Bei clamav bestimmte Verzeichnisse ausschließen

[spaceship]

Hi,

immer wenn ich clamav als superuser nutzte, friert das Programm beim scannen von /sys/devices ein.
Ist ja klar, da ich auch als root in diesem Verzeichnis vielfach keine Leserechte habe.
Wie kann ich das Kommando so modifizieren, das das nicht mehr passiert? Mein Ziel ist eine möglichst vollständige
Überprüfung des Rechners auf Trojaner, Viren etc.

Mein Kommando sieht so aus

Code: Alles auswählen

# clamscan –bell –remove –log=/.../myClamLog.txt -r /

Ich nutzte Debian Lenny

[mistersixt]

Aus der man page:

Code: Alles auswählen

       --exclude=REGEX, --exclude-dir=REGEX
              Don’t scan file/directory  names  matching  regular  expression.
              These options can be used multiple times.

So kannst Du /proc, /sys etc. halt "exludieren".

Gruss, mistersixt.

[Fjunchclick]

Nur mal so nebenbei, was erwartest du denn auf einem Debian-System von einem Virenscanner? Was soll der finden? Auf einem Linux-System ist ein Virenscanner überflüssig, es sei denn, es ist ein Server, der Dienste für Windows-Rechner anbietet. Wenn du z.B. Mails an Windowsrechner weiterleitest oder so.

[spaceship]

@mistersixt:
Danke dir! Dazu aber noch ne Frage, da ich noch Debian-Anfänger bin: Gibt es noch
andere Verzeichnisse, die außgeschlossen werden sollten?

@fjunchclick:
Da hast du natürlich im wesentlichten recht, aber es gibt auch Linux-Viren - sind nur deutlich seltener anzutreffen.
Der Grund ist reine Vorsicht, da ich vor einiger Zeit auf einem Windoof Rechner üble Schwierigkeiten
mit Schad-Software hatte.

[wanne]

@fjunchclick:
Da hast du natürlich im wesentlichten recht, aber es gibt auch Linux-Viren - sind nur deutlich seltener anzutreffen.

Ja weil man die nur durch Eigenverschulden auf den Rechner kommen.
Und dagegen hilft eine vernünftige Nutzungsweise und kein Virenscanner.

Die Effizienz von Virenscannern hast du ja wohl schon selbst getestet:

Der Grund ist reine Vorsicht, da ich vor einiger Zeit auf einem Windoof Rechner üble Schwierigkeiten mit Schad-Software hatte.

Und ich nehme an trotz Virenscanner.

Nützlich ist die Scan-Funktion von ClamAV eigentlich nur wenn du mit Windowsrechnern zusammenarbeitest um diese zu schützen.
Wenn du trotzdem einen "Virenscanner" für Linux-Schädlinge haben willst ist chkrootkit eher die richtige Wahl für dich.

[Fjunchclick]

Da hast du natürlich im wesentlichten recht, aber es gibt auch Linux-Viren - sind nur deutlich seltener anzutreffen.

So weit ich weiß, gibt es keinen einzigen funktionierenden Linux-Virus in freier Wildbahn. Es gibt einige sogenannte "Proof of Concepts", also Studien, wie ein Virus unter Linux funktionieren könnte. Wirklich funktioniert hat aber noch keiner.

Ein Virenscanner auf einem Linux-Desktop-System kostet nur Ressourcen, weiter nichts.

[wanne]

Ich meine, dass es auf gnomelook.org mal einen als Wallpaper getarnten Schädling gab, den man dann runter laden und als root installieren konnte (war ein ungeniertes .deb Paket). Das Ding wurde glaube ich um die 20 mal runter geladen (d.h. nicht das die auch alle so dumm waren den zu installieren.) Finde leider nur keinen entsprechenden Artikel mehr.

[spaceship]

Okay, ich glaube euch ja. Aber vielleicht schaut ihr nochmal auf das Thema des Thread.

[mistersixt]

Wenn du trotzdem einen "Virenscanner" für Linux-Schädlinge haben willst ist chkrootkit eher die richtige Wahl für dich.

Bzw. rkhunter.

Gruss, mistersixt.

[rendegast]

Sicherer ist wohl, 1- bis 2-mal im Monat die avira-rescue-CD zu verwenden und aus einer VM heraus die Freigabe zu scannen:

Code: Alles auswählen

$ clamscan -V
ClamAV 0.96.1/11426/Sat Jul 24 05:00:20 2010

$ clamscan -r MALWARE_20100501/
(12 von 13)
$ clamscan -r MALWARE_20100603/
(15 von 26)

antivir-rescue 20100601
MALWARE_20100501 13/13
MALWARE_20100603 18/26

antivir-rescue 20100618
MALWARE_20100603 24/26

Clamscan hat versagt

[spaceship]

avira-rescue-CD

werd ich mir mal anschauen...

[spaceship]

Ich benutzte die Avira Rescue CD jetzt seit einigen Monaten. Dazu lade ich mir das *.iso Image am Tag der Prüfung runter, und lassen meinen Rechner dann nachts einmal komplett durchchecken. In den Linux-System Verzeichnissen wurde - wie zu erwarten war - bis jetzt noch nichts gefunden. Anders bei Dateien, die ich von Windows-Systemen kopiert habe. Hier hat das Programm schon mehrmals angeschlagen.

Die ganze Prozedur ist zwar etwas aufwändiger als ein fest installierter Virenscanner, dafür sind die aktuellen Virendefinitionen von Avira enthalten und man muss nur mit ein wenig Werbung leben, die natürlich auch Bestandteil der CD ist.