bolug bonner linux user group
news about wissen files archive hilfe suchen  

 

archive :: SchAN-User

druckfassung

SchAN-User

Re: [Schan-user] Fehler bei clamscan

To: schan-user@xxxxxxxxxxxxxxxxx
Subject: Re: [Schan-user] Fehler bei clamscan
From: hhullen@xxxxxxxxxxxx (Helmut Hullen)
Date: 20 Dec 2011 11:02:00 +0100
Hallo, Andrea,

Du meintest am 20.12.11:

> ich habe jetzt den neuen clamscan (clamscan --version liefert: ClamAV
> 0.97.3/14140/Mon Dec 19 15:45:05 2011) installiert und ihn heute
> Nacht laufen lassen. Und das scheint funktioniert zu haben! 
>  
> Allerdings habe ich bisher nach dem Scan immer an root eine Mail mit
> dem Verlauf geschickt bekommen - das ist dieses Mal aber nicht
> geschehen. Jedoch gibt es eine clamscan.log (heute Nacht angelegt),
> in der folgendes steht:  
> /platte2/backup/hourly.0/var/lib/infected/jwgkvsq.vmx:
> Worm.Downadup-24 FOUND
> /platte2/backup/hourly.0/var/lib/infected/siteuser.html:
> HTML.Fakesec-6 FOUND
> /platte2/backup/hourly.0/var/lib/infected/192_168_0_248.html:
> HTML.Fakesec-6 FOUND

> In dem besagten Verzeichnis befinden sich auch die 3 Dateien, ebenso
> wie in /var/lib/infected selbst.
>  
> Bei den beiden html-Dateien handelt es sich um den Squid User Access
> Report vomm 7.12.2011.

Das könnten Fehlalarme sein - kannst Du mir mal eine dieser Dateien  
zuschicken?

Ach ja: Du solltest einen puren "clamscan"-Lauf so einstellen, dass er  
"/platte2/backup" nicht durchsucht. Im speziellen Fall hat "clamscan"  
nämlich das Quarantäne-Verezichnis noch mal durchsucht - muss nicht  
sein.

> Mit der vmx-Datei kann ich gar nichts anfangen.   

Die gefällt mir überhaupt nicht ... "Worm.Downadup-24" ist "conficker".

   http://de.wikipedia.org/wiki/Conficker

Damit haben sich auch einige Kollegen schon abquälen müssen. Häufigste  
Einflugschneise: USB-Stick.

Bereinigung:

   http://arktur.de/Wiki/Zusatzprogramme:Virenschutz#conficker

Und (mit aller Vorsicht): auch hier, auch auf vielen anderen Rechnern  
läuft "S.A.R.G" und produziert "Squid reports" mitsamt der Datei  
"siteuser.html". Wenn diese Datei auf Deinem Rechner beanstandet wird,  
dann könnte sie einzig auf Deinem Rechner verunziert worden sein - das  
lässt sich aber prüfen.

Kannst Du mir bitteschön für meinen Giftschrank auch die *.vmx"-Datei  
zuschicken?

> Reicht es die 3 Dateien jetzt zu löschen?

Sie sind erst mal faktisch (für mögliche böse Buben) unerreichbar  
geworden - damit ist die (theoretisch) grösste Gefahr schon mal  
beseitigt.
Mindestens ab und zu solltest Du das Quarantäne-Verzeichnis auch  
überarbeiten. Was wegen Fehlalarm dorthin verschoben wird, sollte  
nämlich ggfs. wieder zurückgeschoben werden.

Speziell "Conficker": wenn der Virus in eurem Netz werkelt, dann ist  
Arktur nicht davon befallen, sondern nur "Wirtstier". Ist immer noch  
lästig ...

--------------------------------------

Ein indirektes Indiz für Conficker könnte auch unterhalb von "/var/log/ 
samba" zu finden sein; befallene Rechner können/könnten in ihrer  
Logdatei unentwegt maulen, dass sie eine bestimmte Datei oder ein  
bestimmtes Verezichnis nicht erreichen können.

Viele Gruesse!
Helmut

_______________________________________________
schan-user mailing list
schan-user@xxxxxxxxxxxxxxxxx
http://www.heise.de/bin/newsletter/listinfo/schan-user

 « Vorige im Thread  Dieser Thread  Nächste im Thread » 

 

seitenanfang


 

news about wissen files archive hilfe suchen  
kontakt letzte änderung: 20.12.2011