我已经设置了一个新的电子邮件服务器,现在我需要测试 Clam Antivirus 是否正确扫描邮件。
我应该如何以安全和可控的方式做到这一点?
问题是clamav-daemon几乎每天都重新启动:
Sep 1 06:30:00 x-master clamd[6778]: Pid file removed.
clamd[6778]: --- Stopped at Tue Sep 1 06:30:00 2015
clamd[5979]: clamd daemon 0.98.7 (OS: linux-gnu, ARCH: x86_64, CPU: x86_64)
clamd[5979]: Running as user root (UID 0, GID 0)
clamd[5979]: Log file size limited to 4294967295 bytes.
clamd[5979]: Reading databases from /var/lib/clamav
clamd[5979]: Not loading PUA signatures.
clamd[5979]: Bytecode: Security mode set to "TrustSigned".
如果clamdscan正在运行,则会导致问题:
/etc/cron.daily/clamav_scan:
ERROR: Could not connect to clamd on x.x.x.x: …今天 clamAV 扫描了我的 AWS 实例,并在每个实例上检测到 24 个受感染的文件。由于以下几个原因,它看起来像是误报:
那么,我的问题是,在这种情况下我的下一步应该是什么?我应该删除这些文件吗?据我了解,它们可能是其他应用程序可以使用的系统文件。
2023-06-07T13:03:41.658+03:00 /snap/amazon-ssm-agent/6563/amazon-ssm-agent: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:03:42.909+03:00 /snap/amazon-ssm-agent/6563/ssm-agent-worker: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:03:44.659+03:00 /snap/amazon-ssm-agent/6563/ssm-cli: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:03:45.660+03:00 /snap/amazon-ssm-agent/6563/ssm-document-worker: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:03:46.910+03:00 /snap/amazon-ssm-agent/6563/ssm-session-logger: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:03:47.910+03:00 /snap/amazon-ssm-agent/6563/ssm-session-worker: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:03:49.411+03:00 /snap/amazon-ssm-agent/6312/amazon-ssm-agent: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:03:50.662+03:00 /snap/amazon-ssm-agent/6312/ssm-agent-worker: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:03:51.912+03:00 /snap/amazon-ssm-agent/6312/ssm-cli: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:03:52.912+03:00 /snap/amazon-ssm-agent/6312/ssm-document-worker: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:03:53.913+03:00 /snap/amazon-ssm-agent/6312/ssm-session-logger: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:03:55.413+03:00 /snap/amazon-ssm-agent/6312/ssm-session-worker: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:03:56.695+03:00 /snap/lxd/24061/bin/lxc: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:03:57.414+03:00 /snap/lxd/24061/bin/lxc-to-lxd: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:03:58.164+03:00 /snap/lxd/24061/bin/lxd-agent: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:03:58.915+03:00 /snap/lxd/24061/bin/lxd-benchmark: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:04:01.666+03:00 /snap/lxd/24061/bin/lxd-migrate: …我一直在做关于保护 linux web 服务器的“广泛”研究。除了所谓的“基础”(删除未使用的服务、强化 ssh、iptables 等)之外,包括反 rootkits (Tripwire) 和反病毒 (ClamAV) 是否明智?这些对于网络服务器来说是否太过分了?我知道这是一个非常模糊的问题,但我很好奇其他人的意见。
我未来的环境: - ubuntu 10.04 - fail2ban - nginx 0.8.x - php 5.3.x (suhosin, apc, memcached) - mongodb 1.6.x
可能的应用: - 网络服务 - 用户上传的网络应用程序(图片、pdf 等) - 典型网站(表格等)
如果您有任何其他提示,请随时添加!
谢谢
Clamd 在我的专用服务器(运行 linux)上占用了大约 5% 的内存(2GB),我想知道是否可以在没有任何安全风险的情况下禁用它。
该服务器仅托管我自己的一些网站。在大多数情况下,接收和发送的电子邮件是通过 gmail(连接到我的 pop3 帐户)完成的。
唯一的其他电子邮件用例是我的一个网站解析所有电子邮件并获取附加图像和主题行。
如果我禁用了 clamd,会不会有任何安全/病毒感染的风险?
自从升级到 Debian 8 以来,我的系统日志充满了
...freshclam[17851]: WARNING: Your ClamAV installation is OUTDATED!
...freshclam[17851]: WARNING: Local version: 0.98.7 Recommended version: 0.99
...freshclam[17851]: DON'T PANIC! Read http://www.clamav.net/support/faq
在尽量不要惊慌的同时,按照指示,我点击了链接。这就是 404!恐慌![玩笑。编辑:此链接现在有效。]
病毒扫描程序需要定期更新,而这些更新不会频繁地使其进入 Debian 稳定版。在过去的日子里,我们在 Debian 中有一个用于病毒检查程序等的“易变”存储库,然后我们为 Wheezy 提供了解决方法。杰西,Debian 8 怎么样?
理想情况下,我想坚持使用 apt 进行包管理,尤其是当我为安全更新运行无人值守升级时。
安装 Modoboa(开源邮件托管)后,我尝试启动 clamav-daemon,但遇到启动失败的情况。
\n systemctl status clamav-daemon.service\n clamav-daemon.service - Clam AntiVirus userspace daemon\n Loaded: loaded (/lib/systemd/system/clamav-daemon.service; enabled; vendor preset: enabled)\n Drop-In: /etc/systemd/system/clamav-daemon.service.d\n \xe2\x94\x94\xe2\x94\x80extend.conf\n Active: inactive (dead)\nCondition: start condition failed at Fri 2021-01-15 04:19:06 EST; 33min ago\n \xe2\x94\x94\xe2\x94\x80 ConditionPathExistsGlob=/var/lib/clamav/daily.{c[vl]d,inc} was not met\n下面显示了问题,conditionPathExistsGlob=/var/lib/clamav/daily.{c[vl]d,inc} 未满足。\n我无法使用 systemctl 或其他命令启动服务。\n经过一些故障排除后,我发现 /var/lib/clamav 是空的,应该有一些 .cvd 更新文件。\n而且我无法使用此命令更新 clamav(显示 403 错误):
\nsudo clamav-freshclam\n我现在能做什么?
\n我正在尝试配置一个病毒扫描代理服务器,专门用于扫描正在上传的文件。正在下载的扫描苍蝇似乎是常见的用例,并且似乎有据可查。
不是鱿鱼或 i-cap 专家,我正在使用这些指南中的信息:
http://www.server-world.info/en/note?os=Ubuntu_11.04&p=clamav http://squidclamav.darold.net/installv6.html
A/V 代理在文件下载时按预期工作,但不适用于文件上传。 我错过了什么?
这是 squid.conf 中的 i-cap 配置:
icap_enable on
icap_send_client_ip on
icap_send_client_username on
icap_client_username_encode off
icap_client_username_header X-Authenticated-User
icap_preview_enable on
icap_preview_size 1024
icap_service service_req reqmod_precache bypass=1 icap://127.0.0.1:1344/squidclamav
adaptation_access service_req allow all
icap_service service_resp respmod_precache bypass=1 icap://127.0.0.1:1344/squidclamav
adaptation_access service_resp allow all
如果我可以提供任何其他信息来帮助找到这个问题的根源,请告诉我。
我正在尝试让 Clamav-daemon 在 Debian 8 系统上运行,以便它侦听 TCP 端口 3310。我已完成以下操作:
aptitude install clamav-daemon
然后进行修改/etc/clamav/clamd.conf,使其现在在顶部具有以下内容:
# Added by me
TCPSocket 3310
TCPAddr localhost
# Already existed
LocalSocket /var/run/clamav/clamd.ctl
FixStaleSocket true
LocalSocketGroup clamav
LocalSocketMode 666
使用重新启动服务service clamav-daemon restart。
我发现它netstat -tap | grep clam没有返回任何东西。运行ps aux | grep clam返回:
clamav 18559 11.4 10.3 649212 399604 ? Ssl 14:38 0:15 /usr/sbin/clamd --foreground=true
有一个自动生成的文件/etc/systemd/system/clamav-daemon.socket.d/extend.conf,其中包含:
[Socket]
ListenStream=
SocketUser=clamav
ListenStream=/var/run/clamav/clamd.ctl
SocketGroup=clamav
SocketMode=666
我在日志中唯一能看到的是:
TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket …在 fc29 上,我安装了 clamd 并且 clamd@scan.service 运行良好。clamdscan 可以为 root 运行,但不能为普通用户运行,即使添加到“clamscan”组后也是如此。
dnf list installed | grep clam
clamav.x86_64 0.101.0-3.fc29 @updates
clamav-filesystem.noarch 0.101.0-3.fc29 @updates
clamav-lib.x86_64 0.101.0-3.fc29 @updates
clamav-update.x86_64 0.101.0-3.fc29 @updates
clamd.x86_64 0.101.0-3.fc29 @updates
以 root 身份运行 clamdscan 效果很好
clamdscan --fdpass .
gpasswd -a reg_user clamscan
当以 clamscan 组中的用户身份运行时 -
clamdscan --fdpass .
ERROR: Could not connect to clamd on LocalSocket /var/run/clamd.scan/clamd.sock: Permission denied
仍然没有-
sudo -u reg_user clamdscan --fdpass .
ERROR: Could not connect to clamd on LocalSocket /var/run/clamd.scan/clamd.sock: Permission denied
不出所料- …