[opensuse-es] clamav detecta pero no elimina virus
Estimados, tengo un pequeño problema, tengo samba configurado como file server, recientemente le instale clamav para evitar los virus, pero al parecer estos ya estan en los archivos del servidor, para eliminar hago lo siguiente: clamscan -r /home/datos/carpeta y me muestra el siguiente resultado: ----------- SCAN SUMMARY ----------- Known viruses: 80580 Engine version: 0.88.6 Scanned directories: 157 Scanned files: 3678 Infected files: 2 Data scanned: 391.87 MB Time: 99.101 sec (1 m 39 s) lo extraño es que cada vez que hago lo mismo me muestra el mismo resultado, lo que me hace suponer que no los elimina, o que no configure correctamente el clamav, podrian decirme que debo revisar y que se supone que debe estar para que funcione el clamav..? Saludos y Gracias desde ya JCarlos --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
2006/12/12, Juan Carlos Bravo Celis:
lo extraño es que cada vez que hago lo mismo me muestra el mismo resultado, lo que me hace suponer que no los elimina, o que no configure correctamente el clamav, podrian decirme que debo revisar y que se supone que debe estar para que funcione el clamav..?
Hum. ¿No le has dicho que los archivos infectados los deje en cuarentena? Echa un vistado a este documento en el punto 6 donde habla de ClamAV: Howto setup SUSE as SAMBA PDC with OpenLDAP, DYNDNS and CLAM http://en.opensuse.org/Howto_setup_SUSE_as_SAMBA_PDC_with_OpenLDAP,_DYNDNS_a... Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 12/12/06, Camaleón
2006/12/12, Juan Carlos Bravo Celis:
lo extraño es que cada vez que hago lo mismo me muestra el mismo resultado, lo que me hace suponer que no los elimina, o que no configure correctamente el clamav, podrian decirme que debo revisar y que se supone que debe estar para que funcione el clamav..?
Hum. ¿No le has dicho que los archivos infectados los deje en cuarentena? Echa un vistado a este documento en el punto 6 donde habla de ClamAV:
Howto setup SUSE as SAMBA PDC with OpenLDAP, DYNDNS and CLAM http://en.opensuse.org/Howto_setup_SUSE_as_SAMBA_PDC_with_OpenLDAP,_DYNDNS_a...
he seguido el documento en los pasos que hablan de clamav, y ahora lo que tengo es que los usuarios pueden acceder a los archivos, los pueden ver listados, pero no los pueden abrir, y el mensaje que les sale es de permiso denegado. en /etc/samba/smb.conf tengo lo siguiente [global] workgroup = INFORMATICA netbios name = nimrodel comment = Servidor Archivos Serpost security = domain password server = AD idmap gid = 15000-20000 idmap uid = 15000-20000 winbind use default domain = yes template shell = /bin/bash vfs object = vscan-clamav vscan-clamav: config-file = /etc/samba/vscan-clamav.conf [contavaldez] writeable = yes path = /home/data/contavaldez write list = @gpocontavaldez,@"Domain Admins" force group = gpocontavaldez force create mode = 0770 comment = Archivos Valdez valid users = @gpocontavaldez,@"Domain Admins" create mode = 0770 directory mode = 0770 en los logs de smb me muestra lo siguiente: [2006/12/13 10:06:17, 1] smbd/service.c:make_connection_snum(700) ftp (192.168.4.5) connect to service contavaldez initially as user INFORMATICA\administrator (uid=15023, gid=15046) (pid 30607) alguna idea al respecto..? necesito tener algun modulo en el kernel o algo..? Saludos JCarlos --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
2006/12/13, Juan Carlos Bravo Celis:
he seguido el documento en los pasos que hablan de clamav, y ahora lo que tengo es que los usuarios pueden acceder a los archivos, los pueden ver listados, pero no los pueden abrir, y el mensaje que les sale es de permiso denegado.
Lo cual me parece lo más normal, si el directorio es el cuarentena. Si los usuarios pudieran abrir los archivos infectados de nada serviría la cuarentena, ni el antivirus ¿no? :-) Seguramente se deba a un problema de permisos, entiendo que el directorio de cuarentena pertenece al usuario vscan (o el que se haya definido) y el resto sólo tiene acceso de lectura.
[2006/12/13 10:06:17, 1] smbd/service.c:make_connection_snum(700) ftp (192.168.4.5) connect to service contavaldez initially as user INFORMATICA\administrator (uid=15023, gid=15046) (pid 30607)
Este mensaje no parece de error, sino más bien informativo de una conexión. Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 13/12/06, Camaleón
2006/12/13, Juan Carlos Bravo Celis:
he seguido el documento en los pasos que hablan de clamav, y ahora lo que tengo es que los usuarios pueden acceder a los archivos, los pueden ver listados, pero no los pueden abrir, y el mensaje que les sale es de permiso denegado.
Lo cual me parece lo más normal, si el directorio es el cuarentena. Si los usuarios pudieran abrir los archivos infectados de nada serviría la cuarentena, ni el antivirus ¿no? :-)
Seguramente se deba a un problema de permisos, entiendo que el directorio de cuarentena pertenece al usuario vscan (o el que se haya definido) y el resto sólo tiene acceso de lectura.
lo extraño es que antes de poner las dos ultimas lineas que referencian al clamav, todos los usuarios podian trabajar con los archivos sin problemas, los cambios que agregue en [global] ... ... vfs object = vscan-clamav vscan-clamav: config-file = /etc/samba/vscan-clamav.conf y en vscan-clamav.conf tengo [samba-vscan] max file size = 0 verbose file logging = yes scan on open = yes scan on close = yes deny access on error = yes deny access on minor error = yes send warning message = yes infected file action = quarantine quarantine directory = /var/lib/clamav/quarantine quarantine prefix = vir- max lru files entries = 100 lru file entry lifetime = 5 exclude file types = clamd socket name = /var/run/clamd/clamd libclamav max files in archive = 1000 libclamav max archived file size = 10 * 1048576 libclamav max recursion level = 5 y visto esto, el directorio de cuarentena, es el /var/lib/clamav/quarantine entiendo que con esta configuracion lo que deberia hacer el clamav es mover todos los archivos infectados, a la carpeta quarantine o me equivoco..? Saludos JCarlos --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
2006/12/13, Juan Carlos Bravo Celis:
lo extraño es que antes de poner las dos ultimas lineas que referencian al clamav, todos los usuarios podian trabajar con los archivos sin problemas, los cambios que agregue en
Pero ¿el problema lo tienes en todos los directorios compartidos o sólo en el configurado como cuarentena?
[global] ... ... vfs object = vscan-clamav vscan-clamav: config-file = /etc/samba/vscan-clamav.conf
No veo ninguna referencia a la sección [global] en el documento que te envié ¿lo has añadido por algo en especial?
[samba-vscan] max file size = 0 verbose file logging = yes scan on open = yes scan on close = yes deny access on error = yes deny access on minor error = yes send warning message = yes infected file action = quarantine quarantine directory = /var/lib/clamav/quarantine quarantine prefix = vir- max lru files entries = 100 lru file entry lifetime = 5 exclude file types = clamd socket name = /var/run/clamd/clamd libclamav max files in archive = 1000 libclamav max archived file size = 10 * 1048576 libclamav max recursion level = 5
Esto sí lo pone en el documento.
y visto esto, el directorio de cuarentena, es el /var/lib/clamav/quarantine
entiendo que con esta configuracion lo que deberia hacer el clamav es mover todos los archivos infectados, a la carpeta quarantine o me equivoco..?
Yo también entiendo que así es como debe funcionar. Revisa los valores que has añadido en la sección [global] no vaya a ser que no deban estar ahí. Para verificar el funcionamiento, descarga el fichero infectado del text Eicar* y déjalo en un directorio de samba a ver si lo mueve a la cuarentena. Revis alos registros de Samba y de ClamAV para ver cómo han actuado. * http://www.eicar.org/anti_virus_test_file.htm Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 13/12/06, Camaleón
2006/12/13, Juan Carlos Bravo Celis:
lo extraño es que antes de poner las dos ultimas lineas que referencian al clamav, todos los usuarios podian trabajar con los archivos sin problemas, los cambios que agregue en
Pero ¿el problema lo tienes en todos los directorios compartidos o sólo en el configurado como cuarentena?
el problema es con todos los directorios compartidos, el mensaje es permiso denegado, y algunos casos dice que el archivo ha sido abierto por otro usuario pero con un smbstatus no veo a nadie mirando archivos.
[global] ... ... vfs object = vscan-clamav vscan-clamav: config-file = /etc/samba/vscan-clamav.conf
No veo ninguna referencia a la sección [global] en el documento que te envié ¿lo has añadido por algo en especial?
esto lo puse porque mirando al principio del documento hace referencia a esos puntos y segun lei, esto le indica a samba que tiene que usar un modulo cuyo archivo de configuracion esta en /etc/samba/vscan-clamav.conf
[samba-vscan] max file size = 0 verbose file logging = yes scan on open = yes scan on close = yes deny access on error = yes deny access on minor error = yes send warning message = yes infected file action = quarantine quarantine directory = /var/lib/clamav/quarantine quarantine prefix = vir- max lru files entries = 100 lru file entry lifetime = 5 exclude file types = clamd socket name = /var/run/clamd/clamd libclamav max files in archive = 1000 libclamav max archived file size = 10 * 1048576 libclamav max recursion level = 5
Esto sí lo pone en el documento.
y visto esto, el directorio de cuarentena, es el /var/lib/clamav/quarantine
entiendo que con esta configuracion lo que deberia hacer el clamav es mover todos los archivos infectados, a la carpeta quarantine o me equivoco..?
Yo también entiendo que así es como debe funcionar.
Revisa los valores que has añadido en la sección [global] no vaya a ser que no deban estar ahí.
lo que tengo duda es si samba realmente esta leyendo el archivo de configuracion de samba-vscan vscan-clamav: config-file = /etc/samba/vscan-clamav.conf pues me imagino que el proceso es el siguiente, 1. el usuario copia un archivo en su carpeta 2. antes de copiar en la carpeta, samba toma el archivo y mira el modulo vscan-clamav en donde encuentra que debe pasarlo en el socket de clamd 3. clamd toma el archivo, desde su socket, lo revisa y si encuentra algo, lo debe poner en quarentine, y sino, lo debe dejar pasar y hacer que samba o quien este a cargo, lo grave en la carpeta donde estaba destinado. 4. exito y aplausos para samba y clamav pero al parecere esto no esta ocurriendo...
Para verificar el funcionamiento, descarga el fichero infectado del text Eicar* y déjalo en un directorio de samba a ver si lo mueve a la cuarentena.
Revis alos registros de Samba y de ClamAV para ver cómo han actuado.
pues en los registro de clamav no dice nada, solo encuentro esto +++ Started at Wed Dec 13 10:36:42 2006 clamd daemon 0.88.6 (OS: linux-gnu, ARCH: x86_64, CPU: x86_64) Log file size limited to 1048576 bytes. Verbose logging activated. Running as user vscan (UID 65, GID 107) Reading databases from /var/lib/clamav Protecting against 80788 viruses. Unix socket file /var/run/clamd/clamd Setting connection queue length to 15 Listening daemon: PID: 32092 Archive: Archived file size limit set to 10485760 bytes. Archive: Recursion level limit set to 8. Archive: Files limit set to 1000. Archive: Compression ratio limit set to 250. Archive support enabled. Archive: RAR support enabled. Portable Executable support enabled. Mail files support enabled. OLE2 support enabled. HTML support enabled. Self checking every 1800 seconds. No stats for Database check - forcing reload Reading databases from /var/lib/clamav Database correctly reloaded (80788 viruses) pero no hay rastros de su actividad.. Vaya dolorcito de cabeza que causan los virus ; ) Saludos JCarlos --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-12-13 a las 20:24 -0500, Juan Carlos Bravo Celis escribió: ...
Vaya dolorcito de cabeza que causan los virus ; )
A mi ninguno... :-P Ni siquiera tengo activo ningún antivirus. Será porque ya no uso windows ;-) - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFgK4FtTMYHG2NR9URAs8CAJ99gcYm5elrAETYAlMW65wvkETYwQCgl1kP caE67Na/o0Mva5Zdr01WwI8= =is8V -----END PGP SIGNATURE-----
2006/12/14, Juan Carlos Bravo Celis:
el problema es con todos los directorios compartidos, el mensaje es permiso denegado, y algunos casos dice que el archivo ha sido abierto por otro usuario pero con un smbstatus no veo a nadie mirando archivos.
Pues eso quiere decir que sí está leyendo la configuración de "vscan-clamav.conf", ya que al ponerlo en la sección [global] le está afectando a todos los directorios compartidos. Para hacer pruebas mejor utiliza un directorio específico donde se analicen los ficheros con virus y cuando veas que funcione como quieres, vuelve a añadir esas dos líneas a la sección [global]. Revisa el registro "messages" también y los de samba, me extraña que no haya información sobre el tema. Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
participants (3)
-
Camaleón
-
Carlos E. R.
-
Juan Carlos Bravo Celis