LINUX.ORG.RU

Как добавить сигнатуры в ClamAV для сканирования виндовых файлов?

 ,


1

1

На сервере стоит ClamAV. Желательно, чтобы он фильтровал ещё и виндовую гадость (PE). Там прост облако ещё, там хранятся файлы.

Есть три файла (dll), на которые агрятся большинство антивирусов (пример). Подключил clamav-unofficial-sig, он подсунул свои базы. Всё ещё ничего не находит. ClamWin тоже.

Случайно нагуглил Immunet. Истребляет все три тестовых файла. В нём есть зеркало db.local.win.clamav.net, но я не понял, как его добавить в линуксовую версию.

Есть ли возможность подключить виндовые базы в линуксовой версии в дополнение к основным?

UPD: я уже не уверен, что дело в базах. В Immunet есть ещё облачное сканирование. Подмена баз ничего не дала. Ну и натравив ClamAV на файл, запротекченный одним плохим китайским проектором, результат был правильный.

UPD2: без интернета Immunet не работает, так что сигнатуры подсунуть не получится.

Ответ на: комментарий от ozz_is_here_again

В принципе, если как-то сигнатуры вытащить, можно их перепаковать их для ClamAV. Но скорее всего, это делать невыгодно, по затратам сил и времени.

i-rinat ★★★★★ ()
Ответ на: комментарий от i-rinat

Clamav сканер поддерживает кучу форматов баз. Есть поддержка yara, для которых есть автогенераторы правил на гитхабе.

Надо посмотреть лицензию баз иммунеле, если она свободна базы можно вытянуть и использовать в clamav.

Clamav-unofficial-sigs имеет две базы для которых надо подписку, ты на их свободные версии подписался?

anonymous ()
Ответ на: комментарий от ozz_is_here_again

Какие базы настроены для закачки clamav-unofficial-sigs ?

Дай вывод: 'ls -l /var/lib/clamav'

При настройки баз только «low» должно быть более 13 000 000 вирусов. У меня аж 43 файла.

Надо разрешать неофициальные базы: OfficialDatabaseOnly no

Не все базы поддерживают криптографическую верификацию, некоторые имеют подписи gpg, cvd имеет внутреннюю подпись. Подписи надо проверять возможна подмена баз.

Возможно вирусна dll подписана, тогда надо: DisableCertCheck yes

anonymous ()
Ответ на: комментарий от ozz_is_here_again

clamscan при запущенном clamd использовать нерсционально, базы жрут около 1.5Gb и грузится дольше чем clamscan сканирует.

Если запущен clamd то для экономии 1.5Gb оперативы и времени надо использовать clamdscan.

anonymous ()
Ответ на: комментарий от anonymous

Если запущен clamd то для экономии 1.5Gb оперативы и времени надо использовать clamdscan.

Лол, не знал, спасибо большое.

Теперь надо решить проблему незапускающегося клама, который отваливается по таймауту.

ozz_is_here_again ★★ ()
Ответ на: комментарий от ozz_is_here_again

У меня yara чуть другим скриптов обновляются, у тебя тоже нормально.

Нет гугловских для сайтов и французских:

crdfam.clamav.hdb

safebrowsing.cvd

Это не кретично

anonymous ()
Ответ на: комментарий от Woolf

clamd с on-access сканированием мне не нравится, рута просит и хочет полный доступ к файловой системе...

clamd запускаю под не привелигированым юзером и в chroot изоляции. clamdscan, разные прокси антиворусники умеют с clamd по tcp сокету общатся.

Вот если бы skyldav еще научить использовать clamd по tcp...

anonymous ()
Ответ на: комментарий от ozz_is_here_again

Да базы долго грузит. Я не знаю какую систему инициализации используете.

У меня openrc и тайм-аут отключается в функции:

depend() {

use net

provide antivirus

keyword -timeout

}

Опция keyword -timeout

anonymous ()
Ответ на: комментарий от ozz_is_here_again

Уже по дефолту

И базы можно уже самому клепать. https://www.clamav.net/documents/creating-signatures-for-clamav
Накропать скриптик, который будет дергать sigtool --md5, sigtool --mdb и т.д., парсить выхлоп и дописывать в свои базы сигнатуры. А в конце вызывать clamdscan --reload

Kuzz ★★★ ()
Ответ на: комментарий от Woolf

Как шептал на ухо шеф разведки Борман своему фюреру Гитлеру в 17 мгновениях весны - «в наше время верить никому нельзя».

Тем более что ClamAV теперь энтерпрайз от циски.

clamd может работать в полностью изолированном окружении и без привилегий root. Как антивирусный сервис обрабатывающий файлы по tcp. Или с чуть меньшей изоляцией через юникс сокет.

Это именно то что надо для реализации прокси антиворусников и сканирования файлов с помощью clamdscan.

Ещё бы skyldav к clamd прекрутить.

Также не советую под рутом пускать обновление антивирусных баз, freshclam, clamav-unofficial-sigs.sh,... все они должны запускатся под не привилегированным пользователем, цифровые подписи баз должны проверяется:

sigtool --info *

gpg --verify *.sig *

И потом ещё желательно на работоспособность с помощью:

clamscan --database=* test.file

Проверенные базы устанавливаются пользователем root. И с правами запрещающим их изменение пользователю clamav.

anonymous ()
Ответ на: комментарий от Kuzz

sigtool хорошая вещь для проверки и созбания cvd, cld баз, но городить вирусные подписи тупо по хешам файлов просто отстой.

Предлагаю использовать YARA синтаксис для описания вирусов. Он простой, четабельный, понятен и с помощью него можно рубать одним правилом целые классы и семейства вирусов. Есть автогенераторы и для yara. Плюс использование yara стало стандартом де-факто и поддерживается множеством антиворусников.

anonymous ()
Ответ на: комментарий от ozz_is_here_again

Как результат сканирование вирусных dll? ClamAV с дополнительными базами находит вири?

Если не находит, то причиной может быть цифровая подпись! Чтобы просмотреть цифровые подписи PE файла:

sigtool --print-certs=*

Если вирусный файл подписан, то по умолчанию ClamAV его вирем не щитает. ;) Чтобы это безобразие исправить надо в конфиге указать:

DisableCertCheck yes

Напомню что фирмы:

Realtek

Jmicron

ASUS

Своими цифровыми подписями подписывают вирусы!!!

anonymous ()
Ответ на: комментарий от ozz_is_here_again

Интересно. А то я неспешно ищу антивирус и посмотрел на днях в этой связи видос какого-то ламерка по фамилии Лещенко, он утверждает, что нет, не ловит ничего.

Я как-то ставил на оффтоп, давненько. Честно говоря не поммню его работу.
Надо бы повторить, на домашний файлопомоечный серверок, но пока лень возиться. Условно-бесплатную антивирусню ставить влом, из-за рекламы, которая отжирает много ресурсов. Платную каспероподобную тоже влом.

f00f ()
Ответ на: комментарий от f00f

Какое ложное срабатывание?!!

Это мем интернетов, как Realtek и Jmicron подписали вирус stuxnet, а Кошмаровский с ДокторомСети видя подпись «уважаемых» про*** страшный вирь. Введите в любом поисковике '+stuxnet +realtek +jmicron'. В общем это уже классика для учебников: https://en.m.wikipedia.org/wiki/Stuxnet

ASUS отличились недавно, их ключом подписывается вирусный BIOS для материнских плат ASUS, а когда их носом тыкали отмалчиваются. Оказывается что вирь планировали закинуть только избранным, но накосячили и прошили многим.

anonymous ()
Ответ на: комментарий от anonymous

Кстати, давно ношусь с мыслью, что дополнения нужно писать самому. Нет никаких гарантий, что в сторонние дополнения не будет напихано чего ни попадя.

f00f ()
Ответ на: комментарий от f00f

Пару лет назад начал писать ebuld-ы, для установки дополнений с их сорцов стандартным менеджером пакетов. Дополнения устанавливались под root в сам бровзер. Пользователи не обновлялись и не устанавливали обновления. Никто моё начинание не поддержал и я оверлейчик с дополнениями забросил.

anonymous ()
Ответ на: комментарий от f00f

Затея хорошая, но нереальная

У меня реализовалась, скачивать исходный код, и создавал установочный пакет самого дополнения. Поддерживал до 10 популярных обновлений.

anonymous ()
Ответ на: комментарий от anonymous

Пытался сделать 11 дополнений, 7 собирались. Забросил 02 2017.

Надо систему с поддержкой архиватора мозилы web-ext и сборку nodejs с поддержкой npm. Старый архиватор был jpm.

Далее качаешь архив исходников дополнения, и читаешь инструкцию по его сборке... Все с github.com с других мест не рабочие.

Все 11 дополнений поддерживал 1 ebuild-ом. Сейчас он далеко и достать мне трудновато.

anonymous ()