clamavscan

WebTeufel · 15. Januar 2015

moin liebe pd-admin user und die die es mal waren

eine frage
setzt jemand clamavscan auch auf die komplete platte los oder nur die mails? was pd-admin so macht

wenn jemand es macht, würde derjenige evtl hilfreiche parameter verraten und evtl erklären warum ja oder warum welche nicht

bin grad am testen und aktuell sieht es so aus:
/usr/local/pd-admin2/bin/clamscan /home/ --recursive=yes --infected --detect-pua

danke im voraus

Eisenherz · 16. Januar 2015

Hallo,

ich würde die Frage an Dich erst einmal zurück geben und fragen warum Du überhaupt den ganzen Server scannen willst.

Hast Du Angst das sich im Linux-System Viren befinden?
Hast Du vor z.B. WebDAV-Verzeichnisse zu scannen?
Willst Du Deinen Kunden einen extra Schutz anbieten?

WebTeufel · 16. Januar 2015

ich würde sagen eigenschutz
ich weiß das da "viren" sind, clamav hat da schon welche gefunden

die kommen über irgendwelche Plugins oder Themes in Wordpress
es ist verschlüsselter php code, den ich gestern entschlüsselt habe um zu sehen was es alles macht
es ist ein script, also denke ich scriptkidis, der könnte sogar ddos auf andere server starten, oder bruteforce auf ftp, bietet auch shell zugang an und einiges mehr
zum glück ist pd-admin an enigen stellen gut konfiguriert und lässt das script nicht alles machen was es machen könnte

aber ich würde sollche dateien mal selbst finden und dann entscheiden was ich da mache, diesmal ist es fast 3 wochen undentdeckt geblieben, weil der kunde seine seite in letzter zeit aufgesucht hat, hat er es nicht gemerkt das als HACKED verunstaltet wurde

Shackattack · 16. Januar 2015

Hi Alex. Um die verschlüsselten Plugins zu identifizieren kommst du um kommerziele Virenscanner nicht drum rum. Ich habe den Schadcode mit ESET NOD32 aufindig gemacht. Aber mal eine ganz doofe Idee wie wärs mit einer Windows Installation in deiner VM und dann Home zu dem System mounten zum scannen.

Ist zwar nicht state of the art aber sollte klappen.

WebTeufel · 16. Januar 2015

jetzt wo du es sagst, der hat tatsählich nur die bereits entschlüsselte gefunden
aber dafür viele andere scripte die clamav als PUA eingestufft hat

mit win bin ich mir da nicht so sicher, wieder haufen an Lizenzen usw
glaube der aufwand lohnt sich nicht, clamav macht ja schon in etwa seinen dienst

Eisenherz · 17. Januar 2015

Wir benutzen und installieren auch bei unseren Kunden Dr.Web um Kundenwebs und WebDAV-Freigaben zu durchsuchen, dass kann man im eigenen Interesse machen und natürlich auch dem Kunden als Serviceleistung anbieten.
Da es eine sehr gute Linux-Version gibt, kann man diese ohne Probleme auch direkt unter Linux laufen lassen.
Ergänzend dazu kann man für Kundenwebs auch Lösungen wie z.B. "Geotrust Malware" einsetzen, diese signalisieren auch dem Besucher, dass er eine sichere Webseite besucht.

Shackattack · 17. Januar 2015

Naja ... was heist haufen von Lizenzen. Brauchst ja eigentlich nur eine Clientlizenz für alle Server. Also im Grunde genommen Peanuts.

WebTeufel · 17. Januar 2015

Lizenzen für Win + Antivirus
da ist Dr.Web glaube ich interessantere Alternative zu win

Eisenherz, wie ist den die Erkennungsrate? könnte ich dir evtl die eine php datei zum test schicken, also die noch verschlüsselt ist, um zu sehen ob der mit so was auch gut zu recht kommt?

Eisenherz · 17. Januar 2015

Hallo Webteufel,

die Erkennungsrate ist sehr gut. Ich verkaufe Dr.Web auch an Kunden außerhalb des Linux-Umfeldes und auch die sind sehr zufrieden damit.
Du kannst die PHP-Datei gerne irgendwo ablegen, am besten per ZIP und mir dann den Link per PM schicken, dann lade ich sie nachher mal runter und prüfe sie für Dich.
Ich kann Dir auch gerne am Montag zusätzlich eine Testlizenz besorgen, dann kannst Du Dr.Web einfach selber mal auf Deinem Server testen.