ClamAV Workshop

Ziel des Workshops

• Einführung in ClamAV als Open-Source-Virenscanner
• Durchführung manueller Scans
• Erkennen von Schadsoftware mit Testdateien
• Analyse von Scan-Ergebnissen
• Vorbereitung auf optionales Echtzeit-Scanning

Voraussetzungen

• Debian- oder Ubuntu-System
• Root-Zugriff oder sudo-Rechte
• Internetverbindung zum Signatur-Download

Installation von ClamAV

• apt update
• apt install clamav clamav-daemon

Virensignaturen aktualisieren

• systemctl stop clamav-freshclam
• freshclam
• systemctl start clamav-freshclam

Wenn kein Dienst läuft, kann auch nur folgender Befehl genutzt werden:

• freshclam

Erster Scan

Kompletten Home-Ordner rekursiv scannen:

• clamscan -r /home

Nur infizierte Dateien anzeigen:

• clamscan -r --infected /home

EICAR-Testdatei prüfen

Die EICAR-Datei ist ein ungefährlicher Testvirus, um die Funktionsfähigkeit zu überprüfen.

• wget https://www.eicar.org/download/eicar.com.txt
• clamscan eicar.com.txt

ClamAV sollte die Datei als Virus erkennen und melden.

clamd und clamdscan verwenden

Prüfen, ob der Dienst läuft:

• systemctl status clamav-daemon

Datei mit clamdscan prüfen:

• clamdscan eicar.com.txt

Logs und Fundberichte auswerten

Die Logdatei von ClamAV liegt standardmäßig unter:

/var/log/clamav/clamav.log

Optional: Quarantäne-Verzeichnis einrichten

• mkdir /var/quarantine
• clamscan --infected --move=/var/quarantine -r /data

Damit werden infizierte Dateien automatisch verschoben.

Weiterführende Themen

• Zeitgesteuerte Scans per Cronjob oder systemd-Timer
• E-Mail-Benachrichtigung bei Funden
• Integration mit Mailservern (z. B. via Amavis oder Rspamd)
• Echtzeitprüfung mit fanotify-Wrappern wie clamav-fanotify oder clamfs