---安装杀毒软件clamav

yum -y install clamav-server clamav-data clamav-update clamav-filesystem clamav clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemd

-病毒库默认地址是/var/lib/clamav

#更新病毒库

#先停止freshclam

systemctl stop clamav-freshclam.service 

systemctl start clamav-freshclam.service

systemctl enable clamav-freshclam.service 

systemctl status clamav-freshclam.service

#检查一下 ClamAV 与病毒码版本

clamdscan --version

#再更新

/usr/local/clamav/bin/freshclam

-centos8

/usr/bin/freshclam

#更新完成启动

systemctl start clamav-freshclam.service

systemctl status clamav-freshclam.service

#创建软链接

ln -s /usr/local/clamav/bin/clamscan /usr/local/sbin/clamscan

# 如果在手动更新病毒库的时候遇到错误，此时就要删除掉旧的镜像地址文件

rm -f /var/lib/clamav/mirrors.dat，再手动更新一次病毒库。

# 卸载clamav

yum remove -y clamav

rm -rf  /var/lib/clamav/

---进行扫描

#全盘扫描

nohup clamscan -ri / -l /opt/clamscan.log &

##扫描文件 

clamscan targetfile  

##递归扫描home目录，并且记录日志 

clamscan -r -i /home  -l /opt/log/clamav.log  

##递归扫描home目录，将病毒文件删除，并且记录日志 

clamscan -r -i /home  --remove  -l /opt/log/clamav.log  

##扫描指定目录，然后将感染文件移动到指定目录，并记录日志 

clamscan -r -i /home  --move=/tmp/clamav -l /opt/log/clamav.log

---说明:

-r -i 递归扫描目录

-l 指定记录日志文件

–remove 删除病毒文件

–move 移动病毒到指定目录

---重点扫描目录

clamscan -r  -i /etc --max-dir-recursion=50 -l /opt/log/clamav-etc.log

clamscan -r  -i /bin --max-dir-recursion=50 -l /opt/log/clamav-bin.log

clamscan -r  -i /usr --max-dir-recursion=50 -l /opt/log/clamav-usr.log

clamscan -r  -i /var --max-dir-recursion=50 -l /opt/log/clamav-var.log

扫描报告说明：

---SCAN SUMMARY -----------

Known viruses: 9141451                  #已知病毒

Engine version: 0.102.4                 #软件版本

Scanned directories: 498                #扫描目录

Scanned files: 738                      #扫描文件

Infected files: 4                       #感染文件!!!

Data scanned: 530.25 MB                 #扫描数据

Data read: 14131.60 MB (ratio 0.04:1)   #数据读取

Time: 203.805 sec (3 m 23 s)            #扫描用时

---查看病毒文件：

cat /opt/log/clamav-usr.log | grep "FOUND" 

---查杀病毒 

1、 全盘扫描：# clamscan -r / 

2、 扫描到病毒后立即删除（慎用）：# clamscan -r / --remove 

3、 扫描到病毒后立即移动到/tmp目录：# clamscan -r / --move=/tmp 

4、 生成扫描日志文件：# clamscan/tmp/1.txt -l /var/log/clamscan.log 

5、 常用选项： 

（1） --quiet：只打印错误信息 

（2） -i | --infected：只打印被感染的文件 

（3） --remove[=yes/no()]：移除被感染的文件 

（4） --move=DIRECTORY：将被感染的文件移至指定目录 

（5） --copy=DIRECTORY：将被感染的文件复制至指定目录 

（6） --exclude=REGEX：不扫描与正则表达式匹配的文件 

（7） --exclude-dir=REGEX：不扫描与正则表达式匹配的目录 

（8） --include=REGEX：只扫描与正则表达式匹配的文件 

（9） --include-dir=REGEX：只扫描与正则表达式匹配的目录 

crontab -e 

00 23 * * 6 /usr/bin/clamscan --infected -r / -l /var/log/clamscan.log 

https://github.com/rfxn/linux-malware-detect

http://www.rfxn.com/projects/linux-malware-detect/

---LMD杀毒

LMD洋文全称Linux Malware Detect，是Linux下的病毒扫描检测软件，

-安装mailx(发送邮件用)，使用它发送LMD扫描结果。

yum install -y epel-release

yum install -y mailx

cd  /opt

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

tar -xzvf maldetect-current.tar.gz

cd maldetect-1.6.4

./install.sh

ln -s /usr/local/maldetect/maldet /bin/maldet
vim /usr/local/maldetect/conf.maldet

email_alert="1"    #开启发邮件功能
#设置邮件
email_addr="test@test.com"  #设置成自己的邮箱地址

-使用ClamAV clamscan做为默认扫描引擎：

scan_clamscan="1"

-自动把病毒移动到隔离区：

quarantine_hits="1"

quarantine_clean="1"

# 测试LMD

---扫描/目录：

maldet --scan-all  /

maldet -e list #列出所有报告

-删除所有隔离的文件:

rm -rf /usr/local/maldetect/quarantine/*

-查询是否清除干净:

maldet --clean scanid

-从隔离目录回复文件：

maldet -s <扫描ID>

-监控一个目录：

maldet -m /var/www/html/

-查看监控日志：

tail -f /usr/local/maldetect/logs/inotify_log