[GELÖST]Linux Malware Detect und clamav

[hume]

Guten Tag,

bin auf dieses Forum bezüglich Google gestoßen und hoffe dass Ihr mir bei meinen Problemen weiterhelfen könnt.
Wir haben einen Virtual Server auf denen laufen Websites, Owncloud und E-Mails. Zur Verwaltung wird Plesk Onyx genutzt.
Möchte Linux Malware Detect und clamav automatisiert laufen lassen und habe diesbezüglich maldet schon unter /usr/local/maldetect einigermaßen kofiguriert.
Einigermaßen deswegen weil ich leider nicht weiß welche Pfade am besten gescannt werden sollten oder sollte ich gleich -a / alles Scannen lassen?
Habt Ihr diesbezüglich einen Vorschlag für mich oder kann man dies irgendwie selbst herausfinden?

Weiterhin ist auch clamav installiert muss dies noch Extra konfiguriert werden oder reicht die Config. von Maldet aus?

Würde mich auf eure Antwort freuen.

Mit freundlichen Grüßen

hume

[sbruder]

Also Du musst nur die Verzeichnisse Scannen, in denen Windows-Benutzer Dateien ablegen, denn ClamAV hilft meines Wissens nach nur gegen Windows-Viren. Also musst Du das OwnCloud-Verzeichnis zum Beispiel scannen.

[hume]

Also Du musst nur die Verzeichnisse Scannen, in denen Windows-Benutzer Dateien ablegen, denn ClamAV hilft meines Wissens nach nur gegen Windows-Viren. Also musst Du das OwnCloud-Verzeichnis zum Beispiel scannen.

Vielen Dank für die Info und wie sieht es diesbezüglich mit Linux Malware Detected aus?

Mit freundlichen Grüßen

hume

[rendegast]

clamav ist ein denkbar schlechter Virenscanner.
Vergleiche die zeitliche Entwicklung einer Malware auf virustotal.com.

Evtl. mit weiteren / kommerziellen(?) Signatur-Repo.
clamav-unofficial-sigs 3.7.2 ist hoffnungslos obsolet, höchstens als Ideengeber.

[sbruder]

Vielen Dank für die Info und wie sieht es diesbezüglich mit Linux Malware Detected aus?

Wenn ich das richtig gelesen habe, ist das Ding auf Linux-Malware ausgelegt (ich habe das README nur überflogen). Den kannst Du dann auf /etc /usr /bin und /sbin und /var/www ansetzen. Ich benutze sowas nicht, weil wenn die Malware erst drauf ist, habe ich das Ding besser und schneller neu aufgesetzt als versucht, das Geschwür, das die Malware hinterlassen hat zu entfernen. Deswegen empfehle ich dir, lieber fail2ban, Logwatch, Pflogsumm etc. einzusetzen, damit kann man im Vorraus einen Angriff erkennen.

[hume]

clamav ist ein denkbar schlechter Virenscanner.
Vergleiche die zeitliche Entwicklung einer Malware auf virustotal.com.

Wie meinst du dass? Da es nicht mehr in der Liste auffindbar ist?

Vielen Dank für die Info und wie sieht es diesbezüglich mit Linux Malware Detected aus?

Wenn ich das richtig gelesen habe, ist das Ding auf Linux-Malware ausgelegt (ich habe das README nur überflogen). Den kannst Du dann auf /etc /usr /bin und /sbin und /var/www ansetzen. Ich benutze sowas nicht, weil wenn die Malware erst drauf ist, habe ich das Ding besser und schneller neu aufgesetzt als versucht, das Geschwür, das die Malware hinterlassen hat zu entfernen. Deswegen empfehle ich dir, lieber fail2ban, Logwatch, Pflogsumm etc. einzusetzen, damit kann man im Vorraus einen Angriff erkennen.

Ok, Fail2Ban ist bereits aktiviert. Logwatch und Pflogsumm werde ich mir noch anschauen. Wir haben bei Fail2Ban wirklich viele Angriffe zurzeit waren maximal 107 gesperrte IPs.
Habe die sperre auf 1 Stunde erhöht oder sollte ich die Sperre weiter erhöhen auf 1 Tag?

PS: Sorry für die späten Antworten

[breakthewall]

Ich würde Dir raten unter GNU/Linux nicht mit Windows-Verfahrensweisen anzufangen. Hier gibt es weit bessere Schutzoptionen, anstatt unsinnig nach Schädlichem zu scannen. Nebenbei erwähnt ist das generell eine schlechte Praxis, weil man so erst gar nichts dagegen unternimmt, dass es überhaupt etwas so weit schaffen kann. Hinterher braucht man dann nicht mehr scannen weil das System nicht länger vertrauenswürdig ist.

Wenn den Server schützen willst, wurden ja bereits Beispiele dafür genannt.

Darüber hinaus gäbe es noch:

* Sandboxing: Mit firejail und virt-sandbox können Programme aller Art isoliert werden, als auch via systemd (man systemd.exec)
* Volume-Separation: Sorgt in Verbindung mit nützlichen Mountpoints wie, ro, nodev, noexec und nosuid, für einen soliden Basisschutz für sensible Systembereiche
* Systemrechte: Es gehört ebenfalls dazu diese strikt zu definieren und eine globale umask (/etc/login.defs) für neu erstellte Dateien zu setzen, um z.B. sofort das x-Bit zu entziehen
* Erweiterte Maßnahmen: Optionen wie SELinux oder AppArmor sind ebenfalls wirksam, oder ein mit GrSecurity gepatchter Linux-Kernel wäre noch weitaus besser zur Verteidigung gegen nicht Autorisiertes

Wenn man echte Sicherheit herstellen will, muss man präventive Maßnahmen etablieren, die mögliche Probleme schon im Keim ersticken. Diese ganzen erkennungs-basierenden Lösungen tun nur eines, nämlich der Bequemlichkeit entgegenzukommen, während echte Sicherheit immer unbequeme Arbeit bedeutet.

[rendegast]

clamav ist ein denkbar schlechter Virenscanner.
Vergleiche die zeitliche Entwicklung einer Malware auf virustotal.com.

Wie meinst du dass? Da es nicht mehr in der Liste auffindbar ist?

Einfach eine neu erhaltene malware (zBsp. aus einer spam-Mail) auf virustotal hochladen und in den nächsten Tagen/Wochen beobachten,
wie die Anzahl der erkennenden Scannersysteme ansteigt.
clamav ist häufig wochen- oder monatelang nicht dabei.
Auch, wenn Du die malware bei
https://www.clamav.net/reports/malware
hochlädst.

Die "Konkurrenz", MS Malware-Report:
https://www.microsoft.com/security/port ... ubmit.aspx



------------------------------------------------------------------------------
Beispiel, heute eine malware.scr bekommen,
ein vorliegender Scan vom 25.05., 14 von 60:

CrowdStrike Falcon (ML) malicious_confidence_100% (D) 20170420
Cyren W32/Trojan.SW.gen!Eldorado 20170525
DrWeb Trojan.PWS.Stealer.1932 20170525
Endgame malicious (moderate confidence) 20170515
ESET-NOD32 a variant of MSIL/Kryptik.JGF 20170525
F-Prot W32/Trojan.SW.gen!Eldorado 20170525
Invincea trojan.win32.skeeyah.a!rfn 20170519
Kaspersky UDS:DangerousObject.Multi.Generic 20170525
McAfee-GW-Edition BehavesLike.Win32.Trojan.gh 20170525
Panda Trj/GdSda.A 20170524
Qihoo-360 HEUR/QVM03.0.60B5.Malware.Gen 20170525
SentinelOne (Static ML) static engine - malicious 20170516
Symantec ML.Attribute.HighConfidence 20170525
ZoneAlarm by Check Point UDS:DangerousObject.Multi.Generic 20170525

heutiger Scan 30.05., 42 von 60 erkennen den Trojaner, nicht dabei sind:

Antiy-AVL 20170530
ClamAV 20170530
CMC 20170530
Comodo 20170530
Jiangmin 20170530
Kingsoft 20170530
NANO-Antivirus 20170530
nProtect 20170530
Panda 20170529
Qihoo-360 20170530
SUPERAntiSpyware 20170530
TheHacker 20170528
TrendMicro 20170530
TrendMicro-HouseCall 20170525
VBA32 20170530
ViRobot 20170530
Zillya 20170530
Zoner 20170530

EDIT----------------------------------------------
Heute erkennen 46/61 die malware,
wiederum nicht dabei unter anderen

...
ClamAV 20170602
...

So tröpfchenweise wird sich das meiner Erfahrung nach fortsetzen.
Meist dabei unter den letzten - clamav.

Die per clamav-unofficial-sigs eingebundenen Zusatzrepo verbessern die Lage nicht großartig.
Einige der Sig-Repo scheinen tot / nicht abrufbar (das Paket 3.7.2 ist aus 201401),
und das Ding ist nicht einfach zu konfigurieren.
Arbeitsskript:

Code: Alles auswählen

ss_url="rsync.sanesecurity.net"
si_url="clamav.securiteinfo.com"
mbl_url="www.malwarepatrol.net"

Conf:

Code: Alles auswählen

...
ss_dbs="
   blurl.ndb
   junk.ndb
   jurlbl.ndb
   phish.ndb
   rogue.hdb
   sanesecurity.ftm
   scam.ndb
   sigwhitelist.ign2
   spamattach.hdb
   spamimg.hdb
   winnow.attachments.hdb
   winnow_bad_cw.hdb
   winnow_extended_malware.hdb
   winnow_malware.hdb
   winnow_malware_links.ndb
   doppelstern.hdb
   bofhland_cracked_URL.ndb
   bofhland_malware_attach.hdb
   bofhland_malware_URL.ndb
   bofhland_phishing_URL.ndb
   crdfam.clamav.hdb
   phishtank.ndb
   porcupine.ndb
"
...
si_dbs="
   honeynet.hdb
   securiteinfo.hdb
   securiteinfobat.hdb
   securiteinfodos.hdb
   securiteinfoelf.hdb
   securiteinfohtml.hdb
   securiteinfooffice.hdb
   securiteinfopdf.hdb
   securiteinfosh.hdb
"
...
mbl_dbs="
   mbl.ndb
"
...

Die produktspezifischen Variablen bereiten mir Unbehagen.
Zugegeben, bei der benutzten Verarbeitung (Einlesen aller *.conf) kann zBsp. ss_dbs auch separat überschrieben werden.
Aber imo sollte zumindest das Skript sowas nicht enthalten.