Como usar o ClamAV ?

37. Re: Como usar o ClamAV ?

Henrique-RJ
(usa Outra)

Enviado em 19/03/2024 - 16:56h

Buckminster escreveu:

https://www.vivaolinux.com.br/artigo/Antivirus-ClamAV-com-protecao-em-tempo-real/

_________________________________________________________
Always listen the Buck!
Enquanto o cursor estiver pulsando, há vida!

Muito bom o seu artigo dando muitos detalhes práticos de como configurar e estou quase voltando a ativar o On-Access Scanner do ClamAV.

Não achei nada melhor que essa sua matéria por onde pesquisei.

Agradeço

_______________________________________________________
E viu-se um grande sinal no céu: uma mulher vestida do sol, tendo a lua debaixo dos seus pés, e uma coroa de doze estrelas sobre a sua cabeça. Apocalipse 12:1 Nsa Sra de Fátima, Nsa Sra de Lourdes, Nsa Sra das Graças ...
_______________________________________________________
São Padre Pio de Pietrelcina, Santa Faustina Kowalska, São Francisco de Assis e Santa Gema Galgani foram alguns dos que tiveram os milagres dos Estigmas de Cristo em seus corpos, Feridas que sangravam
_______________________________________________________
Milagre Eucarístico que ocorreu em uma Igreja de Lanciano na Itália no ano de 750 em que o vinho se tornou sangue e o pão carne humana estão até hoje intactos. https://pt.wikipedia.org/wiki/Milagre_eucar%C3%ADstico_de_Lanciano

0 0

Quote

38. Re: Onde encontro clamd.conf do ClamAV ?

aguamole
(usa KUbuntu)

Enviado em 19/03/2024 - 20:12h

Atualização, infelizmente eu não estou conseguindo adicionar mais do que 2 locais para o RTP do ClamAV, não sei a causa, mas a /home e a /tmp que são as 2 que achei mais importantes foi as que eu define. E nestas 2 esta funcional. Teste feito nas 2 com Eicar bem sucedida.

0 0

Quote

39. Re: Onde encontro clamd.conf do ClamAV ?

Henrique-RJ
(usa Outra)

Enviado em 20/03/2024 - 01:09h

aguamole escreveu:

Atualização, infelizmente eu não estou conseguindo adicionar mais do que 2 locais para o RTP do ClamAV, não sei a causa, mas a /home e a /tmp que são as 2 que achei mais importantes foi as que eu define. E nestas 2 esta funcional. Teste feito nas 2 com Eicar bem sucedida.

Aqui acabei de resolver um problema de não geração de log no histórico do ClamTK desinstalando tudo do ClamAV pelo Synaptic, verificando pacotes quebrados e deletando a pasta " .clamtk " em /home/usuário, reiniciando o sistema e reinstalando tudo.

Acho que deveria mudar o título deste tópico para um mais genérico do ClamAV pois o conteúdo dele está enriquecendo o assunto a ponto de não haver algo semelhante na internet nem em sites gringos.

_______________________________________________________
E viu-se um grande sinal no céu: uma mulher vestida do sol, tendo a lua debaixo dos seus pés, e uma coroa de doze estrelas sobre a sua cabeça. Apocalipse 12:1 Nsa Sra de Fátima, Nsa Sra de Lourdes, Nsa Sra das Graças ...
_______________________________________________________
São Padre Pio de Pietrelcina, Santa Faustina Kowalska, São Francisco de Assis e Santa Gema Galgani foram alguns dos que tiveram os milagres dos Estigmas de Cristo em seus corpos, Feridas que sangravam
_______________________________________________________
Milagre Eucarístico que ocorreu em uma Igreja de Lanciano na Itália no ano de 750 em que o vinho se tornou sangue e o pão carne humana estão até hoje intactos. https://pt.wikipedia.org/wiki/Milagre_eucar%C3%ADstico_de_Lanciano

0 0

Quote

40. Re: Como usar o ClamAV ?

Henrique-RJ
(usa Outra)

Enviado em 20/03/2024 - 17:43h

Estou tentando de novo ativar o On-Access Scanner

#Automatically Generated by clamav-daemon postinst
#To reconfigure clamd run #dpkg-reconfigure clamav-daemon
#Please read /usr/share/doc/clamav-daemon/README.Debian.gz for details
LocalSocket /var/run/clamav/clamd.ctl
FixStaleSocket true
LocalSocketGroup clamav
LocalSocketMode 666
# TemporaryDirectory is not set to its default /tmp here to make overriding
# the default with environment variables TMPDIR/TMP/TEMP possible
User clamav
ScanMail true
ScanArchive true
ArchiveBlockEncrypted false
MaxDirectoryRecursion 15
FollowDirectorySymlinks false
FollowFileSymlinks false
ReadTimeout 180
MaxThreads 12
MaxConnectionQueueLength 15
LogSyslog false
LogRotate true
LogFacility LOG_LOCAL6
LogClean false
LogVerbose false
PreludeEnable no
PreludeAnalyzerName ClamAV
DatabaseDirectory /var/lib/clamav
OfficialDatabaseOnly false
SelfCheck 3600
Foreground false
Debug false
ScanPE true
MaxEmbeddedPE 10M
ScanOLE2 true
ScanPDF true
ScanHTML true
MaxHTMLNormalize 10M
MaxHTMLNoTags 2M
MaxScriptNormalize 5M
MaxZipTypeRcg 1M
ScanSWF true
ExitOnOOM false
LeaveTemporaryFiles false
AlgorithmicDetection true
ScanELF true
IdleTimeout 30
CrossFilesystems true
PhishingSignatures true
PhishingScanURLs true
PhishingAlwaysBlockSSLMismatch false
PhishingAlwaysBlockCloak false
PartitionIntersection false
DetectPUA false
ScanPartialMessages false
HeuristicScanPrecedence false
StructuredDataDetection false
CommandReadTimeout 30
SendBufTimeout 200
MaxQueue 100
ExtendedDetectionInfo true
OLE2BlockMacros false
AllowAllMatchScan true
ForceToDisk false
DisableCertCheck false
DisableCache false
MaxScanTime 120000
MaxRecursion 16
MaxFiles 10000
MaxPartitions 50
MaxIconsPE 100
PCREMatchLimit 10000
PCRERecMatchLimit 5000
PCREMaxFileSize 25M
ScanXMLDOCS true
ScanHWP3 true
MaxRecHWP3 16
StreamMaxLength 25M
LogFile /var/log/clamav/clamav.log
LogTime true
LogFileUnlock false
LogFileMaxSize 0
Bytecode true
BytecodeSecurity TrustSigned
BytecodeTimeout 60000
#
OnAccessMountPath /
OnAccessExcludePath /sys
OnAccessIncludePath /
OnAccessIncludePath /home
OnAccessPrevention yes
OnAccessExcludeUname clamav
OnAccessExtraScanning yes
OnAccessMaxFileSize 20M
MaxFileSize 50M
MaxScanSize 200M
TCPSocket 3310
TCPAddr localhost
AlertExceedsMax yes

Ainda não consegui um mísero alerta ao baixar o eicar ...

FANOTIFY está ativo

O script do @aguamole deixa o processador a 50% de uso mas com o de cima o processador fica com baixo uso.

Carreguei o clamonacc pelo terminal e nada de detectar.

Tá osso isso ...

_______________________________________________________
E viu-se um grande sinal no céu: uma mulher vestida do sol, tendo a lua debaixo dos seus pés, e uma coroa de doze estrelas sobre a sua cabeça. Apocalipse 12:1 Nsa Sra de Fátima, Nsa Sra de Lourdes, Nsa Sra das Graças ...
_______________________________________________________
São Padre Pio de Pietrelcina, Santa Faustina Kowalska, São Francisco de Assis e Santa Gema Galgani foram alguns dos que tiveram os milagres dos Estigmas de Cristo em seus corpos, Feridas que sangravam
_______________________________________________________
Milagre Eucarístico que ocorreu em uma Igreja de Lanciano na Itália no ano de 750 em que o vinho se tornou sangue e o pão carne humana estão até hoje intactos. https://pt.wikipedia.org/wiki/Milagre_eucar%C3%ADstico_de_Lanciano

0 0

Quote

41. Re: Onde encontro clamd.conf do ClamAV ?

aguamole
(usa KUbuntu)

Enviado em 20/03/2024 - 21:20h

Para começar o "OnAccessExcludeUname" de ser definido com o nome do usuario dono do processo do clamd, o meu clamd é executado como root então fica: "OnAccessExcludeUname root", segue a imagem.
Como vc pode ver na imagem, o processo amarelo ou clamd você pode observar que é o root o usuário do processo., dai o usuário root no "OnAccessExcludeUname"

O "OnAccessMountPath /" no meu Ubuntu não tem funcionado, tive que excluir. Não sei se é a versão do meu Clamd que é antiga:

$ clamd --version

ClamAV 0.103.11/27220/Wed Mar 20 05:25:13 2024

O "LocalSocket" no meu eu deixei a pasta tmp, tentem na home do root mas não funciona, so consegui fazer funcionar na /tmp/

O "OnAccessIncludePath /" no meu o valor como raiz(/) não funciona porque eu não consegui fazer funcionar o "OnAccessMountPath" é um requisito para o include funcionar na /.
Como eu não ativei o RTP no / então não faz sentido eu colocar o "OnAccessExcludePath /sys".

Se a sua home é separada você tera que garantir que o clamonacc só seja executado quando a home separada estiver montada para não falhar o "OnAccessIncludePath /home"

Isso "OnAccessPrevention yes" bloqueia o acesso de arquivos maliciosos.

0 0

Quote

42. Re: Como usar o ClamAV ?

aguamole
(usa KUbuntu)

Enviado em 20/03/2024 - 21:49h

Henrique-RJ escreveu:
O script do @aguamole deixa o processador a 50% de uso mas com o de cima o processador fica com baixo uso.

Isso é d+ para um código que roda a cada 1 segundo, mas se aumentar para valores em segundos maiores vai ser menos custoso, e eu montei ele de acordo para a minha home que é separada como eu expliquei anteriormente.

0 0

Quote

43. Re: Como faço o On-Access Scanner do ClamAV funcionar ?

Henrique-RJ
(usa Outra)

Enviado em 20/03/2024 - 23:35h

Mexi em tanta coisa que o clamonacc e o clamd pararam de funcionar. Tive que desinstalar eles.

Tá difícil fazer isso detectar um simples eicar.

Mas o ClamTK tá redondo.

Percebi que parece que dá para ter o escaneamento em tempo real nestes testes que fiz pois a memória virtual não chegou a ser utilizada mas andei limpando a memória com uma linha de comando.

Já usei o clamd.conf da instalação do calmav-daemon, o do @aguamole , o do @buckmminster e o de um site e nada deu certo.

A cada dia que faço varredura com o ClamAV do cache do Firefox mais PUA:Win.Exploit.CVE_2012_1461-1 ele encontra. Acho que devem ser falsos positivos.

_______________________________________________________
E viu-se um grande sinal no céu: uma mulher vestida do sol, tendo a lua debaixo dos seus pés, e uma coroa de doze estrelas sobre a sua cabeça. Apocalipse 12:1 Nsa Sra de Fátima, Nsa Sra de Lourdes, Nsa Sra das Graças ...
_______________________________________________________
São Padre Pio de Pietrelcina, Santa Faustina Kowalska, São Francisco de Assis e Santa Gema Galgani foram alguns dos que tiveram os milagres dos Estigmas de Cristo em seus corpos, Feridas que sangravam
_______________________________________________________
Milagre Eucarístico que ocorreu em uma Igreja de Lanciano na Itália no ano de 750 em que o vinho se tornou sangue e o pão carne humana estão até hoje intactos. https://pt.wikipedia.org/wiki/Milagre_eucar%C3%ADstico_de_Lanciano

0 0

Quote

44. Re: Como usar o ClamAV ?

aguamole
(usa KUbuntu)

Enviado em 21/03/2024 - 07:36h

Henrique-RJ escreveu:
Mexi em tanta coisa que o clamonacc e o clamd pararam de funcionar. Tive que desinstalar eles.

Deve ser o erro do soquete que eu expliquei na penúltima, se o soquete falhar da um erro de soquete e o clamd se fecha, o soquete não pode ser criado em qualquer pasta, eu criei na pasta /tmp/.

O "LocalSocket" no meu eu deixei a pasta tmp, tentem na home do root mas não funciona, so consegui fazer funcionar na /tmp/

0 0

Quote

45. Re: Como usar o ClamAV ?

Henrique-RJ
(usa Outra)

Enviado em 21/03/2024 - 13:00h

Tentei de novo reinstalando o clamav-daemon e coloquei o script do @aguamole e novamente o processador chegou a 100% um dos núcleos que para mim é algum conflito. Fiz algumas mudanças no clamd-conf mas ficou na mesma.

Com o script do tutorial o processamento ficava normal mas o antivirus continuava sem detectar o eicar.

Esse é osso duro de roer ...

_______________________________________________________
E viu-se um grande sinal no céu: uma mulher vestida do sol, tendo a lua debaixo dos seus pés, e uma coroa de doze estrelas sobre a sua cabeça. Apocalipse 12:1 Nsa Sra de Fátima, Nsa Sra de Lourdes, Nsa Sra das Graças ...
_______________________________________________________
São Padre Pio de Pietrelcina, Santa Faustina Kowalska, São Francisco de Assis e Santa Gema Galgani foram alguns dos que tiveram os milagres dos Estigmas de Cristo em seus corpos, Feridas que sangravam
_______________________________________________________
Milagre Eucarístico que ocorreu em uma Igreja de Lanciano na Itália no ano de 750 em que o vinho se tornou sangue e o pão carne humana estão até hoje intactos. https://pt.wikipedia.org/wiki/Milagre_eucar%C3%ADstico_de_Lanciano

0 0

Quote

46. Re: Como usar o ClamAV ?

Henrique-RJ
(usa Outra)

Enviado em 21/03/2024 - 17:01h

Venho fazendo uns testes aqui no decorrer do dia e voltei para o script original e comecei por uma alteração de cada vez sempre testando em seguida. Neste clamd.conf abaixo onde vocês veem erro ?

#Automatically Generated by clamav-daemon postinst
#To reconfigure clamd run #dpkg-reconfigure clamav-daemon
#Please read /usr/share/doc/clamav-daemon/README.Debian.gz for details
LocalSocket /var/run/clamav/clamd.ctl
FixStaleSocket true
LocalSocketGroup clamav
LocalSocketMode 666
# TemporaryDirectory is not set to its default /tmp here to make overriding
# the default with environment variables TMPDIR/TMP/TEMP possible
User root
ScanMail true
ScanArchive true
ArchiveBlockEncrypted false
MaxDirectoryRecursion 15
FollowDirectorySymlinks false
FollowFileSymlinks false
ReadTimeout 180
MaxThreads 12
MaxConnectionQueueLength 15
LogSyslog false
LogRotate true
LogFacility LOG_LOCAL6
LogClean false
LogVerbose false
PreludeEnable no
PreludeAnalyzerName ClamAV
DatabaseDirectory /var/lib/clamav
OfficialDatabaseOnly false
SelfCheck 3600
Foreground false
Debug false
ScanPE true
MaxEmbeddedPE 10M
ScanOLE2 true
ScanPDF true
ScanHTML true
MaxHTMLNormalize 10M
MaxHTMLNoTags 2M
MaxScriptNormalize 5M
MaxZipTypeRcg 1M
ScanSWF true
ExitOnOOM false
LeaveTemporaryFiles false
AlgorithmicDetection true
ScanELF true
IdleTimeout 30
CrossFilesystems true
PhishingSignatures true
PhishingScanURLs true
PhishingAlwaysBlockSSLMismatch false
PhishingAlwaysBlockCloak false
PartitionIntersection false
DetectPUA false
ScanPartialMessages false
HeuristicScanPrecedence false
StructuredDataDetection false
CommandReadTimeout 30
SendBufTimeout 200
MaxQueue 100
ExtendedDetectionInfo true
OLE2BlockMacros false
AllowAllMatchScan true
ForceToDisk false
DisableCertCheck false
DisableCache false
MaxScanTime 120000
MaxScanSize 100M
MaxFileSize 25M
MaxRecursion 16
MaxFiles 10000
MaxPartitions 50
MaxIconsPE 100
PCREMatchLimit 10000
PCRERecMatchLimit 5000
PCREMaxFileSize 25M
ScanXMLDOCS true
ScanHWP3 true
MaxRecHWP3 16
StreamMaxLength 25M
LogFile /var/log/clamav/clamav.log
LogTime true
LogFileUnlock false
LogFileMaxSize 0
Bytecode true
BytecodeSecurity TrustSigned
BytecodeTimeout 60000
OnAccessMaxFileSize 5M
OnAccessPrevention true
OnAccessExcludeUname root
OnAccessIncludePath /home

EDIT...

Acabei de desistir agora pois percebi que o sistema congela ao abrir outras coisas o que nunca ocorria antes devido ao alto consumo de memória RAM.

_______________________________________________________
E viu-se um grande sinal no céu: uma mulher vestida do sol, tendo a lua debaixo dos seus pés, e uma coroa de doze estrelas sobre a sua cabeça. Apocalipse 12:1 Nsa Sra de Fátima, Nsa Sra de Lourdes, Nsa Sra das Graças ...
_______________________________________________________
São Padre Pio de Pietrelcina, Santa Faustina Kowalska, São Francisco de Assis e Santa Gema Galgani foram alguns dos que tiveram os milagres dos Estigmas de Cristo em seus corpos, Feridas que sangravam
_______________________________________________________
Milagre Eucarístico que ocorreu em uma Igreja de Lanciano na Itália no ano de 750 em que o vinho se tornou sangue e o pão carne humana estão até hoje intactos. https://pt.wikipedia.org/wiki/Milagre_eucar%C3%ADstico_de_Lanciano

0 0

Quote

47. Re: Como usar o ClamAV ?

aguamole
(usa KUbuntu)

Enviado em 21/03/2024 - 18:59h

LocalSocketMode 666 o 666 é vulneravel use o 660.
LocalSocket /tmp/clamd.socket no /tmp/ é o único lugar que funciono comigo.

0 0

Quote

48. Re: Como usar o ClamAV ?

aguamole
(usa KUbuntu)

Enviado em 21/03/2024 - 19:02h

Henrique-RJ escreveu:
Acabei de desistir agora pois percebi que o sistema congela ao abrir outras coisas o que nunca ocorria antes devido ao alto consumo de memória RAM.

A, você diz um delayzinho que da quando manda abrir as coisas? isso acontece porque os arquivos são bloqueados ate que eles sejam escaneado pelo clamd, e só após a analise eles é liberados do bloqueio. Não é falta de recurso é bloqueio mesmo. para otimizar isso você pode definir escaneamentos de coisas mais simples como não escaneiar arquivos comprimido por exemplo.

Se o OnAccessExcludeUname não estiver definido corretamente ele trava a maquina e só destrava se matar o processo clamonacc. segue a imagem para encontrar o dono do processo do clamd.

Quanto de RAM vc tem? 1GB?