A ClamAV egy ingyenes és nyílt forráskódú víruskereső motor és a hozzá használható vírusadatbázis. A vírusadatbázist a hivatalos forrásból lehet frissíteni, de külsős beszállítóktól elérhetőek különféle extra adatbázisok a ClamAV veszélyfelismerési képességek bővítéséhez. Egy részük ingyenesen elérhető, míg másokért regisztrálni szükséges, illetve kaphatóak további adatbázisok előfizetési díj vagy támogatás ellenében is. A ClamAV vírusadatbázis frissítéséhez két külső eszköz használható:
Az alábbi adatbázisokat lehet kiegészítő veszélyfelismerési-adatbázisként bekötni:
-
Sanesecurity - támogatás küldése
A SaneSecurity egy olyan aláíráskészlet, amely az úgynevezett 0 napos és 0 órás rosszindulatú szoftverekre összpontosít, ami azt jelenti, hogy az e-mailben küldött új rosszindulatú fájlok hash-jait tartalmazza. Tartalmaz továbbá szignatúrákat a rosszindulatú URL-ekre, a gyakori spam- és adathalász üzenetekre, valamint általános aláírásokat, amelyek felismerik a rosszindulatú szoftverekben gyakran használt technikákat, például a dupla kiterjesztésű exe fájlokat (például pdf.exe), az ISO fájlokban elrejtett exe fájlokat és az MS Office makrók gyakran visszaélésre használt funkcióit. A Sanesecurity más forrásokból származó aláírásokat is terjeszt, például a phishtank.com adathalász URL-eket. A rendelkezésre álló aláírás-adatbázisok teljes listája megtalálható a weboldalukon.
-
SecuriteInfo - regisztráció - további előfizetési lehetőségek
A SecuriteInfo francia cég azt állítja, hogy a ClamAV definíciói 4.000.000 olyan rosszindulatú szoftver és spam szignatúrákat adnak hozzá, amelyeket a hivatalos ClamAV-aláírások nem észlelnek. A szignatúrákból ingyenesen elérhető ClamAV definíciós adatbázis, amely azonban csak 30 napnál régebbi szignatúrákat tartalmaz. A naprakész 0 napos rosszindulatú programok észleléséhez a fizetős csomagok egyikére van szüksége. A MalwareBazaar adatbázisában látható, hogy a SecuriteInfo gyakran az egyetlen olyan ClamAV definíciós adatbázis, amely felismeri a rosszindulatú Windows binárisokat.
-
URLhaus
Az URLHaus az abuse.ch projektje, amely a rosszindulatú szoftvereket terjesztő oldalak URL-címeit gyűjti össze. ClamAV definíciós adatbázist kínálnak ezekről a rosszindulatú URL-címekről, így blokkolhat minden olyan e-mailt, amely rosszindulatú szoftvereket terjesztő oldalakra mutató linkeket tartalmaz. Ez az adatbázis ingyenesen használható, kereskedelmi és nem kereskedelmi célokra egyaránt. -
Interserver
Egy másik, a rosszindulatú PHP-szkriptekre összpontosító ClamAV-aláírásokból álló készletet az InterServer tárhelyszolgáltató tart fenn. Nagyon ajánlom ezt a ClamAV definíciós adatbázist, ha a webszervereit szeretné átvizsgálni. -
Malwarepatrol - ingyenes előfizetés regisztráció - basic előfizetés regisztráció
A MalwarePatrol egy kereskedelmi fenyegetés-felderítő cég, amely ingyenes és fizetős adatfolyamokat kínál, beleértve a ClamAV vírusszignatúrákat, amelyek a világhálón található rosszindulatú szoftverfájlokra mutató URL-címeket tartalmaznak. Az ingyenes ClamAV definíciós adatbázis csak 72 óránként frissül, míg a fizetős ClamAV definíciós adatbázis 4 óránként. Ha Önnek előfizetésre van szüksége, vagy a ClamAV definíciós adatbázisokat a cége ügyfeleinek védelmére szeretné használni, akkor a kereskedelmi ClamAV definíciós adatbázisokat kell használnia. Legyen óvatos, amikor integrálja ezt a ClamAV definíciós adatbázist, téves risaztásokat is ad.
- Google SafeBrowsing adatbázis előállítása - főleg levelezőszerveren ajánlatos, 12 GB memóriát és mysql adatbázist igényel. Ez a megoldást a cikk nem tárgyalja.
- Yara rules szabálykészlet - ClamAV támogatás bevezetése
-
Malware Expert - előfizetés - 25 Euró havonta
A MalwareExpert a rosszindulatú PHP-fájlokat felismerő, fizetős, kereskedelmi forgalomban kapható szignatúrákat kínál, amelyek a webszerverek átvizsgálására szolgálnak. -
ditekshen
A ditekshen biztonsági kutató által készített ClamAV aláírások különböző Windows, MacOS és Linux trójaiak és ransomware-ek felismerését adják hozzá. -
twinwave
A Twinclams a TwinWave Security Github-tárháza, és a rosszindulatú MS Office-dokumentumokra vonatkozó aláírásokat tartalmaz. Úgy tűnik, hogy a twinclams szerzője a Clam-punch egyik szerzője. Ez a ClamAV vírusadatbázis naponta frissül, és nagyon hatékonynak tűnik az újonnan talált, rosszindulatú makrókat tartalmazó Office-dokumentumok felderítésében. A MalwareBazaar adatbázisában található legújabb rosszindulatú Office-dokumentumokat a Twinclams definíciói szinte mindig észlelik, néha még olyan fájlokat is, amelyeket a kereskedelmi vírusirtó szoftverek még nem észlelnek. -
clampunch
A Clam-punch-ot úgy írják le, mint „a ClamAV definíciós adatbázisok jó érzékkel összeálított készletét”. Úgy tűnik, hogy elsősorban az MS Office dokumentumokban található rosszindulatú makrókra összpontosít. Lehet, hogy már nem frissítik rendszeresen, azonban mivel az aláírások meglehetősen általánosnak tűnnek, valószínűleg még mindig hasznosak lehetnek. -
rfxn
Az R-FX Networks a Linux Malware Detect (LMD) eszközének részeként egy olyan ClamAV definíciós adatbázist kínál, amely a Linux-specifikus rosszindulatú szoftverek felismerésére specializálódott, beleértve a rosszindulatú PHP-szkripteket, trójai falovakat, például rosszindulatú IRC-botokat, férgeket stb.
A kialakított szoftver környezet hasonló, mint a ClamAV helyi tükörkiszolgáló létrehozása fejezetben tárgyal megoldás, így az ahhoz létrehozott felhasználók és jogosultságok megegyezik azzal:
Hozzon létre felhasználót a frissítő script futtatásához:
groupadd -g 678 -r clamav-update useradd -c "ClamAV mirror update user" -g clamav-update -M -r -u 678 -s /sbin/nologin clamav-update
Hozza létre a cvdupdate alkalmazás megfelelő jogosultsággal a szükséges mappákat:
mkdir -p /srv/www/clamav/unofficial/ /srv/www/clamav/download/ chown clamav-update. -R /srv/www/clamav/ mkdir -p /var/log/clamav-update/ chown clamav-update. /var/log/clamav-update/
A Fangfrisch Python modul telepítése
A Fangfrisch Python alkalmazás elérhető innen:
https://rseichter.github.io/fangfrisch/
A Fangfrisch program futtatásához legalább Python 3.7-es verzió kell. A következő műveleteket az előbbiekben létrehozott „clamav-update” felhasználóként hajtsa végre:
sudo -su clamav-update
Amennyiben proxy elérés kell a külső Python PIP tároló eléréséhez, azt adja meg, például így:
export https_proxy="http://192.168.50.50:3128/"
Amennyiben az előzőekben nem tette volna még meg, telepítse a Virtualenv Python csomagot a Python virtuális csomag és függőségeinek telepítéséhez.
pip3 install --user virtualenv
Amennyiben az előzőekben nem tette volna még meg, hozza létre a vrtuális Python környezetet:
virtualenv -p python3.10 /home/clamav-update/python.clamav-update
A létrehozott virtuális Python környezetbe történő belépés:
. /home/clamav-update/python.cvdupdate/bin/activate
A fangfrisch nevű Python program telepítése:
python3 -m pip install --user fangfrisch
A fangfrisch Python modul beállítása
Hozza létre a „/etc/fangfrisch.conf” fájlt a következő tartalommal. Ügyeljen rá, hogy:
- a malwarepatrol szakasz XXXXXXXXXXX értékét kicseréli a regisztráció során kapottal,
- a securiteinfo szakasz XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX értékét kicseréli a regisztráció során kapottal.
- a malwareexpert szakasz XXXXXXXX értékét kicseréli a regisztráció során kapottal.
A fájl tartalma:
[DEFAULT] db_url = sqlite:////var/lib/fangfrisch/db.sqlite local_directory = /srv/www/clamav/download/ # The following settings are optional. Other sections inherit # values from DEFAULT and may also overwrite values. max_size = 50MB on_update_exec = /usr/local/bin/setup-clamav-sigs on_update_timeout = 42 log_level = debug [malwarepatrol] enabled = yes receipt = XXXXXXXXXXX # Products are: 32 = free guard, 33 = Basic Defense yearly, 34 = Basic Defense monthly, 37 = Basic Defense EDU/Contributor product = 32 [sanesecurity] prefix = https://ftp.swin.edu.au/sanesecurity/ max_size = 10M enabled = yes interval = 1h [securiteinfo] enabled = yes max_size = 500MB # Define SecuriteInfo customer ID customer_id = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX url_old = ${prefix}securiteinfoold.hdb url_spam_marketing = ${prefix}spam_marketing.ndb # Remove the exclamation mark before the next databases if you have the Professional subscription !url_0hour = ${prefix}securiteinfo0hour.hdb !url_securiteinfo_mdb = ${prefix}securiteinfo.mdb [urlhaus] enabled = yes max_size = 20MB [interserver] enabled = yes integrity_check = no interval = 90m prefix = http://sigs.interserver.net/ url_malvware = ${prefix}interserver256.hdb url_topline = ${prefix}interservertopline.db url_whitelist = ${prefix}whitelist.fp url_shell = ${prefix}shell.hdb filename_malvware = interserver_malware.hdb filename_topline = interserver_topline.db filename_whitelist = interserver_whitelist.fp filename_shell = interserver_shell.hdb [malwareexpert] enabled = no max_size = 40M prefix = https://signatures.malware.expert interval = 1d # serial_key = XXXXXXXX url_malware.expert_fp = ${prefix}/${serial_key}/malware.expert.fp url_malware.expert_hdb = ${prefix}/${serial_key}/malware.expert.hdb url_malware.expert_ldb = ${prefix}/${serial_key}/malware.expert.ldb url_malware.expert.ndb = ${prefix}/${serial_key}/malware.expert.ndb [twinwave] enabled = yes max_size = 2M integrity_check = disabled interval = 1h prefix = https://raw.githubusercontent.com/twinwave-security/twinclams/master/ url_twinclams = ${prefix}twinclams.ldb url_twinwave_ign2 = ${prefix}twinwave.ign2 [clampunch] enabled = yes #max_size = 2M integrity_check = disabled interval = 24h prefix = https://raw.githubusercontent.com/wmetcalf/clam-punch/master/ url_miscreantpunch099low = ${prefix}MiscreantPunch099-Low.ldb url_exexor99 = ${prefix}exexor99.ldb url_miscreantpuchhdb = ${prefix}miscreantpunch.hdb filename_miscreantpunch099low = clampunch_MiscreantPunch099-Low.ldb filename_exexor99 = clampunch_exexor99.ldb filename_miscreantpuchhdb = clampunch_miscreantpunch.hdb [rfxn] enabled = yes interval= 4h integrity_check = disabled prefix = https://www.rfxn.com/downloads/ url_rfxn_ndb = ${prefix}rfxn.ndb url_rfxn_hdb = ${prefix}rfxn.hdb url_rfxn_yara = ${prefix}rfxn.yara [ditekshen] enabled = yes interval = 1d integrity_check = disabled prefix = https://raw.githubusercontent.com/ditekshen/detection/master/clamav/ url_ditekshen_ldb = ${prefix}clamav.ldb filename_ditekshen_ldb = ditekshen.ldb
A fájl létrehozésa után mentse el a tartalmát és hozza létre a Fangfrisch alkalmazás adatbázisát:
python3.8 -m fangfrisch --conf /etc/fangfrisch.conf initdb
Adatbázis ellenőrzés
A letöltött adatbázisokat érdemes ellenőrizni, hogy megakadályozza a hibás, nem betölthető ClamAV vírusvédelmi-adatbázisok terjesztését. Ehhez használhatja a setup-clamav-sigs scriptet, amelyet innen is letöltheti. A „/etc/fangfrisch.conf” konfigurációs állományban megadott
on_update_exec = /usr/local/bin/setup-clamav-sigs
beállítással összhangban helyezze al a fájlt a „/usr/local/bin/” mappában és tegye futtathatóvá a scriptet:
chmode +x /usr/local/bin/setup-clamav-sigs
Ezek után a frissítések egy ellenőrzési folyamaton keresztül kerülnek csak a megosztott mappába, így bizonyosodhat meg róla, hogy a letöltött fájlokat a ClamAV valóban be tudja tölteni.
A frissítési folyamat elindítása
Ezek után futassa le a Fangfrisch alkalmazás frissítési parancsát:
python3.8 -m fangfrisch --conf /etc/fangfrisch.conf refresh
A frissítés után a következő új adatbázisok jelennek meg a /srv/www/clamav/download/ mappában:
- badmacro.ndb
- blurl.ndb
- bofhland_cracked_URL.ndb
- bofhland_malware_attach.hdb
- bofhland_malware_URL.ndb
- bofhland_phishing_URL.ndb
- clampunch_exexor99.ldb
- clampunch_MiscreantPunch099-Low.ldb
- clampunch_miscreantpunch.hdb
- ditekshen.ldb
- foxhole_filename.cdb
- foxhole_generic.cdb
- foxhole_js.cdb
- foxhole_js.ndb
- hackingteam.hsb
- interserver_malware.hdb
- interserver_shell.hdb
- interserver_topline.db
- interserver_whitelist.fp
- javascript.ndb
- junk.ndb
- jurlbla.ndb
- jurlbl.ndb
- lott.ndb
- malware.expert.fp
- malware.expert.hdb
- malware.expert.ldb
- malware.expert.ndb
- malwarehash.hsb
- malwarepatrol.db
- phish.ndb
- phishtank.ndb
- porcupine.ndb
- rfxn.hdb
- rfxn.ndb
- rfxn.yara
- rogue.hdb
- scam.ndb
- securiteinfoandroid.hdb
- securiteinfoascii.hdb
- securiteinfo.hdb
- securiteinfohtml.hdb
- securiteinfo.ign2
- securiteinfoold.hdb
- securiteinfopdf.hdb
- shelter.ldb
- spamattach.hdb
- spamimg.hdb
- spam_marketing.ndb
- spearl.ndb
- spear.ndb
- twinclams.ldb
- twinwave.ign2
- urlhaus.ndb
- winnow.attachments.hdb
- winnow_bad_cw.hdb
- winnow_extended_malware.hdb
- winnow_extended_malware_links.ndb
- winnow_malware.hdb
- winnow_malware_links.ndb
- winnow_phish_complete_url.ndb
- winnow_spam_complete.ndb
A frissíéts automatizálása
A frissítést érdemes rendszeresen lefuttatni például cron.d vagy systemd timer segítségével:
A cron.d frissítési megoldás
A „/etc/cron.d/clamav-update” fájl tartalma:
# proxy használata esetén: https_proxy="http://192.168.50.50:3128/" 50 */4 * * * clamav-update /usr/bin/env bash -c 'source /home/clamav-update/python.cvdupdate/bin/activate && python3.8 -m fangfrisch --conf /etc/fangfrisch.conf refresh' > /dev/null 2>&1
Amennyiben a ClamAV tükörkiszolgáló is üzemel ugyanezen a gépen, akkor a fájl tartalma lehet az összevont két ClamAV fájl:
A „/etc/cron.d/clamav-update” fájl tartalma:
# proxy használata esetén: https_proxy="http://192.168.50.50:3128/" 0 */4 * * * clamav-update /usr/bin/env bash -c 'source /home/clamav-update/python.cvdupdate/bin/activate && python -m cvdupdate update' > /dev/null 2>&1 50 */4 * * * clamav-update /usr/bin/env bash -c 'source /home/clamav-update/python.cvdupdate/bin/activate && python3.8 -m fangfrisch --conf /etc/fangfrisch.conf refresh' > /dev/null 2>&1
A SystemD frissítési megoldás
Hozzon létre egy SystemD szolgáltatásfájlt a „/etc/systemd/system/fangfrisch.service” helyen a következő tartalommal:
[Unit] Description=Download unofficial clamav virus definition files ConditionPathExists=/var/lib/fangfrisch/db.sqlite [Service] Type=oneshot User=clamav WorkingDirectory=/var/lib/fangfrisch ExecStart=/usr/bin/env bash -c 'source /home/clamav-update/python.cvdupdate/bin/activate && python3.8 -m fangfrisch --conf /etc/fangfrisch.conf refresh' > /dev/null 2>&1 [Install] WantedBy=multi-user.target
Az SystemD időzítő használatához hozzon lérte egy fájl a „/etc/systemd/system/fangfrisch.timer” néven a következő tartalommal:
[Unit] Description=Download unofficial clamav virus definition files Requires=fangfrisch.service [Timer] Unit=fangfrisch.service Persistent=true OnUnitActiveSec=4h RandomizedDelaySec=30 [Install] WantedBy=timers.target
Töltse újra a SystemD beállításokat:
systemctl daemon-reload
Futtassa a következő parancsot a SystemD időzítő futtatásához:
systemctl enable – now fangfrisch.timer
Szükséges frissítési beállítások a kliens számítógépeken
Az kiegészítő ClamAV adatbázisok automatikus frissítésének használatához a „/etc/freshclam.conf” vagy a „/etc/clamav/freshclam.conf” fájlban adja meg a következő kiegészítő adatbázisokat, figyelve, hogy a „clamav-update.example.com” címet kicseréli a belső ClamAV tükörszerver címére:
DatabaseCustomURL http://clamav-update.example.com/unofficial/badmacro.ndb DatabaseCustomURL http://clamav-update.example.com/unofficial/blurl.ndb DatabaseCustomURL http://clamav-update.example.com/unofficial/bofhland_cracked_URL.ndb DatabaseCustomURL http://clamav-update.example.com/unofficial/bofhland_malware_attach.hdb DatabaseCustomURL http://clamav-update.example.com/unofficial/bofhland_malware_URL.ndb DatabaseCustomURL http://clamav-update.example.com/unofficial/bofhland_phishing_URL.ndb DatabaseCustomURL http://clamav-update.example.com/unofficial/clampunch_exexor99.ldb DatabaseCustomURL http://clamav-update.example.com/unofficial/clampunch_MiscreantPunch099-Low.ldb DatabaseCustomURL http://clamav-update.example.com/unofficial/clampunch_miscreantpunch.hdb DatabaseCustomURL http://clamav-update.example.com/unofficial/ditekshen.ldb DatabaseCustomURL http://clamav-update.example.com/unofficial/foxhole_filename.cdb DatabaseCustomURL http://clamav-update.example.com/unofficial/foxhole_generic.cdb DatabaseCustomURL http://clamav-update.example.com/unofficial/foxhole_js.cdb DatabaseCustomURL http://clamav-update.example.com/unofficial/foxhole_js.ndb DatabaseCustomURL http://clamav-update.example.com/unofficial/hackingteam.hsb DatabaseCustomURL http://clamav-update.example.com/unofficial/interserver_malware.hdb DatabaseCustomURL http://clamav-update.example.com/unofficial/interserver_shell.hdb DatabaseCustomURL http://clamav-update.example.com/unofficial/interserver_topline.db DatabaseCustomURL http://clamav-update.example.com/unofficial/interserver_whitelist.fp DatabaseCustomURL http://clamav-update.example.com/unofficial/javascript.ndb DatabaseCustomURL http://clamav-update.example.com/unofficial/junk.ndb DatabaseCustomURL http://clamav-update.example.com/unofficial/jurlbla.ndb DatabaseCustomURL http://clamav-update.example.com/unofficial/jurlbl.ndb DatabaseCustomURL http://clamav-update.example.com/unofficial/lott.ndb # DatabaseCustomURL http://clamav-update.example.com/unofficial/malware.expert.fp # DatabaseCustomURL http://clamav-update.example.com/unofficial/malware.expert.hdb # DatabaseCustomURL http://clamav-update.example.com/unofficial/malware.expert.ldb # DatabaseCustomURL http://clamav-update.example.com/unofficial/malware.expert.ndb DatabaseCustomURL http://clamav-update.example.com/unofficial/malwarehash.hsb DatabaseCustomURL http://clamav-update.example.com/unofficial/malwarepatrol.db DatabaseCustomURL http://clamav-update.example.com/unofficial/phish.ndb DatabaseCustomURL http://clamav-update.example.com/unofficial/phishtank.ndb DatabaseCustomURL http://clamav-update.example.com/unofficial/porcupine.ndb DatabaseCustomURL http://clamav-update.example.com/unofficial/rfxn.hdb DatabaseCustomURL http://clamav-update.example.com/unofficial/rfxn.ndb DatabaseCustomURL http://clamav-update.example.com/unofficial/rfxn.yara DatabaseCustomURL http://clamav-update.example.com/unofficial/rogue.hdb DatabaseCustomURL http://clamav-update.example.com/unofficial/scam.ndb DatabaseCustomURL http://clamav-update.example.com/unofficial/securiteinfoandroid.hdb DatabaseCustomURL http://clamav-update.example.com/unofficial/securiteinfoascii.hdb DatabaseCustomURL http://clamav-update.example.com/unofficial/securiteinfo.hdb DatabaseCustomURL http://clamav-update.example.com/unofficial/securiteinfohtml.hdb DatabaseCustomURL http://clamav-update.example.com/unofficial/securiteinfo.ign2 DatabaseCustomURL http://clamav-update.example.com/unofficial/securiteinfoold.hdb DatabaseCustomURL http://clamav-update.example.com/unofficial/securiteinfopdf.hdb # DatabaseCustomURL http://clamav-update.example.com/unofficial/securiteinfo0hour.hdb # DatabaseCustomURL http://clamav-update.example.com/unofficial/securiteinfo.mdb DatabaseCustomURL http://clamav-update.example.com/unofficial/shelter.ldb DatabaseCustomURL http://clamav-update.example.com/unofficial/spamattach.hdb DatabaseCustomURL http://clamav-update.example.com/unofficial/spamimg.hdb DatabaseCustomURL http://clamav-update.example.com/unofficial/spam_marketing.ndb DatabaseCustomURL http://clamav-update.example.com/unofficial/spearl.ndb DatabaseCustomURL http://clamav-update.example.com/unofficial/spear.ndb DatabaseCustomURL http://clamav-update.example.com/unofficial/twinclams.ldb DatabaseCustomURL http://clamav-update.example.com/unofficial/twinwave.ign2 DatabaseCustomURL http://clamav-update.example.com/unofficial/urlhaus.ndb DatabaseCustomURL http://clamav-update.example.com/unofficial/winnow.attachments.hdb DatabaseCustomURL http://clamav-update.example.com/unofficial/winnow_bad_cw.hdb DatabaseCustomURL http://clamav-update.example.com/unofficial/winnow_extended_malware.hdb DatabaseCustomURL http://clamav-update.example.com/unofficial/winnow_extended_malware_links.ndb DatabaseCustomURL http://clamav-update.example.com/unofficial/winnow_malware.hdb DatabaseCustomURL http://clamav-update.example.com/unofficial/winnow_malware_links.ndb DatabaseCustomURL http://clamav-update.example.com/unofficial/winnow_phish_complete_url.ndb DatabaseCustomURL http://clamav-update.example.com/unofficial/winnow_spam_complete.ndb # Saját fals pozitív riasztások letiltása: DatabaseCustomURL http://clamav-update.example.com/unofficial/local_whitelist.ign2
A ClamAV adatbázisok helyi türökiszolgálójának használatához adja meg a következő helyi tükörkiszolgáló eléréséhez, figyelve, hogy a „clamav-update.example.com” címet kicseréli a belső ClamAV tükörszerver címére:
PrivateMirror clamav-update.example.com
A frissen letöltött adatbázisok teszteléséhez engedélyezze az alábbi beállítást:
TestDatabases yes
Téves riasztások kizárása
Lehetséges, hogy bizonyos definíciókkal téves pozitív eredményeket kap. Ha egy adott vírusdefiníciót teljesen le akar tiltani, akkor a nevét hozzáadhatja egy ign2 kiterjesztésű szöveges fájlhoz a ClamAV vírusdefiniciós mappában (általában: „/var/lib/clamav/”) és akár ezt a fájlt meg is oszthatja a saját tükörkiszolgálón is. Például: ha a „Sanesecurity.Badmacro.Doc.obj1.UNOFFICIAL” hamis pozitív eredményt okoz, akkor hozzon létre egy ign2 kiterjesztésű fájlt például a „/var/lib/clamav/local_whitelist.ign2” nevű fájlt ezzel a tartalommal:
Sanesecurity.Badmacro.Doc.obj1.UNOFFICIAL
Az adatbázis módosítása után az adatbázis újratöltéséhez futtassa a következő parancsot:
sudo -u clamav clamdscan - reload
További információk az adatbázisokról
- A Yara rules szabályokkal kapcsolatos tudnivalók a ClamAV használat során: http://blog.clamav.net/search/label/yara
- interServer által biztosított ingyenesen elérhető adatbázisok használata: http://rbluri.interserver.net
- A Malware Expert előfizetéses rendszerben elérhető adatbázisok használata: https://www.malware.expert
- A MalwarePatrol által biztosított ingyenesen és előfizetéses rendszerben elérhető adatbázisok használata: https://malwareblocklist.org/
- A SecuriteInfo által biztosított ingyenesen előfizetéses rendszerben elérhető adatbázisok használata: https://www.securiteinfo.com/clients/customers/signup
- securiteinfo.hdb : Mainly executable malwares (exe, com, dll, ...) more recent than one year. Typical usage : Any usage.
- securiteinfohtml.hdb and javascript.ndb : HTML or Javascript malwares. Typical usage : Proxy and mail server.
- securiteinfoascii.hdb : Text file malwares (Perl or shell scripts, bat files, exploits, ...). Typical usage : Any usage.
- spam_marketing.ndb : spammer blacklist. Typical usage : mail server.
- securiteinfoandroid.hdb : Android malwares. Typical usage : Smartphone and tablet protection.
- securiteinfo.ign2 : Anti-false positives. Mandatory use for any usage.
- securiteinfoold.hdb : One year old malwares. Optional usage. Use it if you are not limited in resources (RAM/CPU), or if you want a maximum detection of malwares, or if you are a virus collector who compares antivirus software.
- securiteinfopdf.hdb : PDF Malwares and spams. Typical usage : Any usage.
- securiteinfo0hour.hdb : Malwares appeared on the Internet in the past 60 minutes. So these are the most active malwares at this moment. Mandatory use for any usage. Not included in Basic subscription
- securiteinfo.mdb : Generic signatures of malwares. Mandatory use for any usage. Not included in Basic subscription
- A rfxn által biztosított ingyenesen elérhető (Linux Malware Detect) adatbázisok használata: https://www.rfxn.com/projects/linux-malware-detect/
- Az URLHaus által biztosított ingyenesen elérhető adatbázisok használata: https://urlhaus.abuse.ch/