Seite 1 von 1

CXS Exploit Scan und Clamav / Clam-Daemon

Verfasst: 09.12.2014 17:09:24
von ssvufs
Hallo Zusammen

Ich weiss nicht ob ich hier richtig bin, falls nicht entschuldigt bitte. :)
Schon seit einer Woche schlage ich mich mit dem Versuch das Problem zu lösen herum und bin bisher auf keine Lösung gekommen.

Ich nutze das CXS Exploit Scanscript von config-server.com auf einem Debian 7 Wheety System.
Funktioniert auch ganz gut. Möchte ich allerdings nun auch nach Viren suchen so scant er zwar alles brav ab, aber dann erhalte ich jeweils mehrere folgende Fehlermeldungen (Nur ein kleiner Auszug, es betrifft alle Files wie Bilder, PHP-Dateien, html etc.):
----------- SCAN REPORT -----------
TimeStamp: Tue Dec 9 16:59:47 2014
(/usr/sbin/cxs --nobayes --clamdsock /var/run/clamav/clamd.ctl --deep --defapache nobody --doptions Mv --exploitscan --nofallback --filemax 10000 --force --mail r905_server@ssv-ufs.ch --options hDfmML --qoptions Mv --sizemax 500000 --summary --sversionscan --timemax 30 --virusscan /var/www/vhosts/)
# Clamd Error for [SCAN /var/www/vhosts/kastaniengarten-trimbach.ch/httpdocs/administration/photos.php]: /var/www/vhosts/kastaniengarten-trimbach.ch/httpdocs/administration/photos.php: lstat() failed: Permission denied. ERROR
# Clamd Error for [SCAN /var/www/vhosts/kastaniengarten-trimbach.ch/httpdocs/administration/phpinfo.php]: /var/www/vhosts/kastaniengarten-trimbach.ch/httpdocs/administration/phpinfo.php: lstat() failed: Permission denied. ERROR
# Clamd Error for [SCAN /var/www/vhosts/kastaniengarten-trimbach.ch/httpdocs/administration/polls.php]: /var/www/vhosts/kastaniengarten-trimbach.ch/httpdocs/administration/polls.php: lstat() failed: Permission denied. ERROR
# Clamd Error for [SCAN /var/www/vhosts/dkfotografie.ch/httpdocs/images/accordion-closed3.png]: /var/www/vhosts/dkfotografie.ch/httpdocs/images/accordion-closed3.png: lstat() failed: Permission denied. ERROR
# Clamd Error for [SCAN /var/www/vhosts/dkfotografie.ch/httpdocs/images/accordion-open.png]: /var/www/vhosts/dkfotografie.ch/httpdocs/images/accordion-open.png: lstat() failed: Permission denied. ERROR
# Clamd Error for [SCAN /var/www/vhosts/dkfotografie.ch/httpdocs/images/accordion-open2.png]: /var/www/vhosts/dkfotografie.ch/httpdocs/images/accordion-open2.png: lstat() failed: Permission denied. ERROR
# Clamd Error for [SCAN /var/www/vhosts/dkfotografie.ch/httpdocs/images/accordion-open3.png]: /var/www/vhosts/dkfotografie.ch/httpdocs/images/accordion-open3.png: lstat() failed: Permission denied. ERROR
# Clamd Error for [SCAN /var/www/vhosts/kastaniengarten-trimbach.ch/httpdocs/administration/smileys.php]: /var/www/vhosts/kastaniengarten-trimbach.ch/httpdocs/administration/smileys.php: lstat() failed: Permission denied. ERROR
# Clamd Error for [SCAN /var/www/vhosts/kastaniengarten-trimbach.ch/httpdocs/administration/submissions.php]: /var/www/vhosts/kastaniengarten-trimbach.ch/httpdocs/administration/submissions.php: lstat() failed: Permission denied. ERROR
Was muss ich hier tun?
clamav ist aktuell wie folgt gruppiert/eingeteilt:
r****@******:/# id clamav
uid=111(clamav) gid=114(clamav) groups=114(clamav)
Mache ich nur den Exploitscan ohne Virusscan, also mit der Option --novirusscan gehts, aber dann wird nichts auf Viren geprüft.

Ich habe auch vom Kollegen gehört der clamav/clamd müsste als root ausgeführt werden damit das funktioniert.
Nur wie führe ich diesen entsprechend als Root aus? Reicht es hierzu die Gruppe zu ändern für clamav falls ja wie?

Für Lösungsansätze bin ich schon jetzt dankbar.

Gruss
Dominic

Re: CXS Exploit Scan und Clamav / Clam-Daemon

Verfasst: 09.12.2014 22:07:25
von ssvufs
Problem scheint gelöst. :)
Ich hatte die /etc/clamav/clamd.conf editiert und dort 'User clamav' einfach durch 'User root' ersetzt.

Nun funktioniert es wie es soll.
Dennoch bin ich aber mit dieser Lösung iwie nicht zufrieden.
Hat das nicht ein unangenehmer Nebeneffekt wenn clamav als root läuft?

LG

Re: CXS Exploit Scan und Clamav / Clam-Daemon

Verfasst: 10.12.2014 09:59:28
von rendegast
Problem, falls clamd durch eine untersuchte Datei kompromittiert wird.

Code: Alles auswählen

ll /var/www/vhosts/dkfotografie.ch/httpdocs/images/*.png
ll /var/www/vhosts/kastaniengarten-trimbach.ch/httpdocs/administration/*.php

Code: Alles auswählen

# id clamav
uid=111(clamav) gid=114(clamav) groups=114(clamav)
Den Benutzer in die Gruppe www-data (oder entsprechend) aufnehmen?

Oder zumindest die Bilderchen world-readable machen?

Code: Alles auswählen

chmod a+r /var/www/vhosts/dkfotografie.ch/httpdocs/images/*.png
Die problematischen Dateien durch einen clamscan-cronjob überprüfen?