• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Erkennungsrate ClamAV ?!?

gehrke

gehrke

Administrator
Teammitglied
Moin *

Ich habe Zweifel an der Tauglichkeit von 'ClamAV'.
Code: 
# /usr/bin/clamscan -i /home/gehrke/malware/*
----------- SCAN SUMMARY -----------
Known viruses: 4282288
Engine version: 0.99
Scanned directories: 0
Scanned files: 2
Infected files: 0
Data scanned: 1.11 MB
Data read: 0.44 MB (ratio 2.52:1)
Time: 11.720 sec (0 m 11 s)
Allerdings bin ich mir ziemlich sicher, dass es sich hier um Schadcode handelt - wahrscheinlich sogar 'Locky'.
Virus-Total sagt dazu:
Code: 
Your file is being analysed.
SHA256: 	4c51a5c9252a42864883111390ab2d2b35413cb59299031f9306c5ef07efff0c
File name: 	malware.doc
Detection ratio: 	29 / 54
Etwas schade, dass ClamAV hier auch nach mehr als einer Woche immer noch keine saubere Erkennung liefert. Oder mache ich etwas falsch?
Hat jemand bessere Erfahrungen mit Scannern unter Linux gemacht?
TNX

cu, gehrke
 
A

Anonymous

Gast
Unter Ubuntu 14.04 LTS hatte ich ClamAV installiert; nie hat es etwas gefunden, oder überhaupt einen gelaufenen Scan angezeigt. Dann hatte ich es unter oS 1.2 installiert, beim scannen ist dann Os 13.2 "abgekackt" :(
Danach hatte ich BitDefender für Linux installiert, auch hier nur Probleme mit der Stabilität. Seither, und auch unter Leap, habe ich nichts mehr installiert, außer der "hauseigenen" Firewall.

Hatte auch unter Linux (13.2/Leap) noch nie einen Virus/Trojaner bemerkt.
 
OP
gehrke

gehrke

Administrator
Teammitglied
Im Moment geht es mir rein um die Erkennungsrate - weder hier noch bei Virus-Total findet dieser Scanner etwas, andere bei Virus-Total aber schon.

Offensichtlich ist das Ergebnis suboptimal und legt die Suche nach Alternativen nahe, die in meinem Kontext unter SLES 11.4 und 12.0 laufen müssten. Betroffen wäre eine zweistellige Anzahl an Servern bzw. VMs.
 
Heinz-Peter

Heinz-Peter

Guru
gehrke schrieb:
Im Moment geht es mir rein um die Erkennungsrate
Zum Vergrößern anklicken....
Hie ein etwas älteres Thread zu dem Thema aber immer noch aktuell. Den Beitrag von @/dev/null finde ich interessant => http://linux-club.de/forum/viewtopic.php?p=761170#p761170

Grüße Heinz-Peter
 
OP
gehrke

gehrke

Administrator
Teammitglied
Vielen Dank. Aber in dem Thread wird mehr darüber diskutiert, ob ein VirenScanner unter Linux überhaupt Sinn macht - weniger darüber, welcher Scanner die besten Erkennungsraten hat. Die erste Frage habe ich für meinen speziellen Anwendungsfall aber schon entschieden.

Um es klarer zu definieren: Ich will nicht die Linux-Systeme schützen, sondern die Windows-Kunden, die potentiell verseuchtes Material von den Linux-Webservern beziehen. Dort muss ich Malware erkennen, bevor sie ausgeliefert wird.
 
M

marce

Guru
Geht's dir mehr um Mails oder willst Du auch Filesystem-Checks machen, sprich irgendwelche Downloads, User-Uploads und ähnliches prüfen?
 
OP
gehrke

gehrke

Administrator
Teammitglied
Ich habe zwei recht genau definierte Einfallstore, wo eine Handvoll namentlich bekannter Autoren beliebigen Content wie Texte, Bilder, PDF etc in das System einspeisen, welche auf anderer Seite in Websites für die User/Kunden rausfallen. Die Befürchtung ist, dass darunter auch mal ein Locky-Exemplar ist und alle Welt dann mit dem Finger auf uns zeigt, weil wir die Kunden nicht geschützt hätten.

Die Autoren sind auf ihren Systemen zur Installation von aktueller Anti-Malware verdonnert worden, aber die sind extern und das kann ich nicht wirklich sicherstellen. Außerdem scheint das bei Locky ja auch nicht in jedem Fall zu funktionieren. Also brauche ich eine zweite Verteidigungslinie.

Der Upload der Mediafiles erfolgt per http-POST auf dedizierten Webservern (nicht die für den Kundenzugriff). Wahlweise könnte man sich dort mit etwas Gefrickel einklinken, um den Upload zu prüfen, oder auch ganz stumpf einen täglichen cron-Job verwenden. Letzteres würde zwar noch eine zeitliche Lücke lassen, aber die Gesamtsituation trotzdem schon mal enorm verbessern. Diese letzte Lösung ist derzeit mit ClamAV implementiert, nur leider findet der nix. :zensur:
 
M

marce

Guru
ok, damit fällt meine rein-Mail-Idee weg.

lt. z.B. http://www.com-magazin.de/news/virenscanner/besten-virenscanner-linux-1021816.html (keine Ahnung, ich hab' keinen und kenn de Untersuchung auch nicht, im großen und ganzen kommt aber AFAIK immer mehr oder weniger das gleiche raus) solltest Du ClamAV wohl in die Tonne kippen und ein anderes Pordukt einsetzen.

... was z.B. Locky und Konsorten angeht - die sind aktuell wohl so oder so noch ein Problem, selbst "die guten" auf Windows-basis haben das durchaus noch mehr als Lücken bei der Erkennung.
 
S

spoensche

Moderator
Teammitglied
Die Erkennungsrate von ClamAV hängt auch von dessen Konfiguration ab.

@Gehrke:

Bei deinem Worddokument musst du in der clamd.conf auch die Option ScanOLE auf yes setzen und OLE2BlockMacros auf true.
 
OP
gehrke

gehrke

Administrator
Teammitglied
spoensche schrieb:
Bei deinem Worddokument musst du in der clamd.conf auch die Option ScanOLE auf yes setzen und OLE2BlockMacros auf true.
Zum Vergrößern anklicken....
TNX

Beide Optionen waren tatsächlich nicht gesetzt. Ich vermute, es handelt sich um die SLES-DefaultConfig.
Leider brachte das Setzen dieser Optionen auch keine Erkennung.
 
OP
gehrke

gehrke

Administrator
Teammitglied
marce schrieb:
http://www.com-magazin.de/news/virenscanner/besten-virenscanner-linux-1021816.html
Zum Vergrößern anklicken....
Danke für den Link. Das sieht tatsächlich mau aus mit ClamAV (15%).

Habe mal einen ersten Test mit Kaspersky machen wollen, aber da funktioniert schon der Import des vom Hersteller in der 30-Tage-Lizenz zugesandten License-Key nicht:
File is not a key file
Zum Vergrößern anklicken....
Ausserdem vermisse ich da eine Kommandozeile. Auf den ersten Blick kann man das Ding nur via internem Webserver steuern.
 
H

halo44

Hacker
spoensche schrieb:
Sophos Antivirus Free. Dann hast du u.a. onaccess und kannst per CLI scannen.
Zum Vergrößern anklicken....

Dann hast Du auch
... Sophos Anti-Virus will update itself automatically from Sophos. By default, it will do this every 60 minutes ...
Zum Vergrößern anklicken....
ständigen Kontakt zu Sophos (und wem sonst noch?). Ich weiß nicht, ob ich stündlich (!) diesen Kontakt will.

Auch telefoniert Sophos nach hause :
... When you install Sophos Anti-Virus, the phone-home feature is turned on by default ...
Zum Vergrößern anklicken....
Kann man zwar in der Konfigurationsdatei abschalten, aber schert sich Sophos wirklich um diesen Eintrag?

Vielleicht bin ich auch zu mißtrauisch, aber mich würde schon Deine und der anderen Experten Meinung hierzu interessieren. Bitte nicht falsch verstehen, ich bin wirklich unsicher.

Ich nutze derzeit Bitdefender, welches laut dem zitierten Test nur eine geringfügig geringere Erkennungsrate hat. Hat allerdings auch kein onaccess.

Gruss H.
 
OP
gehrke

gehrke

Administrator
Teammitglied
halo44 schrieb:
Dann hast Du auch
... Sophos Anti-Virus will update itself automatically from Sophos. By default, it will do this every 60 minutes ...
Zum Vergrößern anklicken....
ständigen Kontakt zu Sophos (und wem sonst noch?). Ich weiß nicht, ob ich stündlich (!) diesen Kontakt will.
Zum Vergrößern anklicken....
Hhmm, ein wichtiger Punkt bei diesen Sachen ist wohl die Aktualität der Signaturen. Diese müssen wohl vom Hersteller gezogen werden und möglichst aktuell sein. Daher fürchte ich, dass man diese Kröte prinzipbedingt schlucken muss. Allerhöchstens kann man an der Frequenz drehen, aber dann wird das ganze irgendwann sinnfrei.

Möglicherweise kann man in größeren Umgebungen einen Mittler einschalten, welcher diese Signaturen als Proxy holt.
 
Jägerschlürfer

Jägerschlürfer

Moderator
Teammitglied
ja, das ist der Aktualität der Signaturen verschuldet, wobei ich selbst das sogar sinnvoll finde, dass möglichst oft versucht wird, die Signaturen zu aktualisieren. Macht natürlich auf Windows Systemen mehr Sinn als auf Linux Systemen, wobei man hier meiner Meinung nach auch wieder abschätzen muss, wofür man den Virenscanner benötigt.
Im Falle von gehrke würde ich das gut finden, denn je öfter die Signaturen upgedated werden, desto beruhigter kann er schlafen ;)
Sprich desto schneller werden Viren erkannt, sofern die Erkennungsrate passt.
 
solarseed

solarseed

Newbie
Es gibt außer ClamAV keine freie Alternative.

Du wirst warten müssen bis Locky zur gänze in der kaum gepflegten ClamAV Virus Datenbank ist.
 
S

spoensche

Moderator
Teammitglied
solarseed schrieb:
Es gibt außer ClamAV keine freie Alternative.

Du wirst warten müssen bis Locky zur gänze in der kaum gepflegten ClamAV Virus Datenbank ist.
Zum Vergrößern anklicken....

Wie kommts dann, dass min. einmal täglich neue Datenbankatualisierungen gibt? Oder wird die mittlerweile von Mainzelmänchen oder Geistern aktualisiert?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben