ClamAV Virus Erkennung steigern unter Debian 10 mit inoffiziellen Signaturen
Durch Hinzufügen der inoffiziellen ClamAV Signaturen kann die Virenerkennung gesteigert werden auf Linux Systemen. In diesem Artikel beschreibe ich , wie ihr auf einem Debian System dies umsetzen könnt. Die zusätzlichen Signaturen werden von ein paar Sicherheitsgruppen wie Sanesecurity, FOXHOLE, OITC, Scamnailer, BOFHLAND, CRDF, Porcupine, Yara-Rules Project. Es werden Sicherheitsrisiken wie TeslaCrypt, Cryptowall, Cryptolocker und andere Ransomware besser erkannt als in der offiziellen Version des ClamAV Projekts. Somit erhält der Server Administrator auf einem Mailserver einen besseren Schutz seiner Mailuser vor gefährlichen Anhängen im E-Mail Postfach. Diese Anleitung kann ohne Probleme auch auf einem fertig Installierten ISPConfig3 Server genutzt werden.
Diese Anleitung wurde für Debian 10 (Buster) geschrieben, aber die Konfiguration sollte mit kleinen Änderungen auch für andere Debian basierte Distributionen wie Ubuntu gelten.
1. Benötigte Paket Installation
Wir Installieren folgende Pakete
apt-get install rsync wget unzip dnsutils
Nun laden uns das Script herunter in den Ordner tmp und entpacken es und geben den Scripten Berechtigungen
cd /tmp wget https://github.com/extremeshok/clamav-unofficial-sigs/archive/master.zip unzip master.zip cd clamav-unofficial-sigs-master/ cp -f clamav-unofficial-sigs.sh /usr/local/bin/ chmod 755 /usr/local/bin/clamav-unofficial-sigs.sh mkdir /etc/clamav-unofficial-sigs/ cp -r config/* /etc/clamav-unofficial-sigs/ cd /etc/clamav-unofficial-sigs/
Unter dem Ordner /etc/clamav-unofficial-sigs/os sehen wir alle Unterstützen Systeme
ls /etc/clamav-unofficial-sigs/os os.alpine.conf os.centos7-cpanel.conf os.debian.conf os.mailcleaner.conf os.slackware.conf os.archlinux.conf os.centos.conf os.fedora.conf os.openbsd.conf os.solaris10.conf os.centos6.conf os.debian7.conf os.freebsd.conf os.opensuse.conf os.solaris11.conf os.centos6-cpanel.conf os.debian8.conf os.gentoo.conf os.pfsense.conf os.ubuntu.conf os.centos7-atomic.conf os.debian8.systemd.conf os.macos.conf os.raspbian.conf os.zimbra.conf
Da wir ein Debian 10 in diesem Fall nutzen nehmen wir die Config os.debian.conf und schreiben Sie in os.conf
cp /etc/clamav-unofficial-sigs/os/os.debian.conf /etc/clamav-unofficial-sigs/os.conf
2. Erkennungsrate Einstellen in der user.conf für die ClamAV virus Erkennung
Wir modifizieren die user.conf an
nano /etc/clamav-unofficial-sigs/user.conf
Die Erkennung unterscheidet nun drei Optionen, leicht – Mittel und Hoch. Ich würde empfehlen die Einstellung auf mittel zu stellen.
# Default dbs rating # valid rating: LOW, MEDIUM, HIGH default_dbs_rating="MEDIUM" # Uncomment the following line to enable the script user_configuration_complete="yes"
Der folgende Befehl muss als Superuser ausgeführt werden und erstellt alle Berechtigungen und erstellt die weiteren Ordner
/usr/local/bin/clamav-unofficial-sigs.sh --force
3. Installieren der Cronjobs für die automatische Aktualisierung der Signaturen und Logfile Rotation
/usr/local/bin/clamav-unofficial-sigs.sh –install-cron /usr/local/bin/clamav-unofficial-sigs.sh –install-logrotate /usr/local/bin/clamav-unofficial-sigs.sh –install-man
Im Ordner /var/lib/clamav findet ihr nun die zusätzlichen Signaturen
ls /var/lib/clamav badmacro.ndb Email_fake_it_maintenance_bulletin.yar rogue.hdb bank_rule.yar Email_quota_limit_warning.yar sanesecurity.ftm blurl.ndb email_Ukraine_BE_powerattack.yar Sanesecurity_sigtest.yara bofhland_cracked_URL.ndb foxhole_filename.cdb Sanesecurity_spam.yara bofhland_malware_attach.hdb foxhole_generic.cdb scam.ndb bofhland_malware_URL.ndb foxhole_js.cdb scam.yar bofhland_phishing_URL.ndb foxhole_js.ndb shelter.ldb bytecode.cld hackingteam.hsb sigwhitelist.ign2 CVE-2010-0805.yar interserver256.hdb spamattach.hdb CVE-2010-0887.yar interservertopline.db spamimg.hdb CVE-2010-1297.yar junk.ndb spam.ldb CVE-2012-0158.yar jurlbla.ndb spearl.ndb CVE-2013-0074.yar jurlbl.ndb spear.ndb CVE-2013-0422.yar lott.ndb whitelist.fp CVE-2015-1701.yar main.cvd winnow.attachments.hdb CVE-2015-2426.yar malwarehash.hsb winnow_bad_cw.hdb CVE-2015-2545.yar mirrors.dat winnow.complex.patterns.ldb CVE-2015-5119.yar MiscreantPunch099-Low.ldb winnow_extended_malware.hdb CVE-2016-5195.yar phish.ndb winnow_extended_malware_links.ndb CVE-2017-11882.yar phishtank.ndb winnow_malware.hdb CVE-2018-20250.yar porcupine.hsb winnow_malware_links.ndb CVE-2018-4878.yar porcupine.ndb winnow_phish_complete_url.ndb daily.cld rfxn.hdb winnow_spam_complete.ndb EK_BleedingLife.yar rfxn.ndb WShell_ASPXSpy.yar EMAIL_Cryptowall.yar rfxn.yara WShell_Drupalgeddon2_icos.yar
4. Systemd
Für Systemd Installieren wir noch folgendes
mkdir -p /etc/systemd/system/ wget https://raw.githubusercontent.com/extremeshok/clamav-unofficial-sigs/master/systemd/clamav-unofficial-sigs.service -O /etc/systemd/system/clamav-unofficial-sigs.service wget https://raw.githubusercontent.com/extremeshok/clamav-unofficial-sigs/master/systemd/clamav-unofficial-sigs.timer -O /etc/systemd/system/clamav-unofficial-sigs.timer systemctl enable clamav-unofficial-sigs.service systemctl enable clamav-unofficial-sigs.timer systemctl start clamav-unofficial-sigs.timer
Links:
[über den Autor ]
Alexander Fox unterstützt HowToForge und das ISPConfig Projekt seit vielen Jahren. Er ist Administrator für Linux Mail und Webserver mit einer Erfahrung aus über 15 Jahren.