Seguridad y análisis de malware con ClamAV

En AEWhite Devs la seguridad es un pilar fundamental. Dentro de nuestra infraestructura, además de proxys, backups y cifrado, utilizamos herramientas de análisis que nos permiten detectar software malicioso y amenazas en los servidores. Una de ellas es ClamAV, el antivirus open-source más conocido para entornos Linux y servidores.

Actualmente trabajamos con la aplicación en su versión v1.1.2-2 (base v1.3.2), rama community, con soporte oficial en:

• 🌐 clamav.net

• 📖 docs.clamav.net

 ¿Qué es ClamAV?

ClamAV es un motor de detección de malware open-source, diseñado principalmente para:

• 🔎 Analizar archivos y carpetas en busca de virus, troyanos y amenazas.

• 📧 Escanear correos electrónicos en servidores de correo.

• 📂 Integrarse con aplicaciones web para revisar archivos subidos por usuarios.

• 🔄 Actualizar bases de firmas en tiempo real para detectar nuevas amenazas.

Está pensado sobre todo para servidores Linux, aunque también puede usarse en entornos de escritorio o como parte de infraestructuras más complejas.

 ¿Por qué lo usamos en AEWhite Devs?

Dentro de nuestro homelab y proyectos, ClamAV cumple varios roles:

• ✅ Escaneo de archivos que suben usuarios en proyectos como mypymecontrol.

• ✅ Análisis de datasets críticos en TrueNAS SCALE para evitar introducir malware.

• ✅ Protección de servidores de correo (mail.aewhitedevs.com).

• ✅ Uso como herramienta de auditoría periódica de seguridad.

• ✅ Integración con scripts de automatización para escaneos programados.

De esta forma, ClamAV actúa como una capa adicional de defensa, reforzando la seguridad global de la infraestructura.

 Instalación de ClamAV

🔹 En Linux (Debian/Ubuntu)

Actualizar firmas de virus:

Escanear una carpeta:

🔹 Usando Docker

Esto levanta un contenedor con ClamAV Daemon disponible en el puerto 3310, ideal para integraciones externas.

🔹 En TrueNAS SCALE

1. Instalar ClamAV desde el catálogo community.

2. Definir datasets a analizar (ejemplo: /vault_main/uploads).

3. Configurar freshclam para actualizaciones automáticas de firmas.

4. Programar tareas de escaneo con cronjobs dentro de TrueNAS.

 Configuración básica

• Actualizar firmas automáticamente con freshclam.

• Programar escaneos con cron:

  0 2 * * * clamscan -r /vault_main/uploads --log=/var/log/clamav/scan.log


• Integración con servicios de correo → escaneo de adjuntos con clamd.

• Logs detallados → permiten detectar archivos infectados y tomar acciones automáticas (ejemplo: moverlos o eliminarlos).

 Funciones destacadas

• Motor de detección open-source mantenido por Cisco Talos.

• Escaneo recursivo de carpetas.

• Compatibilidad con múltiples formatos de archivos (ZIP, RAR, DOCX, PDF, etc.).

• ClamD → demonio de alto rendimiento para escaneos rápidos.

• FreshClam → actualizaciones automáticas de firmas de virus.

• Integración con Mail Servers (Postfix, Exim, Mailcow, etc.).

 Consejos de seguridad

• Mantener bases de firmas actualizadas siempre (freshclam).

• Automatizar escaneos regulares con cronjobs.

• Integrarlo con Nginx Proxy Manager o servidores web para revisar archivos subidos.

• Revisar logs para detectar amenazas persistentes.

• No depender solo de ClamAV: combinar con firewalls, proxys y sistemas IDS/IPS.

 Conclusión

Con ClamAV, en AEWhite Devs reforzamos la seguridad de nuestra infraestructura, asegurando que los archivos que circulan en nuestros proyectos estén libres de malware. Es una solución ligera, extensible y confiable, ideal para homelabs, servidores de correo y aplicaciones que procesan archivos de usuarios.

👉 Recursos oficiales:

• 🌐 ClamAV.net

• 📖 Documentación oficial

— El equipo de AEWhite Devs