CXS Exploit Scan und Clamav / Clam-Daemon

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
ssvufs
Beiträge: 14
Registriert: 10.11.2014 08:57:25

CXS Exploit Scan und Clamav / Clam-Daemon

Beitrag von ssvufs » 09.12.2014 17:09:24

Hallo Zusammen

Ich weiss nicht ob ich hier richtig bin, falls nicht entschuldigt bitte. :)
Schon seit einer Woche schlage ich mich mit dem Versuch das Problem zu lösen herum und bin bisher auf keine Lösung gekommen.

Ich nutze das CXS Exploit Scanscript von config-server.com auf einem Debian 7 Wheety System.
Funktioniert auch ganz gut. Möchte ich allerdings nun auch nach Viren suchen so scant er zwar alles brav ab, aber dann erhalte ich jeweils mehrere folgende Fehlermeldungen (Nur ein kleiner Auszug, es betrifft alle Files wie Bilder, PHP-Dateien, html etc.):
----------- SCAN REPORT -----------
TimeStamp: Tue Dec 9 16:59:47 2014
(/usr/sbin/cxs --nobayes --clamdsock /var/run/clamav/clamd.ctl --deep --defapache nobody --doptions Mv --exploitscan --nofallback --filemax 10000 --force --mail r905_server@ssv-ufs.ch --options hDfmML --qoptions Mv --sizemax 500000 --summary --sversionscan --timemax 30 --virusscan /var/www/vhosts/)
# Clamd Error for [SCAN /var/www/vhosts/kastaniengarten-trimbach.ch/httpdocs/administration/photos.php]: /var/www/vhosts/kastaniengarten-trimbach.ch/httpdocs/administration/photos.php: lstat() failed: Permission denied. ERROR
# Clamd Error for [SCAN /var/www/vhosts/kastaniengarten-trimbach.ch/httpdocs/administration/phpinfo.php]: /var/www/vhosts/kastaniengarten-trimbach.ch/httpdocs/administration/phpinfo.php: lstat() failed: Permission denied. ERROR
# Clamd Error for [SCAN /var/www/vhosts/kastaniengarten-trimbach.ch/httpdocs/administration/polls.php]: /var/www/vhosts/kastaniengarten-trimbach.ch/httpdocs/administration/polls.php: lstat() failed: Permission denied. ERROR
# Clamd Error for [SCAN /var/www/vhosts/dkfotografie.ch/httpdocs/images/accordion-closed3.png]: /var/www/vhosts/dkfotografie.ch/httpdocs/images/accordion-closed3.png: lstat() failed: Permission denied. ERROR
# Clamd Error for [SCAN /var/www/vhosts/dkfotografie.ch/httpdocs/images/accordion-open.png]: /var/www/vhosts/dkfotografie.ch/httpdocs/images/accordion-open.png: lstat() failed: Permission denied. ERROR
# Clamd Error for [SCAN /var/www/vhosts/dkfotografie.ch/httpdocs/images/accordion-open2.png]: /var/www/vhosts/dkfotografie.ch/httpdocs/images/accordion-open2.png: lstat() failed: Permission denied. ERROR
# Clamd Error for [SCAN /var/www/vhosts/dkfotografie.ch/httpdocs/images/accordion-open3.png]: /var/www/vhosts/dkfotografie.ch/httpdocs/images/accordion-open3.png: lstat() failed: Permission denied. ERROR
# Clamd Error for [SCAN /var/www/vhosts/kastaniengarten-trimbach.ch/httpdocs/administration/smileys.php]: /var/www/vhosts/kastaniengarten-trimbach.ch/httpdocs/administration/smileys.php: lstat() failed: Permission denied. ERROR
# Clamd Error for [SCAN /var/www/vhosts/kastaniengarten-trimbach.ch/httpdocs/administration/submissions.php]: /var/www/vhosts/kastaniengarten-trimbach.ch/httpdocs/administration/submissions.php: lstat() failed: Permission denied. ERROR
Was muss ich hier tun?
clamav ist aktuell wie folgt gruppiert/eingeteilt:
r****@******:/# id clamav
uid=111(clamav) gid=114(clamav) groups=114(clamav)
Mache ich nur den Exploitscan ohne Virusscan, also mit der Option --novirusscan gehts, aber dann wird nichts auf Viren geprüft.

Ich habe auch vom Kollegen gehört der clamav/clamd müsste als root ausgeführt werden damit das funktioniert.
Nur wie führe ich diesen entsprechend als Root aus? Reicht es hierzu die Gruppe zu ändern für clamav falls ja wie?

Für Lösungsansätze bin ich schon jetzt dankbar.

Gruss
Dominic

ssvufs
Beiträge: 14
Registriert: 10.11.2014 08:57:25

Re: CXS Exploit Scan und Clamav / Clam-Daemon

Beitrag von ssvufs » 09.12.2014 22:07:25

Problem scheint gelöst. :)
Ich hatte die /etc/clamav/clamd.conf editiert und dort 'User clamav' einfach durch 'User root' ersetzt.

Nun funktioniert es wie es soll.
Dennoch bin ich aber mit dieser Lösung iwie nicht zufrieden.
Hat das nicht ein unangenehmer Nebeneffekt wenn clamav als root läuft?

LG

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: CXS Exploit Scan und Clamav / Clam-Daemon

Beitrag von rendegast » 10.12.2014 09:59:28

Problem, falls clamd durch eine untersuchte Datei kompromittiert wird.

Code: Alles auswählen

ll /var/www/vhosts/dkfotografie.ch/httpdocs/images/*.png
ll /var/www/vhosts/kastaniengarten-trimbach.ch/httpdocs/administration/*.php

Code: Alles auswählen

# id clamav
uid=111(clamav) gid=114(clamav) groups=114(clamav)
Den Benutzer in die Gruppe www-data (oder entsprechend) aufnehmen?

Oder zumindest die Bilderchen world-readable machen?

Code: Alles auswählen

chmod a+r /var/www/vhosts/dkfotografie.ch/httpdocs/images/*.png
Die problematischen Dateien durch einen clamscan-cronjob überprüfen?
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

Antworten