trueten.de

"Unsere Träume können wir erst verwirklichen, wenn wir uns entschließen, aus ihnen zu erwachen." Josephine Baker

clamav-inofficial-sigs? Fangfrisch!

Screenshot
Nach der jüngsten Diskussion auf der ClamAV Mailingliste über verschiedene Sicherheitsrisiken, die bei der Verwendung des ClamAV Unofficial Signatures Updater script über das ich hier mal berichtet hatte, auftreten können, hat Ralph Seichter "Fangfrisch" als sichere Alternative entwickelt. Es war zunächst für den persönlichen Gebrauch gedacht, aber es funktioniert so gut, dass er auch eine ausführliche Dokumentation dazu geschrieben hat, in der Hoffnung, dass andere auch Fangfrisch benutzen.

Der auf Version > 3.7 basierende Python-Code funktioniert zuverlässig auf diversen Servern, daher ist die Zeit reif für einen öffentlichen Beta-Test. Ralph Seichter ist dankbar für ein Feedback.

Ich teste das hier auf einem nicht öffentlichen Server unter Raspbian Stretch.

Den ClamAV Virenscanner aufbohren

Auf einem Mailserver hier läuft der Open Source Virenscanner Clamav. Von Haus aus - verglichen mit kommerziellen Virenscannern - nicht mit einer besonders hohen Erkennungsrate gesegnet, lässt sich dieser jedoch mit Virenkennungen von Drittanbietern aufrüsten. Seit einigen Jahren ist für mich dabei der ClamAV Unofficial Signatures Updater von eXtremeSHOK, über den ich bei Alex gestolpert bin, eindeutiger Favorit. Auch wenn die aktuelle Version von 2017 ist, seinen Job macht es stabil und richtig: Die gewählten Virenkennungen lädt es nach wie vor bei diversen Anbietern herunter, es bleibt ClamAV überlassen, diese anzuwenden:

Bei den Kennungen für yara löst ein Eintrag jedoch Fehler aus:

LibClamAV Error: yyerror(): /var/lib/clamav/maldoc_somerules.yar line 235 undefined identifier "uint32be"
LibClamAV Warning: cliloadyara: failed to parse or load 1 yara rules from file /var/lib/clamav/maldocsomerules.yar, successfully loaded 14 rules.

Nun kann man entweder die betreffende Datei löschen und gut ist es oder einfach den fehlerhaften Eintrag bearbeiten. Ich habe bei mir letzteres getan und erhalte mir somit die Kennungen. Einfach mit einem Editor /var/lib/clamav/maldoc_somerules.yar öffnen, nach uint32be suchen und diese Zeile löschen oder einkommentieren.

Nach dem Abspeichern den Dienst zum erneuten Laden der Virenkennungtsdatenbank veranlassen:

sudo service clamav-daemon reload-database

Das editieren des Eintrags bringt nichts, die fehlerhafte Definition wird mit dem nächsten Update wieder installiert. Wie es aussieht hilft zur Zeit nur der Tipp von Vladki77:
Edit /etc/clamav-unofficial-sigs/master.conf and set:
yararulesproject_enabled="no"
enable_yararules="no"
And delete *.yar and *.yara from /var/lib/clamav/

Sehr schade, sobald sich da (hoffentlich) etwas ändert, vermerke ich das hier.

Alex hat auch zusammengefasst, wie die Erkennungsrate von Spamassassin deutlich erhöht werden kann.