Am Montag, 8. September 2003 19:52 schrieb Michael Messner:
Da kann ich das Script von Al empfehlen, das kombiniert zumindest 2 Scanner und lässt sich auch mit noch weiteren Viren-scannern erweitern!
http://marc.theaimsgroup.com/?l=suse-linux&m=106251366611748&w=2
Hallo Michael, als Vorbemerkung zu meinem Script, für die den vorigen Thread nicht verfolgt haben: Das Script dient eigentlich nur dazu, die wesentlichen Dinge des Logs anzuzeigen. Man sieht zwar bei den Standardlogs, dass Viren gefunden wurden, aber dann geht die Sucherei los, da es in der Regel sehr viele Meldung bzgl. Extractionerrors gibt. Damit nicht nochmal von mehreren gefragt wird, natürlich kann jeder dieses Script verwenden und anpassen. ich erwähne mal die von dir vorgeschlagenen Anpassungen per PM: SCANDIR=$1 Das ist natürlich eine Überlegung. Ich habe mir für die diverse Anwendungsfälle verschiedene Scripts gemacht und brauche das nicht. mount /dev/fd0 2> /dev/null ... Das erspart Fehlermeldungen, die aber auf die Analyse keinen Einfluß haben. Ebenso könnte man bei mkdir noch verfeinern. Dann könnte man noch, wie du vorgeschlagen hast, eine Abfrage einbauen, ob die Scanner uptodate sind. Bei mir läuft das Update per täglichem cronjob und das Restrisiko nicht ganz aktuell zu sein, gehe ich vorerst ein. Im Augenblick beschäftige ich mich aber vorwiegend zum Thema Viren unter welchen Umständen es zu einer Scheinsicherheit kommt, wie bereits bemerkt. Ich habe mir dazu ein paar Viren in ein Verzeichnis gegeben und 1 bis mehrmals komprimiert. Die Problematik mit f-prot habe ich ja bereits erwähnt, aber auch diese Datei auf einer Floppy mit PC-Cillin 2002 in einem WinPC getestet, wurde in der _Standardkonfiguration_ als virenfrei betrachtet. Man könnte nun darüber diskutieren, wie realistisch mehrfach gepackte Viren sind. Ich finde aber eher, dass man sich auf ein Prüfprogramm verlassen soll können, auch wenn keine direkte Gefahr ausgeht. Ein DAU wird nach solch einer Prüfung, die Datei vermutlich sorglos entpacken. Insofern frage ich mich auch, warum man bei amavis einen Default-Wert von 3 Ebenen hat. Wenn das Archiv nicht mehrfach gepackt ist, kostet auch ein höherer Wert nicht mehr Zeit und wenn es gepackt ist, dann will ich es wissen, ob da ein Virus versteckt ist. Insofern werde ich wohl von 5 noch auf 99 oder so erhöhen. Hat keiner eine Ahnung, warum die f-prot-Prüfung auf der HD fehlschlägt? Ich habe den starken Verdacht, dass dies mit der Anzahl der Komprimierungen zusammenhängt. -archive Scan inside supported archives. Supported archives are .zip, .cab, .tar, .gz, or removal of infected files within archives. Unix mailboxes are considered to be archives and therefore F-Prot Antivirus is not able to remove infected attachments. Hier wird rar nicht angeführt. Beim Mail-Scannen wurde aber das Rar-Archiv entpackt, sonst hätte die Fehlermeldung nicht kommen können. Im amavis-Script findet man: my $unrar = "/usr/bin/unrar" Entpackt etwa das amavis-Script beim Mailprüfen für f-prot die Dateien und beim HD-Prüfen muß es f-prot selber machen und kann es wegen der in der Manpage genannten Archive nicht?
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
Hier mal das Ergebnis von meinem Script, wobei man sieht dass die Option "archive" verwendet wurde: Kurz-Zusammenfassung für client3:/home/ab/Documents am Mon 8. Sep 2003 20:58 Alarme: 8 ________________________________________________________________________________ gefunden von ANTIVIR: ALERT: [Worm/Cult.B virus] /home/ab/Documents/order --> unkwn.tar --> testviren.rar --> testviren.zip --> testviren.tgz --> unkwn.tar --> viren/Worm_Cult.B-BlueMountaineCard.pif.virus.XXX <<< Contains signature of the worm Worm/Cult.B ALERT: [Worm/Gibe.B.3 virus] /home/ab/Documents/order --> unkwn.tar --> testviren.rar --> testviren.zip --> testviren.tgz --> unkwn.tar --> viren/Worm_Gibe.B.3-Q264244.exe.virus.XXX <<< Contains signature of the worm Worm/Gibe.B.3 ALERT: [Worm/Klez.E virus] /home/ab/Documents/order --> unkwn.tar --> testviren.rar --> testviren.zip --> testviren.tgz --> unkwn.tar --> viren/Worm_Klez_E_install.exe.virus.XXX <<< Contains signature of the worm Worm/Klez.E ALERT: [TR/InorDL.1 virus] /home/ab/Documents/order --> unkwn.tar --> testviren.rar --> testviren.zip --> testviren.tgz --> unkwn.tar --> viren/TR_InorDL.1-error.hta.virus.XXX <<< The Trojan horse TR/InorDL.1 ALERT: [Worm/Bugbear.B virus] /home/ab/Documents/order --> unkwn.tar --> testviren.rar --> testviren.zip --> testviren.tgz --> unkwn.tar --> viren/Worm_Bugbear.B-heim.zip.exe.virus.XXX <<< Contains signature of the worm Worm/Bugbear.B ALERT: [Worm/SpyBot.P2P.G virus] /home/ab/Documents/order --> unkwn.tar --> testviren.rar --> testviren.zip --> testviren.tgz --> unkwn.tar --> viren/Worm_SpyBot.P2P.G_virus_Neighbor_Tanning_Nude.scr.virus.XXX <<< Contains signature of the worm Worm/SpyBot.P2P.G ALERT: [Worm/Sobig.F virus] /home/ab/Documents/order --> unkwn.tar --> testviren.rar --> testviren.zip --> testviren.tgz --> unkwn.tar --> viren/Worm_Sobig.F-details.pif.virus.XXX <<< Contains signature of the worm Worm/Sobig.F ALERT: [Worm/Cult.B virus] /home/ab/Documents/order --> unkwn.tar --> testviren.rar --> testviren.zip --> testviren.tgz --> unkwn.tar <<< Contains signature of the worm Worm/Cult.B gefunden von F-PROT: Virenverdacht von F-PROT (could be): ________________________________________________________________________________ ANTIVIR Prüfung Zusammenfassung für client3:/home/ab/Documents Scanoptionen: -s -v -z -allfiles -e -ren -dmdel -dmds -r1 -rf/home/ab/virenpruefungen/letztes_antivir_log_fuer_documents_ab.txt -ra -lang=DE Verzeichnisse: 4 Dateien: 18 Alarme: 8 Repariert: 0 Gelöscht: 0 Umbenannt: 1 Benötigte Zeit: 00:00:01 -------------------------- F-PROT Prüfung Zusammenfassung für client3:/home/ab/Documents Scanoptionen: -ai -archive -collect -dumb -packed -report=/home/ab/virenpruefungen/letztes_fprot_log_fuer_documents_ab.txt Results of virus scanning: Files: 6 MBRs: 0 Boot sectors: 0 Objects scanned: 6 Time: 0:00 No viruses or suspicious files/boot sectors were found.
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
Versende ich diese Datei, aber per Mail, wobei amavis auf "my $MAX_ARCHIVE_NESTING = 5" angepasst wurde, dann gibt es folgende Meldung: Virus scanning report - 8 September 2003 @ 21:08 F-PROT ANTIVIRUS Program version: 4.2.0 Engine version: 3.13.4 VIRUS SIGNATURE FILES SIGN.DEF created 1 September 2003 SIGN2.DEF created 2 September 2003 MACRO.DEF created 8 September 2003 Search: /var/spool/vscan/amavis/amavis-11309898/parts Action: Report only Files: "Dumb" scan of all files Switches: -ARCHIVE -PACKED -COLLECT -AI /var/spool/vscan/amavis/amavis-11309898/parts/part-00006 Infection: W32/Cult.B@mm /var/spool/vscan/amavis/amavis-11309898/parts/part-00007 Infection: W32/Gibe.B@mm /var/spool/vscan/amavis/amavis-11309898/parts/part-00008 Infection: W32/Klez.H@mm /var/spool/vscan/amavis/amavis-11309898/parts/part-00009 Infection: VBS/Inor.B (exact) /var/spool/vscan/amavis/amavis-11309898/parts/part-00010 Infection: W32/Bugbear.B@mm /var/spool/vscan/amavis/amavis-11309898/parts/part-00011 Infection: W32/Spybot.BG (exact) /var/spool/vscan/amavis/amavis-11309898/parts/part-00012 Infection: W32/Sobig.F@mm (exact) Results of virus scanning: Files: 8 MBRs: 0 Boot sectors: 0 Objects scanned: 8 Infected: 7 Suspicious: 0 Disinfected: 0 Deleted: 0 Renamed: 0 Time: 0:00 Al