ClamAV Inoffizieller Signatur-Updater

Beschreibung

clamav-inofficial-sigs bietet die Möglichkeit zum Herunterladen, Testen und Aktualisieren von Signaturdatenbanken von Drittanbietern

• Sanesecurity
• FOXHOLE
• OITC
• BOFHLAND
• CRDF
• Porcupine
• Securiteinfo
• MalwarePatrol
• Yara-Rules Project
• urlhaus
• MalwareExpert
• interServer
• und weitere

Es werden auch Cron-, Logrotate- und Man-Dateien erstellt.

Installation

apt-Paket entfernen

# apt purge -y clamav-unofficial-sigs

Download

# wget https://raw.githubusercontent.com/extremeshok/clamav-unofficial-sigs/master/clamav-unofficial-sigs.sh -O /usr/local/sbin/clamav-unofficial-sigs.sh && chmod 755 /usr/local/sbin/clamav-unofficial-sigs.sh
# mkdir -p /etc/clamav-unofficial-sigs/
# wget https://raw.githubusercontent.com/extremeshok/clamav-unofficial-sigs/master/config/master.conf -O /etc/clamav-unofficial-sigs/master.conf
# wget https://raw.githubusercontent.com/extremeshok/clamav-unofficial-sigs/master/config/user.conf -O /etc/clamav-unofficial-sigs/user.conf

Betriebssystemkonfiguration

Setzen der Konfiguration

ubuntu   = os.ubuntu.conf
debian10 = os.debian.conf
debian9  = os.debian.conf

# wget "https://raw.githubusercontent.com/extremeshok/clamav-unofficial-sigs/master/config/os/${os_conf}" -O /etc/clamav-unofficial-sigs/os.conf

Optional

Konfigurieren Sie Ihren Benutzer config /etc/clamav-unofficial-sigs/user.conf

Installationsskript

• Das Skript muss einmal als Superuser ausgeführt werden, um alle Berechtigungen festzulegen und die entsprechenden Verzeichnisse zu erstellen

# /usr/local/sbin/clamav-unofficial-sigs.sh --force

• Stellen Sie sicher, dass keine Fehler vorliegen.
• Beheben Sie fehlende Abhängigkeiten.

Logrotate- und Man-Dateien installieren

# /usr/local/sbin/clamav-unofficial-sigs.sh --install-logrotate
# /usr/local/sbin/clamav-unofficial-sigs.sh --install-man

Installieren Sie Systemd-Konfigurationen oder verwenden Sie cron

Cron

# /usr/local/sbin/clamav-unofficial-sigs.sh --install-cron

ODER

Systemd

# wget https://raw.githubusercontent.com/extremeshok/clamav-unofficial-sigs/master/systemd/clamav-unofficial-sigs.service -O /etc/systemd/system/clamav-unofficial-sigs.service
# wget https://raw.githubusercontent.com/extremeshok/clamav-unofficial-sigs/master/systemd/clamav-unofficial-sigs.timer -O /etc/systemd/system/clamav-unofficial-sigs.timer

# systemctl enable clamav-unofficial-sigs.service
# systemctl enable clamav-unofficial-sigs.timer
# systemctl start clamav-unofficial-sigs.timer

Konfiguration

Standardkonfigurationen werden in der folgenden Reihenfolge geladen, falls vorhanden:

• master.conf -> os.conf -> os. *. conf -> user.conf oder Ihre angegebene.config
• user.conf überschreibt immer os.conf und master.conf, os.conf überschreibt master.conf

Bitte ändern Sie nicht die master.conf, sondern erstellen Sie eine user.conf

• Es ist mindestens 1 Konfiguration erforderlich.
• Durch Angabe einer Konfiguration in der Befehlszeile (-c | --config) wird das Laden der Standardkonfigurationen überschrieben

Erforderliche Ports / Firewall-Ausnahmen

• rsync: TCP-Port 873
• wget / curl: TCP-Port 443

Überprüfen Sie, ob die Signatur geladen wird

clamscan --debug 2>&1 /dev/null | grep "loaded"

Regelunterstützung

Yara

• Regelunterstützung automatisch aktiviert
• Stand April 2016
• Da für die Verwendung von Yara-Regeln Clamav 0.100 oder höher erforderlich ist, werden diese automatisch deaktiviert, wenn Ihr Clamav älter als die erforderliche Version ist

URLhaus

• Support
• Stand Januar 2020
• Nutzung der kostenlosen URLhaus-Datenbank
• https://urlhaus.abuse.ch/ https://urlhaus.abuse.ch ]
• Standardmäßig aktiviert

Yara-Rules-Projektunterstützung

• Stand Juni 2015, aktualisiert Januar 2020
• Nutzung des kostenlosen Yara-Rules-Projekts
• http://yararules.com/ http://yararules.com
• Standardmäßig aktiviert
• Aktuelle Einschränkungen der Clamav-Unterstützung
  • http://blog.clamav.net/search/label/yara http://blog.clamav.net/search/label/yara

interServer

• kostenlose Datenbankunterstützung
• Stand Dezember 2020
• http://rbluri.interserver.net/ http://rbluri.interserver.net

malware.expert

• Stand Dezember 2020
• Nicht kostenlos
• Verwendung von Malware Expert: [https://www.malware.expert/ https://www.malware.expert

1. Eröffnen Sie ein Konto: https://www.malware.expert
2. Sie erhalten eine E-Mail mit Ihrem Serienschlüssel
3. Geben Sie den Serienschlüssel in die Konfiguration malwareexpert_serial_key ein: Ersetzen Sie YOUR-SERIAL-KEY durch Ihren Serienschlüssel aus der E-Mail

MalwarePatrol

• Stand Mai 2015
• Unterstützung für kostenlose / verzögerte Listen
• Verwendung der kostenlosen Clamav-Signaturen von MalwarePatrol 2015: https://www.malwarepatrol.net

1. Eröffnen Sie ein kostenloses Konto: https://www.malwarepatrol.net/free-guard-upgrade-option/
2. Sie erhalten eine E-Mail mit Ihrem Passwort / Ihrer Quittungsnummer
3. Geben Sie die Quittungsnummer in den Konfigurationscode malwarepatrol_receipt_code ein: Ersetzen Sie IHRE EMPFANGSNUMMER durch Ihre Quittungsnummer aus der E-Mail

Unterstützung für SecuriteInfo Free / Delayed List (Stand Juni 2015)

Verwendung der kostenlosen Clamav-Signaturen von SecuriteInfo 2015: https://www.securiteinfo.com

1. Eröffnen Sie ein kostenloses Konto: https://www.securiteinfo.com/clients/customers/signup
2. Sie erhalten eine E-Mail zur Aktivierung Ihres Kontos und anschließend eine Folge-E-Mail mit Ihrem Anmeldenamen
3. Melden Sie sich an und navigieren Sie zu Ihrem Kundenkonto: https://www.securiteinfo.com/clients/customers/account
4. Klicken Sie auf die Registerkarte Setup
5. Sie müssen Ihre eindeutige Kennung über einen der Download-Links abrufen. Diese sind für jeden Benutzer individuell
   1. Die 128-stellige Zeichenfolge steht nach http://www.securiteinfo.com/get/signatures/
   2. Beispiel https://www.securiteinfo.com/get/signatures/your_unique_and_very_long_random_string_of_characters/securiteinfo.hdb Ihre Autorisierungssignatur mit 128 Zeichen lautet: your_unique_and_very_long_random_string_of_characters
6. Geben Sie die Autorisierungssignatur in die Konfiguration securiteinfo_authorisation_signature ein: Ersetzen Sie IHRE UNTERZEICHNUNGSNUMMER durch Ihre Autorisierungssignatur über den Link

Unterstützung für Linux Malware Detect (Stand Mai 2015, aktualisiert Januar 2020)

Verwendung von kostenlosen Linux Malware Detect-Clamav-Signaturen: https://www.rfxn.com/projects/linux-malware-detect/

• Standardmäßig aktiviert, keine Konfiguration erforderlich

Anwenung

clamav-unofficial-sigs.sh   [OPTION] [PATH|FILE]

-c, --config Use a specific configuration file or directory

 eg: '-c /your/dir' or ' -c /your/file.name'  
 Note: If a directory is specified the directory must contain at least:  
 master.conf, os.conf or user.conf
 Default Directory: /etc/clamav-unofficial-sigs

-F, --force Force all databases to be downloaded, could cause ip to be blocked

-h, --help Display this script's help and usage information

-V, --version Output script version and date information

-v, --verbose Be verbose, enabled when not run under cron

-s, --silence Only output error messages, enabled when run under cron

-d, --decode-sig Decode a third-party signature either by signature name

 (eg: Sanesecurity.Junk.15248) or hexadecimal string.
 This flag will 'NOT' decode image signatures

-e, --encode-string Hexadecimal encode an entire input string that can

 be used in any '*.ndb' signature database file

-f, --encode-formatted Hexadecimal encode a formatted input string containing

 signature spacing fields '{}, (), *', without encoding
 the spacing fields, so that the encoded signature
 can be used in any '*.ndb' signature database file

-g, --gpg-verify GnuPG verify a specific Sanesecurity database file

 eg: '-g filename.ext' (do not include file path)

-i, --information Output system and configuration information for

 viewing or possible debugging purposes

-m, --make-database Make a signature database from an ascii file containing

 data strings, with one data string per line.  Additional
 information is provided when using this flag

-t, --test-database Clamscan integrity test a specific database file

 eg: '-t filename.ext' (do not include file path)

-o, --output-triggered If HAM directory scanning is enabled in the script's

 configuration file, then output names of any third-party
 signatures that triggered during the HAM directory scan

-w, --whitelist <signature-name> Adds a signature whitelist entry in the newer ClamAV IGN2

 format to 'my-whitelist.ign2' in order to temporarily resolve
 a false-positive issue with a specific third-party signature.
 Script added whitelist entries will automatically be removed
 if the original signature is either modified or removed from
 the third-party signature database

--check-clamav If ClamD status check is enabled and the socket path is correctly

 specified then test to see if clamd is running or not

--upgrade Upgrades this script and master.conf to the latest available version

--install-all Install and generate the cron, logrotate and man files, autodetects the values

 based on your config files

--install-cron Install and generate the cron file, autodetects the values

 based on your config files

--install-logrotate Install and generate the logrotate file, autodetects the

 values based on your config files

--install-man Install and generate the man file, autodetects the

 values based on your config files

--remove-script Remove the clamav-unofficial-sigs script and all of

 its associated files and databases from the system

Links

Interne Links

1. ClamAV

Weblinks

1. https://github.com/extremeshok/clamav-unofficial-sigs/

TMP

Weiterer Datenbanken/Signaturen

ClamAV kann Datenbanken/Signaturen von anderen Repositories oder Sicherheitsanbietern verwenden.

Um die wichtigsten in einem Schritt hinzuzufügen, installieren Sie entweder clamav-unofficial-sigs AUR (siehe GitHub-Beschreibung ) oder python-freshclam AUR (siehe Online-Dokumentation ). Beide werden Signaturen/Datenbanken von gängigen Anbietern hinzufügen, z. B. MalwarePatrol, SecuriteInfo, Yara, Linux Malware Detect usw.

Hinweis: Sie müssen die noch haben clamav-freshclam.service gestartet , um offizielle Signatur-Updates von ClamAV-Spiegeln zu erhalten.

Option #1: freshclam einrichten

freshclam wurde als sicherer, flexibler und bequemer Ersatz für clamav-unofficial-sigs entwickelt und erfordert nur sehr wenig Konfiguration.

Am wichtigsten ist, dass freshclam im Gegensatz zu clamav-inofficial-sigs niemals mit Root-Rechten ausgeführt werden muss.

Erstellen Sie eine Datenbankstruktur, indem Sie Folgendes ausführen:

# sudo -u clamav /usr/bin/freshclam --conf /etc/freshclam/freshclam.conf initdb

Aktivieren Sie die freshclam.timer.

Option #2: Clamav-Inoffizielle-Sigs einrichten

Aktivieren Sie die clamav-unofficial-sigs.timer.

Dadurch werden die inoffiziellen Signaturen basierend auf den Konfigurationsdateien im Verzeichnis regelmäßig aktualisiert /etc/clamav-unofficial-sigs.

Um Signaturen manuell zu aktualisieren, führen Sie Folgendes aus:

# clamav-unofficial-sigs.sh

Um Standardeinstellungen zu ändern, siehe und ändern /etc/clamav-unofficial-sigs/user.conf.

MalwarePatrol-Datenbank

Wenn Sie die MalwarePatrol-Datenbank verwenden möchten, melden Sie sich unter https://www.malwarepatrol.net/free-guard-upgrade-option .

In /etc/clamav-unofficial-sigs/user.conf, ändern Sie Folgendes, um diese Funktion zu aktivieren:

Malwarepatrol_receipt_code="YOUR-RECEIPT-NUMBER" # Geben Sie hier Ihre Quittungsnummer ein
Malwarepatrol_product_code="8" # Verwenden Sie 8, wenn Sie ein kostenloses Konto haben, oder 15, wenn Sie Premium-Kunde sind.
Malwarepatrol_list="clamav_basic" # clamav_basic oder clamav_ext
malwarepatrol_free="yes" # Auf yes setzen, wenn Sie ein kostenloses Konto haben, oder auf no, wenn Sie Premium-Kunde sind.