Sicherheit · 3 min read · Sep 22, 2025

Clamav für tägliche Systemscans und E-Mail-Benachrichtigung auf Debian konfigurieren

Heute werfen wir einen Blick auf die ClamAV-Antivirensoftware und wie man sie verwendet, um seinen Server oder Desktop zu schützen. Ich werde Ihnen zeigen, wie Sie ClamAV so konfigurieren, dass täglich alle System-, Website- und E-Mail-Dateien gescannt werden und Sie per E-Mail benachrichtigt werden, falls ein Virus erkannt wird. Für diejenigen, die ClamAV nicht kennen: ClamAV ist eine Open-Source-Antivirensoftware, die auf allen Linux-Distributionen verfügbar ist. Eine der Voraussetzungen dieses Leitfadens ist, dass Ihr Server bereits einen funktionierenden Maildienst hat.

Dieses Tutorial funktioniert gut auf Debian-Systemen, sollte aber auch mit Ubuntu-Systemen kompatibel sein.

Installation und Konfiguration

Zuerst führen wir den Befehl aus, um Clamav und ein Tool zum Versenden von E-Mail-Benachrichtigungen zu installieren.

apt-get update && apt-get install clamav clamav-freshclam heirloom-mailx

Stellen Sie sicher, dass die Virusdefinitionen mit dem Befehl aktualisiert werden:

service ClamAV-freshclam start

Standardmäßig überprüft ClamAV jede Stunde nach neuen Virusdefinitionen. Wenn Sie diesen Parameter ändern möchten, können Sie die Datei /etc/clamav/freshclam.conf bearbeiten.

nano /etc/clamav/freshclam.conf

Ändern Sie die folgende Zeile:

# Check for new database 24 times a day
Checks 24

in

# Check for new database 1 times a day
Checks 1

In diesem Fall wird die Überprüfung nur einmal täglich durchgeführt. Ich empfehle, 24 Mal täglich zu belassen.

Um ein manuelles Update der Virusdefinitionen durchzuführen, können Sie ausführen:

freshclam -v

Benachrichtigung aktivieren und den Scan planen

Im folgenden Skript ändern Sie die Variable DIRTOSCAN, um die Verzeichnisse anzugeben, die Sie scannen möchten.

Wir erstellen die Datei /root/clamscan_daily.sh

nano /root/clamscan_daily.sh

und fügen den folgenden Code ein:

#!/bin/bash
LOGFILE="/var/log/clamav/clamav-"$(date +'%Y-%m-%d')".log";
EMAIL_MSG="Bitte sehen Sie sich die angehängte Protokolldatei an.";
EMAIL_FROM="[email protected]";
EMAIL_TO="[email protected]";
DIRTOSCAN="/var/www /var/vmail";

for S in ${DIRTOSCAN}; do
 DIRSIZE=$(du -sh "$S" 2>/dev/null | cut -f1);

 echo "Starte einen täglichen Scan des Verzeichnisses "$S".
 Die zu scannende Datenmenge beträgt "$DIRSIZE".";

 clamscan -ri "$S" >> "$LOGFILE";

 # den Wert von "Infected lines" abrufen
 MALWARE=$(tail "$LOGFILE"|grep Infected|cut -d" " -f3);

 # wenn der Wert ungleich null ist, senden Sie eine E-Mail mit der angehängten Protokolldatei
 if [ "$MALWARE" -ne "0" ];then
 # Verwendung von heirloom-mailx unten
 echo "$EMAIL_MSG"|mail -a "$LOGFILE" -s "Malware gefunden" -r "$EMAIL_FROM" "$EMAIL_TO";
 fi 
done

exit 0

Sie können die beiden Variablen EMAIL_FROM und EMAIL_TO ändern, um Ihre gewünschten E-Mail-Adressen widerzuspiegeln, und die Liste der zu scannenden Verzeichnisse in der Variablen DIRTOSCAN ändern.

Speichern Sie die Datei mit ( ctrl+o ), und ändern Sie die Berechtigung wie folgt:

chmod 0755 /root/clamscan_daily.sh

Aktivieren Sie nun die tägliche Ausführung des Skripts, indem Sie einen Symlink im Verzeichnis /etc/cron.daily/ erstellen:

ln /root/clamscan_daily.sh /etc/cron.daily/clamscan_daily

Jetzt sollten Sie in der Lage sein, einmal täglich die E-Mail-Benachrichtigung über Viren oder Malware in Ihren Maildateien oder Websites zu erhalten. ClamAV scannt auch den Inhalt von PHP-Dateien auf das Vorhandensein von Malware oder anderen potenziell schädlichen Inhalten.

Testen Sie das Skript

In dieser Konfiguration wird ClamAV keine Aktionen bei den gefundenen Viren durchführen, es wird sie nur melden. Machen Sie sich also keine Sorgen, nichts wird gelöscht oder verändert. Um das Skript zu testen, führen Sie einfach aus:

/root/clamscan_daily.sh

Nachdem der Befehl abgeschlossen ist, gibt es zwei mögliche Zustände:

  • Clamav hat einen Virus gefunden: In diesem Fall erhalten Sie eine E-Mail in Ihrem Posteingang mit dem angehängten Protokoll.

  • Clamav hat nichts gefunden oder etwas ist schiefgegangen. In diesem Fall müssen Sie überprüfen, was das Protokoll sagt. Um die Protokolle zu überprüfen, sollten Sie in /var/log/clamav/ nachsehen.

Ich werde ein kleines Protokollbeispiel anhängen, um zu wissen, was Sie lesen sollten:

Starte einen täglichen Scan des Verzeichnisses /var/www. Die zu scannende Datenmenge beträgt 36G.
Mon Jun 15 13:17:14 CEST 2015

----------- SCAN SUMMARY -----------
Bekannte Viren: 3841819
Engine-Version: 0.98.4
Gescannt Verzeichnisse: 47944
Gescannt Dateien: 316827
Infizierte Dateien: 0
Daten gescannt: 17386.77 MB
Daten gelesen: 34921.59 MB (Verhältnis 0.50:1)
Zeit: 1432.747 sec (23 m 52 s)
Mon Jun 15 13:41:06 CEST 2015
------------------------------------------------------
------------------------------------------------------
Starte einen täglichen Scan des Verzeichnisses /var/vmail. Die zu scannende Datenmenge beträgt 7.0G.
Mon Jun 15 13:41:27 CEST 2015
/var/vmail/domain.tld/info/Maildir/.Cestino/cur/1386677288.M361286P15524.domain.tld,W=2675,S=2627:2,S: Heuristics.Phishing.Email.SpoofedDomain FOUND
/var/vmail/domain.tld/info/Maildir/.Cestino/cur/1371451873.M697795P19793.domain.tld,W=5421,S=5353:2,S: Heuristics.Phishing.Email.SpoofedDomain FOUND
/var/vmail/domain.tld/info/Maildir/.Cestino/cur/1390203133.M981287P17350.domain.tld,W=3223,S=3157:2,S: Heuristics.Phishing.Email.SpoofedDomain FOUND
/var/vmail/domain.tld/info/Maildir/.Cestino/cur/1386677288.M361285P15524.domain.tld,W=2270,S=2227:2,S: Heuristics.Phishing.Email.SpoofedDomain FOUND

In diesem Fall hat ClamAV einige Phishing-E-Mails bei [email protected] gefunden, sodass Sie auch die E-Mail erhalten werden.

Das ist alles!

Share: X/Twitter LinkedIn
#Sicherheit

Erhalte neue Beiträge in deinem Posteingang.

Kein Spam. Jederzeit abmelden.