertama yang dapat dilakukan yaitu dengan login ke server dengan akun root melalui koneksi SSH/PuTTY Install ClamAV
Selain itu, install htop untuk memudahkan dalam membaca proses yang sedang aktif. Install htop di CentOS
yum install htop -y
Install htop di Debian/Ubuntu
sudo apt install htop -y
Jalankan perintah berikut untuk melihat proses apa saja yang sedang berjalan di system Linux
htop
Scan Virus dan Malware
Jika sudah terinstall, lakukan scanning virus dan malware di server Linux dengan ClamAV, dengan cara sebagai berikut, contoh di direktori /home
clamscan -ri /home
clamscan -ri /root
Keterangan
-r: rekursif (scanning semua file di dalam direktori dan sub-direktori)
-i: infected (hanya menampilkan file yang terinfeksi saja)
/home: target direktori yang discanning
Parameter -ri untuk memindahkan semua file di dalam direktori /home, dan jika terdapat file yang terinfeksi akan ditampilkan.
Saat proses scanning dapat langsung dihapus oleh ClamAV dengan menambahkan option –remove, tetapi cara ini kita lewati mengingat jika ada virus lebih dari satu dan ClamAV tidak mendeteksinya secara keseluruhan.
Sehingga, ketika ada file yang terinfeksi ditampilkan, terlebih dahulu masuklah ke direktori dimana file berada dan jangan terburu-buru untuk dihapus. Biasanya virus tersebut sudah menggandakan diri dan biasanya jika di web hosting berekstensi .php tapi dengan nama samaran menyerupai file script PHP yang ada di server dan juga acap kali menggunakan abjad acak susah dieja.
TXrBPv
php
php
php
.pid
File malware pernah dijumpai dengan ukuran yang sama yaitu 7mb. Jenis malware ini memanfaatkan server untuk ngeflood/melakukan spam ke server lain, mudah dilihat prosesnya dengan command LiSt Open Files alias lsof dengan filter port 80.
Pada web WordPress, untuk file-file WordPress regular dengan file virus/malware ataupun file script WP yang sudah terinfeksi, dapat dilihat dari nama file/isi kodenya. Menghapus virus dan malware
Gunakan perintah rm untuk menghapus secara manual semua file yang terinfeksi
rm -rf TXrBPv .pid dan_file_seterusnya
Gunakan perintah htop atau ps untuk melihat prosesnya. Jika masih jalan, di kill . Misal nama malwarenya TXrBPv
ps -ef | grep 'TXrBPv'
Setelah tampil PID nya langsung di kill, contoh
kill -9 12986