ClamAV/unofficial-sigs: Unterschied zwischen den Versionen
K Textersetzung - „ “ durch „ “ |
K Textersetzung - „GPG“ durch „GnuPG“ |
||
| Zeile 168: | Zeile 168: | ||
can be used in any '*.ndb' signature database file | can be used in any '*.ndb' signature database file | ||
-g, --gpg-verify | -g, --gpg-verify GnuPG verify a specific Sanesecurity database file | ||
eg: '-g filename.ext' (do not include file path) | eg: '-g filename.ext' (do not include file path) | ||
Aktuelle Version vom 18. Februar 2024, 12:50 Uhr
ClamAV Inoffizieller Signatur-Updater
Beschreibung
clamav-inofficial-sigs bietet die Möglichkeit zum Herunterladen, Testen und Aktualisieren von Signaturdatenbanken von Drittanbietern
- Sanesecurity
- FOXHOLE
- OITC
- BOFHLAND
- CRDF
- Porcupine
- Securiteinfo
- MalwarePatrol
- Yara-Rules Project
- urlhaus
- MalwareExpert
- interServer
- und weitere
Es werden auch Cron-, Logrotate- und Man-Dateien erstellt.
Installation
apt-Paket entfernen
# apt purge -y clamav-unofficial-sigs
Download
# wget https://raw.githubusercontent.com/extremeshok/clamav-unofficial-sigs/master/clamav-unofficial-sigs.sh -O /usr/local/sbin/clamav-unofficial-sigs.sh && chmod 755 /usr/local/sbin/clamav-unofficial-sigs.sh # mkdir -p /etc/clamav-unofficial-sigs/ # wget https://raw.githubusercontent.com/extremeshok/clamav-unofficial-sigs/master/config/master.conf -O /etc/clamav-unofficial-sigs/master.conf # wget https://raw.githubusercontent.com/extremeshok/clamav-unofficial-sigs/master/config/user.conf -O /etc/clamav-unofficial-sigs/user.conf
Betriebssystemkonfiguration
Setzen der Konfiguration
ubuntu = os.ubuntu.conf debian10 = os.debian.conf debian9 = os.debian.conf
# wget "https://raw.githubusercontent.com/extremeshok/clamav-unofficial-sigs/master/config/os/${os_conf}" -O /etc/clamav-unofficial-sigs/os.conf
Optional
Konfigurieren Sie Ihren Benutzer config /etc/clamav-unofficial-sigs/user.conf
Installationsskript
- Das Skript muss einmal als Superuser ausgeführt werden, um alle Berechtigungen festzulegen und die entsprechenden Verzeichnisse zu erstellen
# /usr/local/sbin/clamav-unofficial-sigs.sh --force
- Stellen Sie sicher, dass keine Fehler vorliegen.
- Beheben Sie fehlende Abhängigkeiten.
Logrotate- und Man-Dateien installieren
# /usr/local/sbin/clamav-unofficial-sigs.sh --install-logrotate # /usr/local/sbin/clamav-unofficial-sigs.sh --install-man
Installieren Sie Systemd-Konfigurationen oder verwenden Sie cron
Cron
# /usr/local/sbin/clamav-unofficial-sigs.sh --install-cron
ODER
Systemd
# wget https://raw.githubusercontent.com/extremeshok/clamav-unofficial-sigs/master/systemd/clamav-unofficial-sigs.service -O /etc/systemd/system/clamav-unofficial-sigs.service # wget https://raw.githubusercontent.com/extremeshok/clamav-unofficial-sigs/master/systemd/clamav-unofficial-sigs.timer -O /etc/systemd/system/clamav-unofficial-sigs.timer
# systemctl enable clamav-unofficial-sigs.service # systemctl enable clamav-unofficial-sigs.timer # systemctl start clamav-unofficial-sigs.timer
Konfiguration
Standardkonfigurationen werden in der folgenden Reihenfolge geladen, falls vorhanden:
- master.conf -> os.conf -> os. *. conf -> user.conf oder Ihre angegebene.config
- user.conf überschreibt immer os.conf und master.conf, os.conf überschreibt master.conf
Bitte ändern Sie nicht die master.conf, sondern erstellen Sie eine user.conf
- Es ist mindestens 1 Konfiguration erforderlich.
- Durch Angabe einer Konfiguration in der Befehlszeile (-c | --config) wird das Laden der Standardkonfigurationen überschrieben
Erforderliche Ports / Firewall-Ausnahmen
- rsync: TCP-Port 873
- wget / curl: TCP-Port 443
Überprüfen Sie, ob die Signatur geladen wird
clamscan --debug 2>&1 /dev/null | grep "loaded"
Regelunterstützung
Yara
- Regelunterstützung automatisch aktiviert
- Stand April 2016
- Da für die Verwendung von Yara-Regeln Clamav 0.100 oder höher erforderlich ist, werden diese automatisch deaktiviert, wenn Ihr Clamav älter als die erforderliche Version ist
URLhaus
- Support
- Stand Januar 2020
- Nutzung der kostenlosen URLhaus-Datenbank
- https://urlhaus.abuse.ch/ https://urlhaus.abuse.ch ]
- Standardmäßig aktiviert
Yara-Rules-Projektunterstützung
- Stand Juni 2015, aktualisiert Januar 2020
- Nutzung des kostenlosen Yara-Rules-Projekts
- http://yararules.com/ http://yararules.com
- Standardmäßig aktiviert
- Aktuelle Einschränkungen der Clamav-Unterstützung
interServer
- kostenlose Datenbankunterstützung
- Stand Dezember 2020
- http://rbluri.interserver.net/ http://rbluri.interserver.net
malware.expert
- Stand Dezember 2020
- Nicht kostenlos
- Verwendung von Malware Expert: [https://www.malware.expert/ https://www.malware.expert
- Eröffnen Sie ein Konto: https://www.malware.expert
- Sie erhalten eine E-Mail mit Ihrem Serienschlüssel
- Geben Sie den Serienschlüssel in die Konfiguration malwareexpert_serial_key ein: Ersetzen Sie YOUR-SERIAL-KEY durch Ihren Serienschlüssel aus der E-Mail
MalwarePatrol
- Stand Mai 2015
- Unterstützung für kostenlose / verzögerte Listen
- Verwendung der kostenlosen Clamav-Signaturen von MalwarePatrol 2015: https://www.malwarepatrol.net
- Eröffnen Sie ein kostenloses Konto: https://www.malwarepatrol.net/free-guard-upgrade-option/
- Sie erhalten eine E-Mail mit Ihrem Passwort / Ihrer Quittungsnummer
- Geben Sie die Quittungsnummer in den Konfigurationscode malwarepatrol_receipt_code ein: Ersetzen Sie IHRE EMPFANGSNUMMER durch Ihre Quittungsnummer aus der E-Mail
Unterstützung für SecuriteInfo Free / Delayed List (Stand Juni 2015)
Verwendung der kostenlosen Clamav-Signaturen von SecuriteInfo 2015: https://www.securiteinfo.com
- Eröffnen Sie ein kostenloses Konto: https://www.securiteinfo.com/clients/customers/signup
- Sie erhalten eine E-Mail zur Aktivierung Ihres Kontos und anschließend eine Folge-E-Mail mit Ihrem Anmeldenamen
- Melden Sie sich an und navigieren Sie zu Ihrem Kundenkonto: https://www.securiteinfo.com/clients/customers/account
- Klicken Sie auf die Registerkarte Setup
- Sie müssen Ihre eindeutige Kennung über einen der Download-Links abrufen. Diese sind für jeden Benutzer individuell
- Die 128-stellige Zeichenfolge steht nach http://www.securiteinfo.com/get/signatures/
- Beispiel https://www.securiteinfo.com/get/signatures/your_unique_and_very_long_random_string_of_characters/securiteinfo.hdb Ihre Autorisierungssignatur mit 128 Zeichen lautet: your_unique_and_very_long_random_string_of_characters
- Geben Sie die Autorisierungssignatur in die Konfiguration securiteinfo_authorisation_signature ein: Ersetzen Sie IHRE UNTERZEICHNUNGSNUMMER durch Ihre Autorisierungssignatur über den Link
Unterstützung für Linux Malware Detect (Stand Mai 2015, aktualisiert Januar 2020)
Verwendung von kostenlosen Linux Malware Detect-Clamav-Signaturen: https://www.rfxn.com/projects/linux-malware-detect/
- Standardmäßig aktiviert, keine Konfiguration erforderlich
Anwenung
clamav-unofficial-sigs.sh [OPTION] [PATH|FILE]
-c, --config Use a specific configuration file or directory
eg: '-c /your/dir' or ' -c /your/file.name' Note: If a directory is specified the directory must contain at least: master.conf, os.conf or user.conf Default Directory: /etc/clamav-unofficial-sigs
-F, --force Force all databases to be downloaded, could cause ip to be blocked
-h, --help Display this script's help and usage information
-V, --version Output script version and date information
-v, --verbose Be verbose, enabled when not run under cron
-s, --silence Only output error messages, enabled when run under cron
-d, --decode-sig Decode a third-party signature either by signature name
(eg: Sanesecurity.Junk.15248) or hexadecimal string. This flag will 'NOT' decode image signatures
-e, --encode-string Hexadecimal encode an entire input string that can
be used in any '*.ndb' signature database file
-f, --encode-formatted Hexadecimal encode a formatted input string containing
signature spacing fields '{}, (), *', without encoding
the spacing fields, so that the encoded signature
can be used in any '*.ndb' signature database file
-g, --gpg-verify GnuPG verify a specific Sanesecurity database file
eg: '-g filename.ext' (do not include file path)
-i, --information Output system and configuration information for
viewing or possible debugging purposes
-m, --make-database Make a signature database from an ascii file containing
data strings, with one data string per line. Additional information is provided when using this flag
-t, --test-database Clamscan integrity test a specific database file
eg: '-t filename.ext' (do not include file path)
-o, --output-triggered If HAM directory scanning is enabled in the script's
configuration file, then output names of any third-party signatures that triggered during the HAM directory scan
-w, --whitelist <signature-name> Adds a signature whitelist entry in the newer ClamAV IGN2
format to 'my-whitelist.ign2' in order to temporarily resolve a false-positive issue with a specific third-party signature. Script added whitelist entries will automatically be removed if the original signature is either modified or removed from the third-party signature database
--check-clamav If ClamD status check is enabled and the socket path is correctly
specified then test to see if clamd is running or not
--upgrade Upgrades this script and master.conf to the latest available version
--install-all Install and generate the cron, logrotate and man files, autodetects the values
based on your config files
--install-cron Install and generate the cron file, autodetects the values
based on your config files
--install-logrotate Install and generate the logrotate file, autodetects the
values based on your config files
--install-man Install and generate the man file, autodetects the
values based on your config files
--remove-script Remove the clamav-unofficial-sigs script and all of
its associated files and databases from the system
Links
Interne Links
Weblinks
TMP
Weiterer Datenbanken/Signaturen
ClamAV kann Datenbanken/Signaturen von anderen Repositories oder Sicherheitsanbietern verwenden.
Um die wichtigsten in einem Schritt hinzuzufügen, installieren Sie entweder clamav-unofficial-sigs AUR (siehe GitHub-Beschreibung ) oder python-freshclam AUR (siehe Online-Dokumentation ). Beide werden Signaturen/Datenbanken von gängigen Anbietern hinzufügen, z. B. MalwarePatrol, SecuriteInfo, Yara, Linux Malware Detect usw.
Hinweis: Sie müssen die noch haben clamav-freshclam.service gestartet , um offizielle Signatur-Updates von ClamAV-Spiegeln zu erhalten.
Option #1: freshclam einrichten
freshclam wurde als sicherer, flexibler und bequemer Ersatz für clamav-unofficial-sigs entwickelt und erfordert nur sehr wenig Konfiguration.
Am wichtigsten ist, dass freshclam im Gegensatz zu clamav-inofficial-sigs niemals mit Root-Rechten ausgeführt werden muss.
Erstellen Sie eine Datenbankstruktur, indem Sie Folgendes ausführen:
# sudo -u clamav /usr/bin/freshclam --conf /etc/freshclam/freshclam.conf initdb
Aktivieren Sie die freshclam.timer.
Option #2: Clamav-Inoffizielle-Sigs einrichten
Aktivieren Sie die clamav-unofficial-sigs.timer.
Dadurch werden die inoffiziellen Signaturen basierend auf den Konfigurationsdateien im Verzeichnis regelmäßig aktualisiert /etc/clamav-unofficial-sigs.
Um Signaturen manuell zu aktualisieren, führen Sie Folgendes aus:
# clamav-unofficial-sigs.sh
Um Standardeinstellungen zu ändern, siehe und ändern /etc/clamav-unofficial-sigs/user.conf.
MalwarePatrol-Datenbank
Wenn Sie die MalwarePatrol-Datenbank verwenden möchten, melden Sie sich unter https://www.malwarepatrol.net/free-guard-upgrade-option .
In /etc/clamav-unofficial-sigs/user.conf, ändern Sie Folgendes, um diese Funktion zu aktivieren:
Malwarepatrol_receipt_code="YOUR-RECEIPT-NUMBER" # Geben Sie hier Ihre Quittungsnummer ein Malwarepatrol_product_code="8" # Verwenden Sie 8, wenn Sie ein kostenloses Konto haben, oder 15, wenn Sie Premium-Kunde sind. Malwarepatrol_list="clamav_basic" # clamav_basic oder clamav_ext malwarepatrol_free="yes" # Auf yes setzen, wenn Sie ein kostenloses Konto haben, oder auf no, wenn Sie Premium-Kunde sind.