# Ubuntu18.04 免费开源杀毒/恶意检测工具全套推荐 分为\*\*通用文件杀毒\*\*、\*\*Rootkit后门查杀\*\*两类,全部开源免费、官方源可直接安装,适配服务器/桌面环境,结合你之前遇到的进程隐藏、挖矿木马场景,推荐组合使用。 \## 一、ClamAV(全能主流开源杀毒,首选) \### 核心定位 业界标准开源杀毒引擎,检测Windows病毒、Linux木马、挖矿程序、压缩包、脚本恶意文件,支持定时全盘扫描、实时监控,服务器/桌面通用,配套图形界面ClamTK方便可视化操作。 \### 核心优势 1\. 完全开源免费,病毒库每日自动更新; 2\. 支持递归扫描zip/tar/gz/rar等压缩包、Java jar、脚本; 3\. 可删除/隔离恶意文件,支持日志输出; 4\. 轻量,低服务器性能占用。 \### Ubuntu18.04 一键安装 ```bash \# 安装命令行引擎+后台服务+图形界面 sudo apt update sudo apt install clamav clamav-daemon clamtk -y ``` \### 基础使用命令 1\. 更新病毒库(首次必须执行) ```bash sudo freshclam ``` 2\. 全盘递归扫描,发现病毒自动删除并输出日志 ```bash sudo clamscan -r / --remove --log=/var/log/clam\_full\_scan.log ``` 3\. 扫描指定目录(如/tmp,木马高发目录) ```bash sudo clamscan -r /tmp --move=/tmp/virus\_quarantine ``` \### 桌面使用 直接运行 `clamtk` 打开可视化窗口,支持手动选目录扫描、定时任务、隔离区管理。 \--- \## 二、Rootkit 后门查杀工具(针对你之前进程隐藏告警场景) \### 1. rkhunter(Rootkit Hunter) 专门检测内核级Rootkit、隐藏进程、篡改系统二进制、后门脚本、嗅探工具,完美匹配你遇到的`mount --bind`隐藏进程入侵场景。 安装: ```bash sudo apt install rkhunter -y ``` 全盘检测: ```bash sudo rkhunter --update # 更新特征库 sudo rkhunter --check --skip-keypress --report-warnings-only ``` \### 2. chkrootkit 轻量Rootkit扫描工具,独立检测70+种后门,无需复杂配置,适合快速巡检。 安装: ```bash sudo apt install chkrootkit -y ``` 全盘扫描: ```bash sudo chkrootkit ``` > 💡 建议:服务器入侵排查时,\*\*ClamAV + rkhunter + chkrootkit 三者组合扫描\*\*,覆盖文件病毒+内核隐藏后门。 \--- \## 三、其他辅助开源安全工具(补充防护) \### 1. Lynis(系统安全审计) 非传统杀毒,但扫描系统漏洞、异常定时任务、可疑开机脚本、弱权限文件,能提前发现入侵入口,开源免费。 ```bash sudo apt install lynis -y sudo lynis audit system ``` \### 2. OSSEC(开源HIDS主机入侵检测) 实时监控文件篡改、进程创建、日志异常,发现木马创建/进程隐藏行为实时告警,适合长期服务器防护。 \--- \## 四、分场景推荐组合方案 \### 场景1:纯服务器(无桌面,你当前业务服务器) 必备:`clamav + rkhunter + chkrootkit + lynis` \- 定时任务:每周凌晨自动全盘扫描,输出日志; \- 重点监控目录:`/tmp /var/tmp /root /home`。 \### 场景2:桌面Ubuntu18.04 必备:`clamav + clamtk(图形界面)`,日常手动扫描下载文件。 \### 场景3:已疑似入侵(你之前进程隐藏告警) 1\. 先执行 `rkhunter + chkrootkit` 排查Rootkit隐藏进程; 2\. ClamAV全盘扫描删除木马程序; 3\. Lynis审计定时任务、开机自启后门。 \--- \## 五、重要补充说明 1\. Linux原生病毒极少,但\*\*挖矿木马、后门脚本、Windows病毒文件\*\*是主要威胁,ClamAV可全覆盖; 2\. 对比商业杀毒(赛门铁克等),开源工具无内存常驻后台占用,不会出现你top截图里2.1G内存占用的情况; 3\. 最佳实践:每月至少1次全盘扫描,重点监控`/tmp`临时目录(攻击者常用存放木马)。