LINUX.ORG.RU

Несколько вопросов про clamav

 , ,


0

1

Ubuntu 18.04, clamav 0.100.2, clamtk 5.25.

1. Демон freshclam

После установки clamav зачем-то появляется демон freshclam. Как его выключить? Я и сам в состоянии набрать freshclam перед сканированием (которое будет раз в полгода), зачем электричество жечь понапрасну? В /etc/clamav/freshclam.conf параметра «не запускать» не нашёл.

2. Глючный clamtk

Только у меня clamtk не работает или так и задумано?

Сначала он долго и упорно ищет, затем (только полностью завершив сканирование, очень удобно) выдаёт список «найденного» с кнопками Quarantine, Delete и Analysis. И далее надо по одному (т.к. выделение нескольких строк не работает) тыкать, что делать с файлами. Если вирусом А заражено 500 библиотек — надо будет 500 раз нажать Delete и 500 раз выделить следующий файл.

Но это мелочи. Веселее то, что эти кнопки не работают. Т.е. я прокликал кучу файлов (кого «удалить», кого «в карантин»), clamtk нарисовала, что они «удалены», а файлы где были, там и остались.

3. Описания PUA

Где-то существуют описания всех этих «PUA.Win.Shmin.Ololo»? Непонятно же: то ли действительно что-то найдено, то паранойя разыгралась. У них в списке PUA (potentially unwanted applications) и IRC есть.

Я бы вырубил вообще эти PUA, но там встречаются PUA.Win.Malware.* и PUA.Win.Trojan.*, а это уже звучит угрожающе.

Вот найдена куча PUA.Win.Downloader.Soft32downloader-6691270-0. Поиск такой строки в гугле не даёт ничего, поиск PUA.Win.Downloader.Soft32downloader тоже. Увидел только это:

PUA:Win32/Downloader

This application was stopped from running on your network because it has a poor reputation. This application can also affect the quality of your computing experience.

https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description...

Ну теперь-то всё понятно, «application has a poor reputation». Что за «reputation», чего именно это «downloader»? Может, эта программа/библиотека и должна качать из интернета?

Правда, для PUA.Win.Dropper.Ghokswa-6651618-0 написано уже получше:

Win32/Ghokswa

Windows Defender detects and removes this unwanted software.

This threat installs a modified version of Chrome and/or Firefox browsers, replacing any existing copy of these that were already installed on the system.

These modified copies have different search and home page settings that the user may be unable to change, and update components that may download additional unwanted software.

This threat is usually installed by Trojan:Win32/Xadupi.

This threat is part of a suite of malware and unwanted software families that is also called «Fireball». Read about this threat group in the Windows Security blog:

https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description...

Как бы я по названию понял, что это надо удалять?

Спасибо майкрософт, благодаря им хоть как-то линуксовым антивирусом clamav пользоваться могу.

4. Список PUA для clamscan

Раз clamtk не работает, запускаю в консоли clamscan. Но тут-то интерактивной обработки результатов не предусмотрено. Решай сразу, что будешь делать со всеми найденными файлами. И что именно надо найти.

Т.е. теперь мне надо составить список интересующих меня категорий PUA, потому что иначе в карантин улетит пол-диска, т.к. PUA включают страшные PUA.Packer, которые clamav находит прям везде. А восстановление из карантина, как я понял, только руками.

man clamscan отправляет на эту страницу: https://www.clamav.net/documents/potentially-unwanted-applications-pua

И там список категорий PUA: Packed, PwTool, NetTool, P2P, IRC, RAT, Tool, Spy, Server, Script.

Рассказывать, в какую категорию входит конкретное PUA, clamscan, конечно, не собирается. Ну да ничего, категорий немного, можно и подобрать. Начинаю перебирать их... и обнаруживаю, что либо --include-pua и --exclude-pua не работают, либо найденные у меня «вредители» не входят ни в одну из этих категорий! Т.к. эти файлы не получается ни включить в список, ни исключить их списка. Шикарно.

И как мне теперь запускать clamscan, если файлы с «PUA.Win.Downloader» я хочу оставить (а исключить их из списка не получается), а с PUA.Win.Trojan удалить (а их, наоборот, нельзя влючить в список)?

5. --infected

Ещё почему-то частично игнорируется опция "--infected", «Only print infected files.» Пишет и про не инфицированные тоже. Но это мелочь на фоне того, что выше.

6. Замена

Может, есть какой-то более адекватный антивирус для проверки дисков с виндоусом из-под линукса?

★★

Лишние сообщения при запуске с --infected это, оказывается, реакция на --verbose.

fffgh ★★
() автор топика

Может, есть какой-то более адекватный антивирус для проверки дисков с виндоусом из-под линукса?
Я и сам в состоянии набрать freshclam перед сканированием (которое будет раз в полгода), зачем электричество жечь понапрасну?

Возможно в таком случае раз в полгода загрузится с LiveUSB с Kaspersky или Dr.Web, или месячный триал Dr.Web запихнуть в контейнер и запускать от туда девственно чистым по надобности.

WoozyMasta
()
Ответ на: комментарий от WoozyMasta

Возможно в таком случае раз в полгода загрузится с LiveUSB с Kaspersky или Dr.Web,

У них есть собственные live usb? Там линукс?

или месячный триал Dr.Web запихнуть в контейнер и запускать от туда девственно чистым по надобности.

Только ссылка без слэша в конце, а то 404.

https://download.geo.drweb.com/pub/drweb/unix/workstation/11.0/drweb-11.0.6-a...

Даже на знал, что drweb собирают под линукс. Да ещё и скачать дают. Да ещё и без бесконечных регистраций.

Спасибо, буду пробовать.

fffgh ★★
() автор топика
Ответ на: комментарий от fffgh

У них есть собственные live usb? Там линукс?

Да, Kaspersky Rescue Disk на gentoo i686 c кедами, а Dr.Web кажется debian-based

WoozyMasta
()
Ответ на: комментарий от fffgh

Там линукс?

Да, но у обоих он косячный, интеловские wi-fi адаптеры не работают, NVME диски не распознаются.

Deleted
()
Ответ на: комментарий от WoozyMasta

триал Dr.Web

Весьма своеобразно представляет себе линуксовые права. Менять настройки — только «от администратора». Зачем это, если я флешку сканировать буду? Ну хорошо: sudo drweb-gui. Запускается, в заголовке надпись «as superuser», т.е. типа понял, что уже права есть. Но нет, «я так не хочу, вбей логин и пароль именно в моё окошко». Тут впору начинать беспокоиться. Это он просто базу паролей собирает или конкретно меня взломать хочет?

Вбить можно, но он запущен в ubuntu live-cd, а там пользователь с пустым паролем. А drweb не хочет пустой, ему надо буковок! Т.е. надо ещё создать пользователя-администратора и дать его пароль.

Дурдом, как бы. Но на фоне clamav — сущий пустяк.

fffgh ★★
() автор топика

После установки clamav зачем-то появляется демон freshclam. Как его выключить?

как и все остальные юниты системд?

darkenshvein ★★★★★
()

Я и сам в состоянии набрать freshclam перед сканированием (которое будет раз в полгода)

основной use case для ClamAV в Linux - это постоянное сканирование почты/трафика Squid/трафика Samba/и т.п. На индивидов, которые собираются раз в пол-года флешки сканировать, это не рассчитано. В Ubuntu, наверное, тоже. Про systemd уже написали, а так, по крону, тоже рекомендуется раз в час свежесть базы проверять.

AS ★★★★★
()
Ответ на: комментарий от AS

основной use case для ClamAV в Linux - это постоянное сканирование

Ну как минимум они написали clamtk, назначение которого именно в сканировании флешек. И, внезапно, с этим проблемы.

fffgh ★★
() автор топика
Ответ на: комментарий от fffgh

clamtk не часть пакета clamav. Странно ожидать, что компоненты одного пакета будут ориентироваться на другой, который не является основным эксплуатантом. Даже если это в рамках одного дистрибутива. Хотя, может быть, можно и вынести правила для обновления в отдельный подпакет, а freshclam ставить в голом виде. Можно обсудить с мантейнером пакета ClamAV в Ubuntu наверное. А мантейнер у clamtk тот же, или другой?

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 1)

Как его выключить?

Я тут посмотрел предлагаемый по-умолчаню юнит (вообще в clamav, не в Ubuntu), там написано: ConditionPathExists=!/etc/cron.d/clamav-freshclam. Если в Ubuntu так же, то touch /etc/cron.d/clamav-freshclam должно это отключить.

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от WoozyMasta

А самая милота в том, что множества вредоносных файлов, найденные clamav и drweb... не пересекаются!

fffgh ★★
() автор топика
Ответ на: комментарий от AS

clamtk не часть пакета clamav.

Да, что-то я сочиняю. Разные пакеты же.

Странно ожидать, что компоненты одного пакета будут ориентироваться на другой, который не является основным эксплуатантом.

Ну можно просто поудивляться, как clamtk умудряется так плохо работать. Сам по себе, без clamav.

Хотя, может быть, можно и вынести правила для обновления в отдельный подпакет, а freshclam ставить в голом виде.

Если всем нравится так, то зачем менять?

А мантейнер у clamtk тот же, или другой?

Там несколько, есть общие.

https://packages.ubuntu.com/bionic/clamav

https://packages.ubuntu.com/bionic/clamtk

fffgh ★★
() автор топика
Ответ на: комментарий от fffgh

множества вредоносных файлов, найденные clamav и drweb... не пересекаются!

Все же базы у Dr.Web ориентированы больше под десктоп винду, а

ClamAV в Linux - это постоянное сканирование почты/трафика Squid/трафика Samba/и т.п.

да и логика поиска вредоносного кода у ClamAV отличается от виндовых мастодонтов.

У самого ClamAV только на почтовиках и на одном сквиде используется, а файлопомойки офисные периодически каспером просматриваю в ручном режиме.

WoozyMasta
()
Ответ на: комментарий от fffgh

А самая милота в том, что множества вредоносных файлов, найденные clamav и drweb... не пересекаются!

Это уж кто куда что репортит, и кто как на это реагирует. Хотя я вот пару дней назад зарепортил (в ClamAV) Trojan.Encoder.26888 (по определению DrWeb), ClamAV всё ещё не ловит. Может они там ещё статистику обращений фиксируют и добавляют только массово летающее... Раньше вроде добавляли, но я лет пять не отправлял ничего.

AS ★★★★★
()

Автор clamtk говорит, что специально убрал возможность удалять несколько файлов сразу. Прокликивать мышью тыщи файлов — это не баг, а фича!

Be very careful quarantining and/or deleting files especially those identified as PUAs. ... This is actually the reason why I removed the «quarantine all» and «delete all» from the options - so you'd have to think about it first.

https://github.com/dave-theunsub/clamtk/issues/36

fffgh ★★
() автор топика
Ответ на: комментарий от WoozyMasta

У самого ClamAV только на почтовиках и на одном сквиде используется

На какие PUA настроен реагировать, на какие не реагировать?

fffgh ★★
() автор топика
Ответ на: комментарий от fffgh

Где то и вовсе DetectPUA false (сервисная почта, рассылка, личный почтовик)

Для офисной почты:

PwTool
NetTool
RAT
Spy
Server
Script

хотя выполнять особо ничего не могут пользователи на рабочих станциях, но так спокойнее, в одном офисе когда то еще прикручивал наработки отсюда но как сейчас там дела не имею представления.

Для сквида

PwTool
RAT
Spy

со Script были когда то проблемы у бухгалтерии, отключил и забыл.

WoozyMasta
()
Ответ на: комментарий от darkenshvein

Да, благодарю.

Всего-навсего systemctl disable clamav-freshclam

fffgh ★★
() автор топика

NOD32 есть под линукс. Стоит 1400р в год, 30 дней триал.

anonymous
()
Ответ на: комментарий от AS

ConditionPathExists=!/etc/cron.d/clamav-freshclam. Если в Ubuntu так же, то touch /etc/cron.d/clamav-freshclam должно это отключить.

Уже отключил, но тем не менее. Крону от такого плохо не будет?

fffgh ★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.