Repository 32bit  Forum
Repository 64bit  Wiki

ClamAV per scandire partizione win

Postate qui per tutte le discussioni legate a Linux in generale.

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Per evitare confusione prego inserire in questo forum solo topic che riguardano appunto Gnu/Linux in genere, se l'argomento è specifico alla Slackware usate uno dei forum Slackware o Slackware64.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

ClamAV per scandire partizione win

Messaggioda joe » sab feb 09, 2013 11:48

Come da oggetto vorrei usare clamav per effettuare una scansione sulla partizione di windows.
Sull'attuale PC infatti ho installato un dualboot windows/slackware.

Su slackware 14.0 ho installato clamav dal pacchetto di slacky.eu.
Ma, domanda banale come faccio a fare partire l'aggiornamento delle definizioni e la scansione dell'altra partizione?
Devo prima configurare qualcosa?
Oppure il pacchetto di slacky ha già impostato qualcosa per me?

Ho dato un'occhiata al man di freshclam e clamscan, ma non riesco a farli funzionare:
Ad esempio:
Codice: Seleziona tutto
root@darkstar:~# mount -t ntfs-3g /dev/sda1 /mnt/tmp/
root@darkstar:~# clamscan -r /mnt/tmp/
LibClamAV Error: cl_load(): Can't get status of /var/lib/clamav
ERROR: Can't get file status

----------- SCAN SUMMARY -----------
Known viruses: 0
Engine version: 0.97.6
Scanned directories: 0
Scanned files: 0
Infected files: 0
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 0.00:1)
Time: 0.089 sec (0 m 0 s)


Oppure:
Codice: Seleziona tutto
# freshclam   
ERROR: Can't change dir to /usr/share/clamav


Avreste qualche dritta?
Grazie in anticipo! :D
Avatar utente
joe
Master
Master
 
Messaggi: 1950
Iscritto il: ven apr 27, 2007 10:21
Slackware: 14.0
Kernel: 3.2.29-smp
Desktop: KDE-4.8.5

Re: ClamAV per scandire partizione win

Messaggioda sixjan » sab feb 09, 2013 13:55

Sembra un problema di permessi, anche se paradossalmente lo esegui come root.

http://www.clamav.net/doc/latest/html/node14.html

Io però non so come sia stato compilato e preconfigurato il pacchetto che hai scaricato.
Io installo dai sorgenti. Leggi la documentazione. Comunque il problema mi pare proprio quello
dei permessi.
sixjan
Linux 2.4
Linux 2.4
 
Messaggi: 407
Iscritto il: dom gen 06, 2008 11:46
Slackware: 14.1
Kernel: 3.10.17-smp
Desktop: Xfce 4.10

Re: ClamAV per scandire partizione win

Messaggioda joe » sab feb 09, 2013 14:17

Forse ho risolto, ameno in parte.
In pratica la dir /usr/share/clamv non esisteva... forse il packager di clamav qui su slacky potrebbe rivedere il pacchetto creato, non so... la butto lì.
Codice: Seleziona tutto
root@darkstar:~# freshclam -v
ERROR: Can't change dir to /usr/share/clamav
root@darkstar:~# mkdir /usr/share/clamav
root@darkstar:~# freshclam -v
Current working dir is /usr/share/clamav
Max retries == 3
ERROR: Can't create temporary directory /usr/share/clamav/clamav-d148b5df611b58b6f8a8af4f55f19260
Hint: The database directory must be writable for UID 210 or GID 210
root@darkstar:~# chown -R 210:210 /usr/share/clamav
root@darkstar:~# freshclam -v
Current working dir is /usr/share/clamav
Max retries == 3
ClamAV update process started at Sat Feb  9 13:48:32 2013
Using IPv6 aware code
Querying current.cvd.clamav.net
TTL: 667
Software version from DNS: 0.97.6
Retrieving http://db.XY.clamav.net/main.cvd
WARNING: Can't get information about db.XY.clamav.net: Name or service not known
WARNING: Can't download main.cvd from db.XY.clamav.net
Trying again in 5 secs...
ClamAV update process started at Sat Feb  9 13:48:38 2013
Using IPv6 aware code
Querying current.cvd.clamav.net
TTL: 675
Software version from DNS: 0.97.6
Retrieving http://db.XY.clamav.net/main.cvd
WARNING: Can't get information about db.XY.clamav.net: Name or service not known
WARNING: Can't download main.cvd from db.XY.clamav.net
Trying again in 5 secs...
ClamAV update process started at Sat Feb  9 13:48:44 2013
Using IPv6 aware code
Querying current.cvd.clamav.net
TTL: 669
Software version from DNS: 0.97.6
Retrieving http://db.XY.clamav.net/main.cvd
ERROR: Can't get information about db.XY.clamav.net: Name or service not known
ERROR: Can't download main.cvd from db.XY.clamav.net
Giving up on db.XY.clamav.net...
ClamAV update process started at Sat Feb  9 13:48:44 2013
Using IPv6 aware code
Querying current.cvd.clamav.net
TTL: 654
Software version from DNS: 0.97.6
Retrieving http://database.clamav.net/main.cvd
Trying to download http://database.clamav.net/main.cvd (IP: 194.8.197.22)
Downloading main.cvd [100%]
Loading signatures from main.cvd
Properly loaded 1044387 signatures from new main.cvd
main.cvd updated (version: 54, sigs: 1044387, f-level: 60, builder: sven)
Querying main.54.67.1.0.194.8.197.22.ping.clamav.net
Retrieving http://database.clamav.net/daily.cvd
Trying to download http://database.clamav.net/daily.cvd (IP: 194.8.197.22)
Downloading daily.cvd [100%]
Loading signatures from daily.cvd
Properly loaded 732341 signatures from new daily.cvd
daily.cvd updated (version: 16651, sigs: 732341, f-level: 63, builder: neo)
Querying daily.16651.67.1.0.194.8.197.22.ping.clamav.net
Retrieving http://database.clamav.net/bytecode.cvd
Trying to download http://database.clamav.net/bytecode.cvd (IP: 194.8.197.22)
Downloading bytecode.cvd [100%]
Loading signatures from bytecode.cvd
Properly loaded 39 signatures from new bytecode.cvd
bytecode.cvd updated (version: 210, sigs: 39, f-level: 63, builder: neo)
Querying bytecode.210.67.1.0.194.8.197.22.ping.clamav.net
Database updated (1776767 signatures) from database.clamav.net (IP: 194.8.197.22)

Ok sembra che il database virus sia stato aggiornato.
Ora provo a lanciare una scansione sulla partizione windows montata in /mnt/tmp
Avatar utente
joe
Master
Master
 
Messaggi: 1950
Iscritto il: ven apr 27, 2007 10:21
Slackware: 14.0
Kernel: 3.2.29-smp
Desktop: KDE-4.8.5

Re: ClamAV per scandire partizione win

Messaggioda joe » sab feb 09, 2013 15:43

Scansione completata:
Codice: Seleziona tutto

----------- SCAN SUMMARY -----------
Known viruses: 1771364
Engine version: 0.97.6
Scanned directories: 5722
Scanned files: 76950
Infected files: 33
Data scanned: 13550.84 MB
Data read: 35090.37 MB (ratio 0.39:1)
Time: 2718.224 sec (45 m 18 s)
root@darkstar:~#

Quindi risultano ben 33 files infetti... wow... :o
E ora che si fà?
probabilmente ci sarà un log dettagliato immagino...

Ah... il comando usato è stato semplicemente
Codice: Seleziona tutto
clamscan -r /mnt/tmp/
.
Avatar utente
joe
Master
Master
 
Messaggi: 1950
Iscritto il: ven apr 27, 2007 10:21
Slackware: 14.0
Kernel: 3.2.29-smp
Desktop: KDE-4.8.5

Re: ClamAV per scandire partizione win

Messaggioda sixjan » sab feb 09, 2013 15:54

Occhio! clamscan non ripulisce i file, ma li elimina o li sposta. Quindi se sono file di sistema infetti ti può 'saltare' tutto windows. Nel tuo caso, visto che non hai dato altre opzioni oltre a -r, te li ha solo segnalati. Fai clamscan -h per vedere tutte le opzioni di rimozione, spostamento, log, etc etc.

p.s. ho visto il log dell'aggiornamento di freshclam. Se vuoi risparmiare tempo devi settare la voce:

DatabaseMirror db.XY.clamav.net

nel file freshclam.conf

sostituendo XY con la sigla di una nazione, per esempio de, it, se, etc etc
sixjan
Linux 2.4
Linux 2.4
 
Messaggi: 407
Iscritto il: dom gen 06, 2008 11:46
Slackware: 14.1
Kernel: 3.10.17-smp
Desktop: Xfce 4.10

Re: ClamAV per scandire partizione win

Messaggioda joe » sab feb 09, 2013 21:21

Ok. Grazie.
Ho rilanciato clamav:
Codice: Seleziona tutto
clamscan -i -l /tmp/clamscan.log  -r /mnt/tmp/

Ha prodotto un file di log contenete unicamente i files infetti.
Nel mio caso son praticamente tutti riferiti ad un programma, tale "fanatic television" e sono del tipo:
/mnt/tmp/Qoobox/Quarantine/C/Programmi/TelevisionFanatic/bar/1.bin/64auxstb.dll.vir: Adware.MyWebSearch-18 FOUND

Forse e dico forse, potrei provare a disinstallare quel programma da windows prima di cancellare quei files direttamente da linux.... Mi sembra più pulita come soluzione, sempre che si riesca.

Poi è stato rilevato anche un file presente in una directory delle mail:
Drafts.imm: Heuristics.Phishing.Email.SpoofedDomain FOUND

Quello potrei cancellarlo senza farmi tanti problemi con un bel rm lanciato direttamente qui dal pinguino.

Cosa ne pensate?
Avatar utente
joe
Master
Master
 
Messaggi: 1950
Iscritto il: ven apr 27, 2007 10:21
Slackware: 14.0
Kernel: 3.2.29-smp
Desktop: KDE-4.8.5

Re: ClamAV per scandire partizione win

Messaggioda joe » sab feb 09, 2013 21:21

Ok. Grazie.
Ho rilanciato clamav:
Codice: Seleziona tutto
clamscan -i -l /tmp/clamscan.log  -r /mnt/tmp/

Ha prodotto un file di log contenete unicamente i files infetti.
Nel mio caso son praticamente tutti riferiti ad un programma, tale "fanatic television" e sono del tipo:
/mnt/tmp/Qoobox/Quarantine/C/Programmi/TelevisionFanatic/bar/1.bin/64auxstb.dll.vir: Adware.MyWebSearch-18 FOUND

Forse e dico forse, potrei provare a disinstallare quel programma da windows prima di cancellare quei files direttamente da linux.... Mi sembra più pulita come soluzione, sempre che si riesca.

Poi è stato rilevato anche un file presente in una directory delle mail:
Drafts.imm: Heuristics.Phishing.Email.SpoofedDomain FOUND

Quello potrei cancellarlo senza farmi tanti problemi con un bel rm lanciato direttamente qui dal pinguino.

Cosa ne pensate?
Avatar utente
joe
Master
Master
 
Messaggi: 1950
Iscritto il: ven apr 27, 2007 10:21
Slackware: 14.0
Kernel: 3.2.29-smp
Desktop: KDE-4.8.5


Torna a Gnu/Linux in genere

Chi c’è in linea

Visitano il forum: Google [Bot] e 1 ospite