Debian GNU/LinuxでClamTk/ClamAV

Debian GNU/LinuxでClamTk/ClamAV

　Linuxでアンチウイルス・セキュリティソフトウェアと言って思いつくのは、まず、オープンソースのClamTk/ClamAVではないでしょうか。

　*BSD/PC-UNIX/Linuxに完全移行して久しく、ClamAVやClamTkも予てより時折、使っていましたが、常駐はさせていませんでした。

　そんな自身が久しぶりにClamTk、clamscan/clamdscanを使ってみた話。

　OSは、Debian GNU/Linux 11.4 bullseye amd64(64bit)。

• ClamTKで検出結果が表示されない！？clamscanと結果が違う！？
• 備考

ClamTKで検出結果が表示されない！？clamscanと結果が違う！？

　まず、ClamTkをインストールして[設定]で全部チェックして実行してみたら、ホームディレクトリで[潜在的脅威]が26も検出されつつ、どうやってみても、どこを探してみても当該対象ファイルが出力されない、見当たらない...。

　そこでclamscanしてみると[Infected files]?が、なぜか、ゼロ。

　ClamTkって内部でclamscanしてるんじゃないの？なんで結果違うのさ...。

　clamscanより高速だというclamdscanをインストールして試してみると一向に進まないので断念。

　ともあれ、結果が表示されないのはおかし過ぎるということで検索。

　『久しぶりにClamTkでウイルスチェックしたら隔離や削除ができなかった、その対処』(http://moebuntu.blog48.fc2.com/blog-entry-1391.html)にドンピシャな答えが。

　おっしゃる通り、/usr/bin/clamtkコマンドをテキストエディタで開いてsetlocale( LC_ALL, '' );の後にsetlocale( LC_TIME, 'C' );を追記したら、ClamTk実行後に[潜在的脅威]とされたファイル群がポップアップウィンドウ内にリスト表示され、[隔離]や復元、[削除]もできました。

　早速、感染の可能性があるとされるファイルたちを確認してみるとFirefox、Julius、ESP8266/ESP32、libreofficeにおいて[状態]が[PUA.]で始まるもののみ、そのほとんどがWindows用、中でも[PUA.Win.Packer.MingwGcc-3]と[PUA.Win.Packer.Mingwin32Gcc-2]だらけ。

　数少ないながらも他にもあって、これらの結果を、どう判断すれば...と思ったら、Ubuntu日本語フォーラム/clamavのファイルチェックでFirefoxによれば[sigtool -f状態 | sigtool --decode-sigs](状態は大文字小文字正確に)とすれば良いとのこと。

　どれもたいした理由ではなかったので[削除]はしませんでした。

備考

　それにしてもClamTk/clamscan/clamdscanって以前から[削除]や[--remove]できたっけ？駆除できないのは残念なものだと思った記憶もなきにしもあらず。

　アンチウィルスLive USBやRescue Live USB等をも含め、これらを1本のUSBメモリに集約したりもしてきましたが、今日の結果からすると自動削除は躊躇するにしても削除できるならClamTk/ClamAV、自身の中で評価爆上がり。

　というか、何れにせよ、実行中、Intel Celeronデュアルコア/RAM4GBの自身のメインPCでは、何れのコアもほぼ100%付近を行ったり来たりでClamTk/clamscan共に、結構、完了まで待たされました。

　一方、サブという名の隠れメインパソコンRaspberry Pi 400(クアッドコア/RAM4GB)だと日が浅く、ファイル総数も少ないとは言え、超余裕でちょっ早。
 => [2022/08/25]　と思いきや、起動直後、systemdでウイルスデータベースの更新freshclamが走るとfreshclamも走っているのか疑わしいほど全てがフリーズ(終わるまで待つこともできず、再起動、速攻で端末開いてsystemctl stop/disable)、ClamAVの常用はラズパイ400でも厳しそうです。

　Windowsほどではないにせよ、*BSD/PC-UNIX/LinuxもIoT機器もウィルスの脅威に晒される昨今、アンチウィルスソフトも常駐させないといけませんね。

　これ以外では、これと言って困ることはなく、未だデュアルコアで十分と思っていましたが、そう考えると次回メインを更新する際は、CPUはCPUスコアの高い最新世代のCPU Core i5、Ryzen 5やその後継以上の4コアや6コア以上、RAM8GBや16GB以上くらいにはしないとなと思い知らされました。

　で、なんで急にウイルスチェックを思い立ったかと言うと自作スマートカーテン/自動開閉タイマー付き無線電動カーテンが、朝、デフォルト設定の時間より1時間半も早く開いたから...。

　任意の時間を指定すれば、電源OFFしない限り、デフォルト設定が上書きされるようにはなっていますが、そんな指定した覚えないし、今まで正確な時間に自動開閉していて、こんなこと初めてだし...。

　このカーテン、ESP32ボードを使っているので真っ先に脆弱性突かれたか！？とも思いましたが、他にもESP32を使った自作スマート化家電は複数あるも全く問題なし。
 => [2022/07/29]　タイムラグの原因判明・解決。

　時を同じくして突然、Arduino IDEでESP8266/ESP32ボード用のコンパイルやアップロードにおいてPCのCPUやRAMを極限まで圧迫、時に電源ボタン長押しで強制終了、再起動を要したりして...C++が重すぎるのか！？なんてことがあったり。
 => [2022/07/29]　topコマンドで眺めていると、やはり、C++の負荷が高い、ここにきて著しくC++の負荷があがっている気はするものの、何れにせよ、それに対してマシンのCPUコア・スレッド数不足であることに起因する模様。
 => [2022/08/11]　コンパイラの精度が向上したようで以前はスルーしていたような怪しいコードに正面から向き合い、苦しみもがいた挙句の挙動でした(怪しいコードを特定し、コメントアウトしたところ、CPUもRAMも過度に消費されることなく、あっさりコンパイル通りました)。

　が、一方でラズパイスマートスピーカーに接続しているそこそこ好調だったBluetoothスピーカーをどこに移動しても切断、音のブツ切れで何が再生されているのかさえわからない状態が当然のごとく著しくなってきて、いろいろ調べている内に自身とは無縁なBluetoothのデバイスがやたら出現しては消え、出現しては消えを繰り返しているような気がしたり...。
 => [2022/07/29]　音切れの原因判明・解決。

　もしやLAN内にウィルス侵入か！？と疑った次第。
 => [2022/07/29]　諸々原因判明・解決、そもそもマルウェアではなかった模様で一安心。

　とは言え、ラズパイスマートスピーカー自体やNASサーバ、カメラサーバ、ラズパイ400になどについては、目につく、おかしな挙動は一切ありませんが。

　さておき、これで完璧とまでは言えないまでもClamさんによれば、少なくともPCのホームディレクトリに関しては、問題なさ気。

LINK

関連リンク