Hallo Al, hallo Leute, Am Montag 08 September 2003 21:19 schrieb Al Bogner:
Ich habe mir dazu ein paar Viren in ein Verzeichnis gegeben und 1 bis mehrmals komprimiert. [...]
Man könnte nun darüber diskutieren, wie realistisch mehrfach gepackte Viren sind. Ich finde aber eher, dass man sich auf ein Prüfprogramm verlassen soll können, auch wenn keine direkte Gefahr ausgeht. Ein DAU wird nach solch einer Prüfung, die Datei vermutlich sorglos entpacken. Insofern frage ich mich auch, warum man bei amavis einen Default-Wert von 3 Ebenen hat. Wenn das Archiv nicht mehrfach gepackt ist, kostet auch ein höherer Wert nicht mehr Zeit und wenn es gepackt ist, dann will ich es wissen, ob da ein Virus versteckt ist. Insofern werde ich wohl von 5 noch auf 99 oder so erhöhen.
Sicher, dass Du das willst? Mehrfach gepackte Archive können nämlich auch zu einer Denial of Service-Attacke auf Deinen Server genutzt werden. Ich hab hier eine nette Datei "42.zip", die mehrfach gepackt ist - wenn man alles entpackt, kommen hunderte _GB_ (!) raus. Damit kann man den Virenscanner bzw. "unzip" erstmal eine Zeitlang beschäftigen ;-) Keine Angst, ich verschicke diese Datei nicht (es sei denn, Du willst sie unbedingt - dann aber auf eigenes Risiko ;-)
Hat keiner eine Ahnung, warum die f-prot-Prüfung auf der HD fehlschlägt? Ich habe den starken Verdacht, dass dies mit der Anzahl der Komprimierungen zusammenhängt.
-archive Scan inside supported archives. [...]
Hier wird rar nicht angeführt. Beim Mail-Scannen wurde aber das Rar-Archiv entpackt, sonst hätte die Fehlermeldung nicht kommen können.
Im amavis-Script findet man: my $unrar = "/usr/bin/unrar"
Entpackt etwa das amavis-Script beim Mailprüfen für f-prot die Dateien
Ich kenne amavis nicht, aber es sieht so aus, als ob es die Dateien zuerst entpackt und dann an den Virenscanner weiterreicht.
und beim HD-Prüfen muß es f-prot selber machen und kann es wegen der in der Manpage genannten Archive nicht?
So wird es wohl sein ;-) Gruß Christian Boltz PS: Was Dein Script zum Virenscannen angeht - das ist soweit OK, dass ich eine Antwort auf Deine Mail in der Liste als unnötig betrachtet habe ;-) -- "Hast du schon gehoert: Ein Bug im Netscape Navigator erlaubt es jedem, übers Internet deine Festplatte zu lesen." - "Weiss ich, deshalb bleibe ich ja auch bei Netscape - wenn's ein Microsoft-Bug waere, dann dürfte jeder meine Festplatte auch noch beschreiben..."