Windows-Viren unter Linux bekämpfen: Der Virenfilter ClamAV

Muscheln gegen Viren

Computerschädlinge sind so aktiv wie selten zuvor. Einem ständig aktualisierten Linux-System können sie in der Regel nichts anhaben. Wer neben Linux jedoch weiterhin Windows benutzt, mag von einem Virenfilter profitieren.

Kennen Sie den Spruch "Diesen Computer sichern Sie am besten mit einem Seitenschneider"? Leider ist er ein wenig veraltet, denn im Zeitalter der Hochleistungsakkus und drahtlosen Netzwerke schützt selbst das Abklemmen von Strom- und Netzkabel nicht mehr zuverlässig vor Eindringlingen (Kasten 1).

Wie man menschlichen Angreifern begegnet, erfahren Sie zum Beispiel ab Seite 27: Dabei helfen Firewalls, regelmäßige Updates des Betriebssystems oder äußerste Sparsamkeit beim Betrieb von Netzwerkdiensten. Thema dieses Artikels sind die automatisierten Computerschädlinge, die Ihre Geräte ganz ohne menschliches Zutun überfallen.

Sie existieren in drei groben Varianten: Echte Viren infizieren möglichst alle ausführbaren Dateien auf einem Computer und auf den erreichbaren Netzwerkdateisystemen ("Shares"). Sie werden beim Start eines befallenen Programms automatisch aktiv. Trojanische Pferde hingegen verlassen sich darauf, dass jemand sie mehr oder weniger bewusst auf seinen Rechner holt und startet. Würmer gehen einen Schritt weiter und bemühen sich aktiv um ihre Verbreitung auf fremden Computern, indem sie z. B. unsichere Netzwerkdienste vollautomatisch knacken oder sich per E-Mail versenden.

Eine auf dem aktuellem Stand gehaltene Linux-Distribution sollte gegen diese Fieslinge weitgehend immun sein. Viren im engeren Sinne des Wortes haben es auf Unix sowieso schwer: Wer als unprivilegierter Nutzer ein Programm ausführt, darf es in der Regel nicht verändern. Problematisch könnten eher Würmer und Trojaner werden. Doch ist Linux (derzeit noch) kein übermäßig attraktives Ziel für die Sorte Hacker, die Würmer bastelt, und etwaige Schwachstellen werden bei Open-Source-Programmen ohnehin meist innerhalb von Stunden nach dem Bekanntwerden geschlossen. Wer sein System aktuell hält, kann relativ ruhig schlafen.

Nicht ganz so einfach ist die Situation, wenn Sie nebenher noch mit Windows arbeiten. Schwachstellen in Microsoft-Programmen bleiben manchmal über Monate unkorrigiert und stellen damit ein offenes Tor für Angreifer dar. Egal ob Sie auf Ihrem Computer noch eine Windows-Installation vorhalten oder in einem kleinen Heim-Netzwerk einen separaten Windows-Computer betreiben: Linux kann dabei helfen, diese fremden Systeme zu schützen. Dieser Artikel zeigt einen Virenscanner für Linux, der ankommende E-Mails oder von Linux aus erreichbare Windows-Festplatten vollautomatisch überprüft.

Kostenloser Virenscanner

Ähnlich wie für Windows existieren auch für Linux zahlreiche Virenscanner, sowohl kostenpflichtig als auch kostenlos [4,5]. Freilich sind sie vor allem darauf ausgelegt, Windows-Viren und -Würmer aufzuspüren – schließlich neigt man unter Linux eher dazu, die zugrundeliegende Schwachstelle zu korrigieren als den Würmern hinterherzulaufen.

Dieser Artikel demonstriert beispielhaft ClamAV [1], ein echtes Open-Source-Produkt. Wer eine möglichst vollständige Abdeckung wünscht, wird eventuell einen weiteren Scanner ergänzen – die hier gezeigten Techniken lassen sich ohne weiteres auf andere Virenscanner übertragen.

Vor den Preis der vollautomatischen Virenjagd haben die Götter leider den Schweiß der Installation gesetzt. Gemeinerweise wünscht ClamAV sich nämlich eine besondere Bibliothek namens MP [2], die oft nicht vorinstalliert wird. Suchen Sie sich diese also aus den Archiven Ihrer Distribution heraus, bevor Sie ClamAV herunterladen!

Die anschließende Installation von ClamAV selbst folgt in weiten Teilen der üblichen Prozedur unter Linux. Für das Quellcode-Paket ist sie im mitgelieferten Handbuch ausgiebig dokumentiert; eine Übersicht finden Sie in Listing 1. Für ein Einzelplatzsystem empfiehlt der Autor zusätzlich, ein kleines Utility namens clamassassin einzuspielen. Damit binden Sie den Virenscanner in Ihr E-Mail-System ein, ohne den SMTP-Daemon umzukonfigurieren. Das ist einfacher, aber nicht so effizient wie andere Lösungen. Beachten Sie bei den "ln -s"-Befehlen, dass es sich um Backticks handelt, also um Accents graves.

Listing 1

Installation von ClamAV und Clamassassin

$ su
Password: root-Passwort
# groupadd clamav
# useradd -g clamav -s /bin/false clamav
# exit
$ tar xzf clamav-0.70-rc.tar.gz
$ cd clamav-0.70-rc
$ ./configure --sysconfdir=/etc
[…]
$ make
[…]
$ su
Password: root-Passwort
# make install
[…]
# exit
$ cd ..
$ tar xzf clamassassin-1.0.0.tar.gz
$ cd clamassassin-1.0.0
$ su
Password: root-Passwort
# install clamassassin /usr/local/bin
# cd /usr/local/bin
# ln -s `which mktemp` .
# ln -s `which formail` .
# exit

Unmittelbar nach der Installation können Sie ClamAV bereits ausprobieren. Wenn Sie beispielsweise Ihre Windows-Partitionen unter /windows gemountet haben, lautet der Befehl zum Scan

clamscan -ri /windows

E-Mail scannen

Wirklich interessant wird ClamAV spätestens dann, wenn es ankommende E-Mails automatisch auf Viren überprüft. Wie Sie es allerdings in Ihr Mail-System einbinden, hängt von Ihren persönlichen Vorlieben ab.

Viele Leute konfigurieren einen echten Mailserver auf ihrem lokalen Linux-System. Suse bietet dies beispielsweise über Yast an. Dabei holt ein kleines Tool namens fetchmail ankommende E-Mails vom Server des Providers ab und überträgt sie an den eigenen Mailserver. Der wiederum speichert die Nachrichten in /var/mail oder /var/spool/mail. Diese Variante nutzt die Leistungsfähigkeit der verbreiteten Mailsoftware überhaupt erst aus.

ClamAV binden Sie auf einem derartigen Einzelplatzsystem am schnellsten über procmail ein. Ergänzen Sie dazu einfach Listing 2 am Anfang Ihrer ~/.procmailrc. Wenn eine solche Datei in Ihrem Heimatverzeichnis noch nicht existiert, legen Sie sie neu an.

Listing 2

~/.procmailrc

für ClamAV

# Ankommende E-Mail mit ClamAV prüfen
:0 fw
| /usr/local/bin/clamassassin
# Virus gefunden? Dann im Folder "virus-gefangen" abspeichern
:0 :
* X-Virus-Status: Yes
virus-gefangen
# Andere Mails werden wie gewohnt ausgeliefert

Bequemere Zeitgenossen, die ihre E-Mails von einem grafischen Client wie Evolution oder KMail direkt vom Server abholen lassen, brauchen deshalb nicht auf ClamAV verzichten. Freilich stellt sich die Frage, ob sie einen Virenfilter für E-Mail benötigen, wenn sie die Nachrichten ausschließlich unter Linux ansehen – schaden kann er aber kaum.

In dieser Variante bekommt procmail Ihre Nachrichten niemals zu Gesicht, Listing 2 funktioniert also nicht. Daher richten Sie einen Filter direkt in Ihrem Mailprogramm ein. Abbildung 1 zeigt das beispielhaft für Evolution. Als Kommando für die Pipe eignet sich

sh -c "/usr/local/bin/clamassassin | grep -i 'x-virus-status: yes'"

Die Nachricht wird also durch clamassassin geschickt; grep (siehe Seite 76) sucht nach dem Signaltext, der einen gefundenen Virus anzeigt. Ist die Bedingung erfüllt, wandert die Mail automatisch in einen Spezialfolder für Viren.

Abbildung 1: So binden Sie ClamAV in Evolution ein.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Release Candidate des freien Virenscanners bringt Windows-Support

    Der nun veröffentlichte Release Candidate des freien Viren- und Malware-Scanners ClamAV bringt laut den Entwicklern "kompletten Windows-Support" mit.
  • Freier Virenschutz aktualisiert

    Der freie Virenscanner ClamAV hat eine Überarbeitung erfahren, die Fehler beseitigt
  • Saubermann
    Linux ist beinahe immun gegen Viren – nicht jedoch dagegen, selbst zum Schädlingsverteiler zu werden. Dem beugt das Gespann ClamAV und KlamAV vor.
  • Schutzschirm
    Viren, Würmer, Trojaner bedrohen fast ausschließlich Windows-Rechner. Deswegen ist der Einsatz von Virenscannern unter Linux in erster Linie auf File- oder Mail-Servern sinnvoll, die Windows-Clients bedienen.
  • Kammerjäger
    Der derzeit einzige freie Virenscanner ClamAV hat sich zwischenzeitlich fest im Linux-Umfeld etabliert. In Zusammenarbeit mit Zusatzmodulen sichert er automatisch Mails und Netzwerkshares gegen Virenbefall ab.
Kommentare

Infos zur Publikation

Lu07/2016: GIMP FÜR PROFIS

Digitale Ausgabe: Preis € 5,99
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Aktuelle Fragen

Mit Firewire Videos improtieren?
Werner Hahn, 09.06.2016 11:06, 5 Antworten
Ich besitze den Camcorder Panasonic NV-GS330, bei dem die Videos in guter Qualität nur über den 4...
lidl internetstick für linux mint
rolf meyer, 04.06.2016 14:17, 3 Antworten
hallo zusammen ich benötige eure hilfe habe einen lidl-internetstick möchte ihn auf linux mint i...
thema ändern
a b, 29.05.2016 16:34, 0 Antworten
Hallo Linuxer zuerst alle eine schönen Sonntag, bevor ich meine Frage stelle. Ich habe Ubuntu 1...
Ideenwettbewerb
G.-P. Möller, 28.05.2016 10:57, 0 Antworten
Liebe User, im Rahmen eines großen Forschungsprojekts am Lehrstuhl für Technologie- und Innova...
Welche Drucker sind Linux-mint kompatibel?
Johannes Nacke, 20.05.2016 07:32, 6 Antworten
Hallo Ihr Lieben, ich bitte um mitteilung welche Drucker Kompatibel sind mit Linux-Mint. LG Joh...