Hallo zusammen, Ich habe bei dem Aufruf von clamscan das Problem Verzeichnisse auszuschließen. In man clamscan steht --exclude=REGEX, --exclude-dir=REGEX Was versteht man hier unter REGEX Ich weiß was reguläre Ausdrücke sind (Perl). Die Komplexität von Perl wird hier wohl nicht gemeint sein. Was denn exakt. Die Doku von clamscan verweist auf die man-Page, die dazu nichts sagt und auf die Doku verweist. Ich habe inzwischen heraus, dass man ^ für den Anfang einsetzen kann. Einige sagen, dass man ^//Directory verwenden muss, andere nur ^/, wenn man ein Root-Verzeichnis meint. Hat jemand heraus, wie man z.B. /dev ausschließt oder .config in allen Verzeichnissen. Danke für Eure Hilfe Heiner -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Heiner! Am 23.04.2013 um 17:00 Uhr schrieb Heiner Kuhlmann:
Ich habe bei dem Aufruf von clamscan das Problem Verzeichnisse auszuschließen.
In man clamscan steht
--exclude=REGEX, --exclude-dir=REGEX
Was versteht man hier unter REGEX
Ich habe mir ein Mini-Script geschrieben und rufe clamscan so auf: clamscan -i -r --exclude-dir=/proc --exclude-dir=/sys -l /var/log/clamscan.log Viele Grüße Peter PS: Das ganze Script: /usr/sbin/viren #!/bin/bash cd / echo -e "\n" >> /var/log/clamscan.log echo `date +%Y-%m-%d.%H.%M.%S` >> /var/log/clamscan.log clamscan -i -r --exclude-dir=/proc --exclude-dir=/sys -l /var/log/clamscan.log exit 0 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo, Am Tue, 23 Apr 2013, Heiner Kuhlmann schrieb:
Was versteht man hier unter REGEX
man 7 regex Welche Version (Basic oder Extended) weiß ich nicht. *test* Ok, sind "Extended Regular Expressions". Zum Beispiel werden mit --exclude='\..{1,2}' alle Dateien ausgeschlossen, die am Ende einen Punkt gefolgt von 1 oder 2 Zeichen haben (also z.B. t.c oder foo.pl, nicht aber t.cpp oder foo.pl~). Ist zwar ein sinnfreies Exclude, aber {n,m} ist eben ein ERE Feature. Siehe o.g. manpage.
Ich weiß was reguläre Ausdrücke sind (Perl). Die Komplexität von Perl wird hier wohl nicht gemeint sein. Was denn exakt.
s.o.
Die Doku von clamscan verweist auf die man-Page, die dazu nichts sagt und auf die Doku verweist.
Lustigerweise finden sich aber interessante Strings in clamscan selber, die aber nicht in der --help Ausgabe auftauchen: ==== strings /usr/bin/clamscan ==== regular expression (egrep-like) will not be scanned ==== egrep-like == ERE wie in man 7 regex beschrieben.
Hat jemand heraus, wie man z.B.
/dev ausschließt oder .config in allen Verzeichnissen.
Nachdem die Regexvariante klar ist: clamscan -r ... --exclude-dir='^/dev' --exclude='^\.config$' bzw. praktischerweise gleich: ... --exclude-dir='^/(dev|proc|sys|run|var/(lock|run))' ... Du mußt /dev/ übrigens nicht unbedingt ausschließen, daß "müllt" dir nur ein bissl die Ausgabe mit "Symbolic link" zu ;) Devices und evtl. auch sockets werden von clamscan anscheinend generell nicht gescannt (und auch nicht geloggt), wäre auch nicht sinnvoll. Wieso du allerdings den Drang verspürst dein Linux mit clamscan zu scannen (und nicht nur die Stellen, wo Windowskrempel rumliegt) bleibt mir schleierhaft. Z.B. bei mir gibts ein Verzeichnis mit dem Ergebnis: Scanned files: 35 Infected files: 33 (und die 2 anderen werden nur nicht erkannt). HTH, -dnh -- | Fragebogen downloaden (4 KB, Textdatei) | Fragebogen downloaden (9 KB, OpenOffice 1.0 File) | Fragebogen downloaden (57 KB, Word 2000 Dokument) Ohne Worte -- Volker Gringmuth -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On Wed, 24 Apr 2013, David Haller wrote:
Hallo,
Am Tue, 23 Apr 2013, Heiner Kuhlmann schrieb:
Was versteht man hier unter REGEX
man 7 regex
Welche Version (Basic oder Extended) weiß ich nicht.
*test*
Ok, sind "Extended Regular Expressions". Zum Beispiel werden mit
--exclude='\..{1,2}'
alle Dateien ausgeschlossen, die am Ende einen Punkt gefolgt von 1 oder 2 Zeichen haben (also z.B. t.c oder foo.pl, nicht aber t.cpp oder foo.pl~). Ist zwar ein sinnfreies Exclude, aber {n,m} ist eben ein ERE Feature. Siehe o.g. manpage.
Ich weiß was reguläre Ausdrücke sind (Perl). Die Komplexität von Perl wird hier wohl nicht gemeint sein. Was denn exakt.
s.o.
Die Doku von clamscan verweist auf die man-Page, die dazu nichts sagt und auf die Doku verweist.
Lustigerweise finden sich aber interessante Strings in clamscan selber, die aber nicht in der --help Ausgabe auftauchen:
==== strings /usr/bin/clamscan ==== regular expression (egrep-like) will not be scanned ====
egrep-like == ERE wie in man 7 regex beschrieben.
Hat jemand heraus, wie man z.B.
/dev ausschließt oder .config in allen Verzeichnissen.
Nachdem die Regexvariante klar ist:
clamscan -r ... --exclude-dir='^/dev' --exclude='^\.config$'
Hmm, bezogen auf .config wird das aber vermutlich nicht funktionieren, da ich den Eindruck habe, clamscan wendet den regulären Ausdruck (hier REGEX genannt) auf den kompletten Dateinamen an, also mit Pfad. Wird clamscan ohne Verzeichnisangabe aufgerufen, verwendet es offenbar den vollen absoluten Pfadnamen, ansonsten den des angegebenen Verzeichnisses (der dann absolut oder relativ sein kann). Also wenn man z.B. irgendwo im Home-Verzeichnis clamscam ohne explizite Verzeichnisangabe etwa mit der Option --exclude='h' aufruft, dürften alle Dateien ausgeschlossen sein, da das h ja schon in /home/... gefunden wird ("matcht"). Man kann natürlich das lokale Verzeichnis auch mit . angeben, dann sieht die Welt ganz anders aus und nur alle Dateien, die ein h enthalten, werden ausgeschlossen. Konkret alle Dateien namens .config in allen Verzeichnissen auszuschliessen sollte also eher mit --exclude="/\.config$" bzw. auch --exclude="/\.config$|^\.config$" klappen. Ob Letzteres wirklich nötig ist, weiss ich nicht genau, möglicherweise kann der hinzugefügte Ausdruck so gar nicht vorkommen. Den Dateiname incl. Pfad (!), den clamscan "sieht" und auf den der REGEX wohl angewandt wird, scheint der zu sein, den clamscan bei seinem Scan-Lauf auch ausgibt. Wenn man also nicht weiß, dass clamscan den REGEX nicht nur im eigentlichen Dateinamen, sondern offenbar auch im absoluten bzw. relativen zugehörigen Pfad sucht, kann es natürlich zu "überraschenden" Resultaten bei Nutzung der "--exclude" Option kommen. Ich bin aber kein "clamscan"-Profi, sondern habe aus Neugier nur einmal einige kurze Tests durchgeführt. Viele Grüße Jens
Hallo On Wed, 24 Apr 2013 02:16:24 +0200 David Haller <dnh@opensuse.org> wrote:
Am Tue, 23 Apr 2013, Heiner Kuhlmann schrieb:
Was versteht man hier unter REGEX
man 7 regex
Welche Version (Basic oder Extended) weiß ich nicht.
*test*
Mein Problem sind nicht reguläre Ausdrücke,sondern dass es mehre Varianten gibt, und ich bin sauer, dass ich jeden Mist ausprobieren muss, weil es nicht beschrieben ist. Ich habe inzwischen eine Lösung per Versuch und Irrtum gefunden. ...
Die Doku von clamscan verweist auf die man-Page, die dazu nichts sagt und auf die Doku verweist.
Lustigerweise finden sich aber interessante Strings in clamscan selber, die aber nicht in der --help Ausgabe auftauchen:
==== strings /usr/bin/clamscan ==== regular expression (egrep-like) will not be scanned ====
Ein Lob der Dokumention. Wir haben nur für diese Frage ein mehrfaches der Zeit verbraten, die der Entwickler für 3 Zeilen Text gebraucht hätte Meine Frage ist mehr aus dem Ärger über derart unprofessionelle Entwickler entstanden. ...
Du mußt /dev/ übrigens nicht unbedingt ausschließen, daß "müllt" dir nur ein bissl die Ausgabe mit "Symbolic link" zu ;) Devices und evtl. auch sockets werden von clamscan anscheinend generell nicht gescannt (und auch nicht geloggt), wäre auch nicht sinnvoll.
I weiß.
Wieso du allerdings den Drang verspürst dein Linux mit clamscan zu scannen (und nicht nur die Stellen, wo Windowskrempel rumliegt) bleibt mir schleierhaft. Z.B. bei mir gibts ein Verzeichnis mit dem Ergebnis:
Scanned files: 35 Infected files: 33
War wohl mehr der Versuch, ob es wirklich etwas bringt. Ein Scan über das gesamte Linux-System und alles was ich bei mit in 20 Jahren angesammelt hat brachte etwa 4 Funde. Pikant: alles waren PDF-Rechnungen von den Telekomikern. Danke für Eure Mühe und viele Grüße Heiner -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 24.04.2013 02:16, schrieb David Haller:
Hallo, ...
Wieso du allerdings den Drang verspürst dein Linux mit clamscan zu scannen (und nicht nur die Stellen, wo Windowskrempel rumliegt) bleibt mir schleierhaft. Z.B. bei mir gibts ein Verzeichnis mit dem Ergebnis:
Scanned files: 35 Infected files: 33
(und die 2 anderen werden nur nicht erkannt).
HTH, -dnh
Eigenartig. Ich verwende seit Jahren F-Prot, der hat mir in der ganzen Zeit ein paar - tatsächlich infizierte Mailanhänge (zip und pdf) angezeigt, natürlich die meisten in den Backups von Windowsen, die hier mit im Zugriff sind, aber nicht alle... Selbst testweise "heuristic" scans (bei denen F-Prot nicht nach Fingerprints geht, sondern versucht Methoden zu erkennen und die gerne mal false-positive liefern) waren eher schweigsam. Was hast Du für interessante Dateien??? Meinen Giftschrank würde ich natürlich auch nicht scannen... ;-) cu jth -- www.teddylinx.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo, Am Fri, 26 Apr 2013, Joerg Thuemmler schrieb:
Am 24.04.2013 02:16, schrieb David Haller:
Scanned files: 35 Infected files: 33 [..] Selbst testweise "heuristic" scans (bei denen F-Prot nicht nach Fingerprints geht, sondern versucht Methoden zu erkennen und die gerne mal false-positive liefern) waren eher schweigsam. Was hast Du für interessante Dateien???
Och, halt das was hier so über die Jahre per Mail reingeflattert kam. MyDoom, Gibe, Klez, Sorbig, Tanatos, LoveLetter, teils in verschiedenen Varianten ...
Meinen Giftschrank würde ich natürlich auch nicht scannen... ;-)
Warum nicht? -dnh, keine Zufallssig ;) --
Einmal im Jahr sorgen MS Produkte durch das Internet für Milliardenschäden in der Wirtschaft 2000: Love Letter, 2001: Code Red und Nimda, 2003: Sapphire, 2002? Windows XP. -- Eric Wick, Wolfgang Ewert und Urs Traenkner in dcsm -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 26.04.2013 19:24, schrieb David Haller:
Hallo,
Am Fri, 26 Apr 2013, Joerg Thuemmler schrieb:
Am 24.04.2013 02:16, schrieb David Haller:
Scanned files: 35 Infected files: 33 [..] Selbst testweise "heuristic" scans (bei denen F-Prot nicht nach Fingerprints geht, sondern versucht Methoden zu erkennen und die gerne mal false-positive liefern) waren eher schweigsam. Was hast Du für interessante Dateien???
Och, halt das was hier so über die Jahre per Mail reingeflattert kam. MyDoom, Gibe, Klez, Sorbig, Tanatos, LoveLetter, teils in verschiedenen Varianten ...
Meinen Giftschrank würde ich natürlich auch nicht scannen... ;-)
Warum nicht?
-dnh, keine Zufallssig ;)
Naja, beim ersten scannen sind die Dinger ja dort gelandet. Ich nehme mal an, ein weiterer Scan würde mir nichts Neues sagen. Und ich sehe auf meiner Admin-Seite lieber lauter grüne Symbole. Wenn was rot blinkt, schlägt mein Herz auch nach 25 Jahren Admin immer einen Tick schneller ;-) cu jth -- www.teddylinx.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (5)
-
David Haller -
Heiner Kuhlmann -
Joerg Thuemmler -
Peter Geerds -
Schleusener, Jens