ClamAV per scandire partizione win

Postate qui per tutte le discussioni legate a Linux in generale.

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Per evitare confusione prego inserire in questo forum solo topic che riguardano appunto Gnu/Linux in genere, se l'argomento è specifico alla Slackware usate uno dei forum Slackware o Slackware64.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Rispondi
Avatar utente
joe
Iper Master
Iper Master
Messaggi: 3789
Iscritto il: ven 27 apr 2007, 11:21
Slackware: 15.0
Kernel: 5.15.38
Desktop: dwm

ClamAV per scandire partizione win

Messaggio da joe »

Come da oggetto vorrei usare clamav per effettuare una scansione sulla partizione di windows.
Sull'attuale PC infatti ho installato un dualboot windows/slackware.

Su slackware 14.0 ho installato clamav dal pacchetto di slacky.eu.
Ma, domanda banale come faccio a fare partire l'aggiornamento delle definizioni e la scansione dell'altra partizione?
Devo prima configurare qualcosa?
Oppure il pacchetto di slacky ha già impostato qualcosa per me?

Ho dato un'occhiata al man di freshclam e clamscan, ma non riesco a farli funzionare:
Ad esempio:

Codice: Seleziona tutto

root@darkstar:~# mount -t ntfs-3g /dev/sda1 /mnt/tmp/
root@darkstar:~# clamscan -r /mnt/tmp/
LibClamAV Error: cl_load(): Can't get status of /var/lib/clamav
ERROR: Can't get file status

----------- SCAN SUMMARY -----------
Known viruses: 0
Engine version: 0.97.6
Scanned directories: 0
Scanned files: 0
Infected files: 0
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 0.00:1)
Time: 0.089 sec (0 m 0 s)
Oppure:

Codice: Seleziona tutto

# freshclam   
ERROR: Can't change dir to /usr/share/clamav
Avreste qualche dritta?
Grazie in anticipo! :D

sixjan
Linux 2.x
Linux 2.x
Messaggi: 413
Iscritto il: dom 6 gen 2008, 11:46
Slackware: 14.1
Kernel: 3.10.17-smp
Desktop: Xfce 4.10

Re: ClamAV per scandire partizione win

Messaggio da sixjan »

Sembra un problema di permessi, anche se paradossalmente lo esegui come root.

http://www.clamav.net/doc/latest/html/node14.html

Io però non so come sia stato compilato e preconfigurato il pacchetto che hai scaricato.
Io installo dai sorgenti. Leggi la documentazione. Comunque il problema mi pare proprio quello
dei permessi.

Avatar utente
joe
Iper Master
Iper Master
Messaggi: 3789
Iscritto il: ven 27 apr 2007, 11:21
Slackware: 15.0
Kernel: 5.15.38
Desktop: dwm

Re: ClamAV per scandire partizione win

Messaggio da joe »

Forse ho risolto, ameno in parte.
In pratica la dir /usr/share/clamv non esisteva... forse il packager di clamav qui su slacky potrebbe rivedere il pacchetto creato, non so... la butto lì.

Codice: Seleziona tutto

root@darkstar:~# freshclam -v
ERROR: Can't change dir to /usr/share/clamav
root@darkstar:~# mkdir /usr/share/clamav
root@darkstar:~# freshclam -v
Current working dir is /usr/share/clamav
Max retries == 3 
ERROR: Can't create temporary directory /usr/share/clamav/clamav-d148b5df611b58b6f8a8af4f55f19260
Hint: The database directory must be writable for UID 210 or GID 210
root@darkstar:~# chown -R 210:210 /usr/share/clamav
root@darkstar:~# freshclam -v
Current working dir is /usr/share/clamav
Max retries == 3 
ClamAV update process started at Sat Feb  9 13:48:32 2013
Using IPv6 aware code
Querying current.cvd.clamav.net
TTL: 667
Software version from DNS: 0.97.6
Retrieving http://db.XY.clamav.net/main.cvd
WARNING: Can't get information about db.XY.clamav.net: Name or service not known
WARNING: Can't download main.cvd from db.XY.clamav.net
Trying again in 5 secs...
ClamAV update process started at Sat Feb  9 13:48:38 2013
Using IPv6 aware code
Querying current.cvd.clamav.net
TTL: 675
Software version from DNS: 0.97.6
Retrieving http://db.XY.clamav.net/main.cvd
WARNING: Can't get information about db.XY.clamav.net: Name or service not known
WARNING: Can't download main.cvd from db.XY.clamav.net
Trying again in 5 secs...
ClamAV update process started at Sat Feb  9 13:48:44 2013
Using IPv6 aware code
Querying current.cvd.clamav.net
TTL: 669
Software version from DNS: 0.97.6
Retrieving http://db.XY.clamav.net/main.cvd
ERROR: Can't get information about db.XY.clamav.net: Name or service not known
ERROR: Can't download main.cvd from db.XY.clamav.net
Giving up on db.XY.clamav.net...
ClamAV update process started at Sat Feb  9 13:48:44 2013
Using IPv6 aware code
Querying current.cvd.clamav.net
TTL: 654
Software version from DNS: 0.97.6
Retrieving http://database.clamav.net/main.cvd
Trying to download http://database.clamav.net/main.cvd (IP: 194.8.197.22)
Downloading main.cvd [100%]
Loading signatures from main.cvd
Properly loaded 1044387 signatures from new main.cvd
main.cvd updated (version: 54, sigs: 1044387, f-level: 60, builder: sven)
Querying main.54.67.1.0.194.8.197.22.ping.clamav.net
Retrieving http://database.clamav.net/daily.cvd
Trying to download http://database.clamav.net/daily.cvd (IP: 194.8.197.22)
Downloading daily.cvd [100%]
Loading signatures from daily.cvd
Properly loaded 732341 signatures from new daily.cvd
daily.cvd updated (version: 16651, sigs: 732341, f-level: 63, builder: neo)
Querying daily.16651.67.1.0.194.8.197.22.ping.clamav.net
Retrieving http://database.clamav.net/bytecode.cvd
Trying to download http://database.clamav.net/bytecode.cvd (IP: 194.8.197.22)
Downloading bytecode.cvd [100%]
Loading signatures from bytecode.cvd
Properly loaded 39 signatures from new bytecode.cvd
bytecode.cvd updated (version: 210, sigs: 39, f-level: 63, builder: neo)
Querying bytecode.210.67.1.0.194.8.197.22.ping.clamav.net
Database updated (1776767 signatures) from database.clamav.net (IP: 194.8.197.22)
Ok sembra che il database virus sia stato aggiornato.
Ora provo a lanciare una scansione sulla partizione windows montata in /mnt/tmp

Avatar utente
joe
Iper Master
Iper Master
Messaggi: 3789
Iscritto il: ven 27 apr 2007, 11:21
Slackware: 15.0
Kernel: 5.15.38
Desktop: dwm

Re: ClamAV per scandire partizione win

Messaggio da joe »

Scansione completata:

Codice: Seleziona tutto


----------- SCAN SUMMARY -----------
Known viruses: 1771364
Engine version: 0.97.6
Scanned directories: 5722
Scanned files: 76950
Infected files: 33
Data scanned: 13550.84 MB
Data read: 35090.37 MB (ratio 0.39:1)
Time: 2718.224 sec (45 m 18 s)
root@darkstar:~# 
Quindi risultano ben 33 files infetti... wow... :o
E ora che si fà?
probabilmente ci sarà un log dettagliato immagino...

Ah... il comando usato è stato semplicemente

Codice: Seleziona tutto

clamscan -r /mnt/tmp/
.

sixjan
Linux 2.x
Linux 2.x
Messaggi: 413
Iscritto il: dom 6 gen 2008, 11:46
Slackware: 14.1
Kernel: 3.10.17-smp
Desktop: Xfce 4.10

Re: ClamAV per scandire partizione win

Messaggio da sixjan »

Occhio! clamscan non ripulisce i file, ma li elimina o li sposta. Quindi se sono file di sistema infetti ti può 'saltare' tutto windows. Nel tuo caso, visto che non hai dato altre opzioni oltre a -r, te li ha solo segnalati. Fai clamscan -h per vedere tutte le opzioni di rimozione, spostamento, log, etc etc.

p.s. ho visto il log dell'aggiornamento di freshclam. Se vuoi risparmiare tempo devi settare la voce:

DatabaseMirror db.XY.clamav.net

nel file freshclam.conf

sostituendo XY con la sigla di una nazione, per esempio de, it, se, etc etc

Avatar utente
joe
Iper Master
Iper Master
Messaggi: 3789
Iscritto il: ven 27 apr 2007, 11:21
Slackware: 15.0
Kernel: 5.15.38
Desktop: dwm

Re: ClamAV per scandire partizione win

Messaggio da joe »

Ok. Grazie.
Ho rilanciato clamav:

Codice: Seleziona tutto

clamscan -i -l /tmp/clamscan.log  -r /mnt/tmp/
Ha prodotto un file di log contenete unicamente i files infetti.
Nel mio caso son praticamente tutti riferiti ad un programma, tale "fanatic television" e sono del tipo:
/mnt/tmp/Qoobox/Quarantine/C/Programmi/TelevisionFanatic/bar/1.bin/64auxstb.dll.vir: Adware.MyWebSearch-18 FOUND

Forse e dico forse, potrei provare a disinstallare quel programma da windows prima di cancellare quei files direttamente da linux.... Mi sembra più pulita come soluzione, sempre che si riesca.

Poi è stato rilevato anche un file presente in una directory delle mail:
Drafts.imm: Heuristics.Phishing.Email.SpoofedDomain FOUND

Quello potrei cancellarlo senza farmi tanti problemi con un bel rm lanciato direttamente qui dal pinguino.

Cosa ne pensate?

Avatar utente
joe
Iper Master
Iper Master
Messaggi: 3789
Iscritto il: ven 27 apr 2007, 11:21
Slackware: 15.0
Kernel: 5.15.38
Desktop: dwm

Re: ClamAV per scandire partizione win

Messaggio da joe »

Ok. Grazie.
Ho rilanciato clamav:

Codice: Seleziona tutto

clamscan -i -l /tmp/clamscan.log  -r /mnt/tmp/
Ha prodotto un file di log contenete unicamente i files infetti.
Nel mio caso son praticamente tutti riferiti ad un programma, tale "fanatic television" e sono del tipo:
/mnt/tmp/Qoobox/Quarantine/C/Programmi/TelevisionFanatic/bar/1.bin/64auxstb.dll.vir: Adware.MyWebSearch-18 FOUND

Forse e dico forse, potrei provare a disinstallare quel programma da windows prima di cancellare quei files direttamente da linux.... Mi sembra più pulita come soluzione, sempre che si riesca.

Poi è stato rilevato anche un file presente in una directory delle mail:
Drafts.imm: Heuristics.Phishing.Email.SpoofedDomain FOUND

Quello potrei cancellarlo senza farmi tanti problemi con un bel rm lanciato direttamente qui dal pinguino.

Cosa ne pensate?

Rispondi