Cara Install dan Membersihkan Virus/Malware dengan ClamAV di Server Linux

Software Clam Anti Virus digunakan untuk scan virus dan malware di server (VPS) Linux.

Berikut panduan Cara Install dan Membersihkan Virus/Malware dengan ClamAV di Server Linux

Langkah pertama yang dapat dilakukan yaitu dengan login ke server dengan akun root melalui koneksi SSH/PuTTY

Install ClamAV

Adapun cara install ClamAV untuk CentOS yaitu

yum install epel-release clamav -y

Sedangkan untuk Install Clam Anti Virus di Debian/Ubuntu

apt update -y; apt install clamav -y

Selain itu, install htop untuk memudahkan dalam membaca proses yang sedang aktif.

Install htop di CentOS

yum install htop -y

Install htop di Debian/Ubuntu

apt install htop -y

Jalankan perintah berikut untuk melihat proses apa saja yang sedang berjalan di system Linux

htop

Update database antivirus ClamAV

Jalankan perintah berikut agar database antivirus up-to-date

freshclam

Scan Virus dan Malware dengan ClamAV di server Linux

Jika sudah terinstall, lakukan scanning virus dan malware di server Linux dengan ClamAV, dengan cara sebagai berikut, contoh di direktori /home/

clamscan -ri /home

Keterangan:

-r: rekursif (scanning semua file di dalam direktori dan sub-direktori)

-i: infected (hanya menampilkan file yang terinfeksi saja)

/home: target direktori yang discanning

Parameter -ri untuk memindahkan semua file di dalam direktori /home, dan jika terdapat file yang terinfeksi akan ditampilkan.

Saat proses scanning dapat langsung dihapus oleh ClamAV dengan menambahkan option –remove, tetapi cara ini kita lewati mengingat jika ada virus lebih dari satu dan ClamAV tidak mendeteksinya secara keseluruhan.

Sehingga, ketika ada file yang terinfeksi ditampilkan, terlebih dahulu masuklah ke direktori dimana file berada dan jangan terburu-buru untuk dihapus. Biasanya virus tersebut sudah menggandakan diri dan biasanya jika di web hosting berekstensi .php tapi dengan nama samaran menyerupai file script PHP yang ada di server dan juga acap kali menggunakan abjad acak susah dieja.

Contohnya

  • TXrBPv
  • php
  • php
  • php
  • .pid

File malware pernah dijumpai dengan ukuran yang sama yaitu 7mb . Jenis malware ini memanfaatkan server untuk  ngeflood/melakukan spam ke server lain, mudah dilihat prosesnya dengan command  LiSt Open Files alias lsof dengan filter port 80.

Pada web WordPress, untuk file-file WordPress regular dengan file virus/malware ataupun file script WP yang sudah terinfeksi, dapat dilihat dari nama file/isi kodenya.

Menghapus virus dan malware

Gunakan perintah rm  untuk menghapus secara manual semua file yang terinfeksi

rm -rf TXrBPv .pid dan_file_seterusnya

Gunakan perintah htop  atau ps  untuk melihat prosesnya. Jika masih jalan, di kill . Misal nama malwarenya TXrBPv

ps -ef | grep 'TXrBPv'

Setelah tampil PID nya langsung di kill, contoh

kill -9 12986

 

4.3/5 - (6 votes)
Sallu Warni

Recent Posts

Cara Secure Partisi /tmp di WHM/Cpanel

cPanel & WHM juga menawarkan skrip bawaan yang memaksimalkan keamanan partisi /tmp. Hal ini dilakukan…

1 day ago

mengatasi error ImunifyAV has not detected any compatible hosting panel as well as integration.conf file to run the installation without a panel di cyberpanel

berikut adalah cara mengatasi error ImunifyAV has not detected any compatible hosting panel as well…

2 months ago

Update URL Repository Centos 7 Setelah End Of Life (EOL) 2024-07-01

CentOS 7 tidak akan mendapatkan pembaruan apa pun setelah Juni 2024. Selain itu, mirrorlist.centos.org tidak…

2 months ago

Mengatasi error gmysql Connection failed: Unable to connect to database pada pdns Cyberpanel

DNS di server cyberpanel tidak mau bekerja, di cek pada error log keluar pesan seperti…

2 months ago

Mengatasi Access denied for user ‘cyberpanel’@’localhost’ (using password: YES) saat upgrade cyberpanel

saat upgrade cyberpanel, keluar pesan error seperti berikut: django.db.utils.OperationalError: (1045, "Access denied for user 'cyberpanel'@'localhost'…

2 months ago

Cara Restart CyberPanel Lewat SSH

Untuk melakukan restart cyberpanel lewat SSH silahkan jalankan perintah berikut: systemctl restart lscpd

2 months ago