További ClamAV szignatúra állományok beszerzése az internetről

kami911 képe

A ClamAV egy ingyenes és nyílt forráskódú víruskereső motor és a hozzá használható vírusadatbázis. A vírusadatbázist a hivatalos forrásból lehet frissíteni, de külsős beszállítóktól elérhetőek különféle extra adatbázisok a ClamAV veszélyfelismerési képességek bővítéséhez. Egy részük ingyenesen elérhető, míg másokért regisztrálni szükséges, illetve kaphatóak további adatbázisok előfizetési díj vagy támogatás ellenében is. A ClamAV vírusadatbázis frissítéséhez két külső eszköz használható:

Az alábbi adatbázisokat lehet kiegészítő veszélyfelismerési-adatbázisként bekötni:

  • Sanesecurity - támogatás küldése

    A SaneSecurity egy olyan aláíráskészlet, amely az úgynevezett 0 napos és 0 órás rosszindulatú szoftverekre összpontosít, ami azt jelenti, hogy az e-mailben küldött új rosszindulatú fájlok hash-jait tartalmazza. Tartalmaz továbbá szignatúrákat a rosszindulatú URL-ekre, a gyakori spam- és adathalász üzenetekre, valamint általános aláírásokat, amelyek felismerik a rosszindulatú szoftverekben gyakran használt technikákat, például a dupla kiterjesztésű exe fájlokat (például pdf.exe), az ISO fájlokban elrejtett exe fájlokat és az MS Office makrók gyakran visszaélésre használt funkcióit. A Sanesecurity más forrásokból származó aláírásokat is terjeszt, például a phishtank.com adathalász URL-eket. A rendelkezésre álló aláírás-adatbázisok teljes listája megtalálható a weboldalukon.

  • SecuriteInfo - regisztráció - további előfizetési lehetőségek

    A SecuriteInfo francia cég azt állítja, hogy a ClamAV definíciói 4.000.000 olyan rosszindulatú szoftver és spam szignatúrákat adnak hozzá, amelyeket a hivatalos ClamAV-aláírások nem észlelnek. A szignatúrákból ingyenesen elérhető ClamAV definíciós adatbázis, amely azonban csak 30 napnál régebbi szignatúrákat tartalmaz. A naprakész 0 napos rosszindulatú programok észleléséhez a fizetős csomagok egyikére van szüksége. A MalwareBazaar adatbázisában látható, hogy a SecuriteInfo gyakran az egyetlen olyan ClamAV definíciós adatbázis, amely felismeri a rosszindulatú Windows binárisokat.

  • URLhaus
    Az URLHaus az abuse.ch projektje, amely a rosszindulatú szoftvereket terjesztő oldalak URL-címeit gyűjti össze. ClamAV definíciós adatbázist kínálnak ezekről a rosszindulatú URL-címekről, így blokkolhat minden olyan e-mailt, amely rosszindulatú szoftvereket terjesztő oldalakra mutató linkeket tartalmaz. Ez az adatbázis ingyenesen használható, kereskedelmi és nem kereskedelmi célokra egyaránt.
  • Interserver
    Egy másik, a rosszindulatú PHP-szkriptekre összpontosító ClamAV-aláírásokból álló készletet az InterServer tárhelyszolgáltató tart fenn. Nagyon ajánlom ezt a ClamAV definíciós adatbázist, ha a webszervereit szeretné átvizsgálni.
  • Malwarepatrol - ingyenes előfizetés regisztráció - basic előfizetés regisztráció

    A MalwarePatrol egy kereskedelmi fenyegetés-felderítő cég, amely ingyenes és fizetős adatfolyamokat kínál, beleértve a ClamAV vírusszignatúrákat, amelyek a világhálón található rosszindulatú szoftverfájlokra mutató URL-címeket tartalmaznak. Az ingyenes ClamAV definíciós adatbázis csak 72 óránként frissül, míg a fizetős ClamAV definíciós adatbázis 4 óránként. Ha Önnek előfizetésre van szüksége, vagy a ClamAV definíciós adatbázisokat a cége ügyfeleinek védelmére szeretné használni, akkor a kereskedelmi ClamAV definíciós adatbázisokat kell használnia. Legyen óvatos, amikor integrálja ezt a ClamAV definíciós adatbázist, téves risaztásokat is ad.

  • Google SafeBrowsing adatbázis előállítása - főleg levelezőszerveren ajánlatos, 12 GB memóriát és mysql adatbázist igényel. Ez a megoldást a cikk nem tárgyalja.
  • Yara rules szabálykészlet - ClamAV támogatás bevezetése
  • Malware Expert - előfizetés - 25 Euró havonta
    A MalwareExpert a rosszindulatú PHP-fájlokat felismerő, fizetős, kereskedelmi forgalomban kapható szignatúrákat kínál, amelyek a webszerverek átvizsgálására szolgálnak.
  • ditekshen
    A ditekshen biztonsági kutató által készített ClamAV aláírások különböző Windows, MacOS és Linux trójaiak és ransomware-ek felismerését adják hozzá.
  • twinwave
    A Twinclams a TwinWave Security Github-tárháza, és a rosszindulatú MS Office-dokumentumokra vonatkozó aláírásokat tartalmaz. Úgy tűnik, hogy a twinclams szerzője a Clam-punch egyik szerzője. Ez a ClamAV vírusadatbázis naponta frissül, és nagyon hatékonynak tűnik az újonnan talált, rosszindulatú makrókat tartalmazó Office-dokumentumok felderítésében. A MalwareBazaar adatbázisában található legújabb rosszindulatú Office-dokumentumokat a Twinclams definíciói szinte mindig észlelik, néha még olyan fájlokat is, amelyeket a kereskedelmi vírusirtó szoftverek még nem észlelnek.
  • clampunch
    A Clam-punch-ot úgy írják le, mint „a ClamAV definíciós adatbázisok jó érzékkel összeálított készletét”. Úgy tűnik, hogy elsősorban az MS Office dokumentumokban található rosszindulatú makrókra összpontosít. Lehet, hogy már nem frissítik rendszeresen, azonban mivel az aláírások meglehetősen általánosnak tűnnek, valószínűleg még mindig hasznosak lehetnek.
  • rfxn
    Az R-FX Networks a Linux Malware Detect (LMD) eszközének részeként egy olyan ClamAV definíciós adatbázist kínál, amely a Linux-specifikus rosszindulatú szoftverek felismerésére specializálódott, beleértve a rosszindulatú PHP-szkripteket, trójai falovakat, például rosszindulatú IRC-botokat, férgeket stb.

A kialakított szoftver környezet hasonló, mint a ClamAV helyi tükörkiszolgáló létrehozása fejezetben tárgyal megoldás, így az ahhoz létrehozott felhasználók és jogosultságok megegyezik azzal:

Hozzon létre felhasználót a frissítő script futtatásához:

groupadd -g 678 -r clamav-update
useradd -c "ClamAV mirror update user" -g clamav-update -M -r -u 678 -s /sbin/nologin clamav-update

Hozza létre a cvdupdate alkalmazás megfelelő jogosultsággal a szükséges mappákat:

mkdir -p /srv/www/clamav/unofficial/ /srv/www/clamav/download/
chown clamav-update. -R /srv/www/clamav/

mkdir -p /var/log/clamav-update/
chown clamav-update. /var/log/clamav-update/

A Fangfrisch Python modul telepítése

A Fangfrisch Python alkalmazás elérhető innen:

https://rseichter.github.io/fangfrisch/

A Fangfrisch program futtatásához legalább Python 3.7-es verzió kell. A következő műveleteket az előbbiekben létrehozott „clamav-update” felhasználóként hajtsa végre:

sudo -su clamav-update

Amennyiben proxy elérés kell a külső Python PIP tároló eléréséhez, azt adja meg, például így:

export https_proxy="http://192.168.50.50:3128/"

Amennyiben az előzőekben nem tette volna még meg, telepítse a Virtualenv Python csomagot a Python virtuális csomag és függőségeinek telepítéséhez.

pip3 install --user virtualenv

Amennyiben az előzőekben nem tette volna még meg, hozza létre a vrtuális Python környezetet:

virtualenv -p python3.10 /home/clamav-update/python.clamav-update

A létrehozott virtuális Python környezetbe történő belépés:

. /home/clamav-update/python.cvdupdate/bin/activate

A fangfrisch nevű Python program telepítése:

python3 -m pip install --user fangfrisch

A fangfrisch Python modul beállítása

Hozza létre a  „/etc/fangfrisch.conf” fájlt a következő tartalommal. Ügyeljen rá, hogy:

  • a malwarepatrol szakasz XXXXXXXXXXX értékét kicseréli a regisztráció során kapottal,
  • a securiteinfo szakasz XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX értékét kicseréli a regisztráció során kapottal.
  • a malwareexpert szakasz XXXXXXXX értékét kicseréli a regisztráció során kapottal.

A fájl tartalma:

[DEFAULT]
db_url = sqlite:////var/lib/fangfrisch/db.sqlite
local_directory = /srv/www/clamav/download/

# The following settings are optional. Other sections inherit
# values from DEFAULT and may also overwrite values.
max_size = 50MB
on_update_exec = /usr/local/bin/setup-clamav-sigs
on_update_timeout = 42
log_level = debug

[malwarepatrol]
enabled = yes
receipt = XXXXXXXXXXX
# Products are: 32 = free guard, 33 = Basic Defense yearly, 34 = Basic Defense monthly, 37 = Basic Defense EDU/Contributor
product = 32

[sanesecurity]
prefix = https://ftp.swin.edu.au/sanesecurity/
max_size = 10M
enabled = yes
interval = 1h

[securiteinfo]
enabled = yes
max_size = 500MB
# Define SecuriteInfo customer ID
customer_id = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

url_old = ${prefix}securiteinfoold.hdb
url_spam_marketing = ${prefix}spam_marketing.ndb

# Remove the exclamation mark before the next databases if you have the Professional subscription
!url_0hour = ${prefix}securiteinfo0hour.hdb
!url_securiteinfo_mdb = ${prefix}securiteinfo.mdb

[urlhaus]
enabled = yes
max_size = 20MB

[interserver]
enabled = yes
integrity_check = no
interval = 90m
prefix = http://sigs.interserver.net/

url_malvware = ${prefix}interserver256.hdb
url_topline = ${prefix}interservertopline.db
url_whitelist = ${prefix}whitelist.fp
url_shell = ${prefix}shell.hdb

filename_malvware = interserver_malware.hdb
filename_topline = interserver_topline.db
filename_whitelist = interserver_whitelist.fp
filename_shell = interserver_shell.hdb

[malwareexpert]
enabled = no
max_size = 40M
prefix = https://signatures.malware.expert
interval = 1d
# serial_key = XXXXXXXX
url_malware.expert_fp = ${prefix}/${serial_key}/malware.expert.fp
url_malware.expert_hdb = ${prefix}/${serial_key}/malware.expert.hdb
url_malware.expert_ldb = ${prefix}/${serial_key}/malware.expert.ldb
url_malware.expert.ndb = ${prefix}/${serial_key}/malware.expert.ndb

[twinwave]
enabled = yes
max_size = 2M
integrity_check = disabled
interval = 1h
prefix = https://raw.githubusercontent.com/twinwave-security/twinclams/master/
url_twinclams = ${prefix}twinclams.ldb
url_twinwave_ign2 = ${prefix}twinwave.ign2

[clampunch]
enabled = yes
#max_size = 2M
integrity_check = disabled
interval = 24h
prefix = https://raw.githubusercontent.com/wmetcalf/clam-punch/master/
url_miscreantpunch099low = ${prefix}MiscreantPunch099-Low.ldb
url_exexor99 = ${prefix}exexor99.ldb
url_miscreantpuchhdb = ${prefix}miscreantpunch.hdb

filename_miscreantpunch099low = clampunch_MiscreantPunch099-Low.ldb
filename_exexor99 = clampunch_exexor99.ldb
filename_miscreantpuchhdb = clampunch_miscreantpunch.hdb

[rfxn]
enabled = yes
interval= 4h
integrity_check = disabled
prefix = https://www.rfxn.com/downloads/
url_rfxn_ndb = ${prefix}rfxn.ndb
url_rfxn_hdb = ${prefix}rfxn.hdb
url_rfxn_yara = ${prefix}rfxn.yara

[ditekshen]
enabled = yes
interval = 1d
integrity_check = disabled
prefix = https://raw.githubusercontent.com/ditekshen/detection/master/clamav/
url_ditekshen_ldb = ${prefix}clamav.ldb
filename_ditekshen_ldb = ditekshen.ldb

A fájl létrehozésa után mentse el a tartalmát és hozza létre a Fangfrisch alkalmazás adatbázisát:

python3.8 -m fangfrisch --conf /etc/fangfrisch.conf initdb

Adatbázis ellenőrzés

A letöltött adatbázisokat érdemes ellenőrizni, hogy megakadályozza a hibás, nem betölthető ClamAV vírusvédelmi-adatbázisok terjesztését. Ehhez használhatja a setup-clamav-sigs scriptet, amelyet innen is letöltheti. A „/etc/fangfrisch.conf” konfigurációs állományban megadott

on_update_exec = /usr/local/bin/setup-clamav-sigs

beállítással összhangban helyezze al a fájlt a „/usr/local/bin/” mappában és tegye futtathatóvá a scriptet:

chmode +x /usr/local/bin/setup-clamav-sigs

Ezek után a frissítések egy ellenőrzési folyamaton keresztül kerülnek csak a megosztott mappába, így bizonyosodhat meg róla, hogy a letöltött fájlokat a ClamAV valóban be tudja tölteni.

A frissítési folyamat elindítása

Ezek után futassa le a Fangfrisch alkalmazás frissítési parancsát:

python3.8 -m fangfrisch --conf /etc/fangfrisch.conf refresh

A frissítés után a következő új adatbázisok jelennek meg a /srv/www/clamav/download/ mappában:

  • badmacro.ndb
  • blurl.ndb
  • bofhland_cracked_URL.ndb
  • bofhland_malware_attach.hdb
  • bofhland_malware_URL.ndb
  • bofhland_phishing_URL.ndb
  • clampunch_exexor99.ldb
  • clampunch_MiscreantPunch099-Low.ldb
  • clampunch_miscreantpunch.hdb
  • ditekshen.ldb
  • foxhole_filename.cdb
  • foxhole_generic.cdb
  • foxhole_js.cdb
  • foxhole_js.ndb
  • hackingteam.hsb
  • interserver_malware.hdb
  • interserver_shell.hdb
  • interserver_topline.db
  • interserver_whitelist.fp
  • javascript.ndb
  • junk.ndb
  • jurlbla.ndb
  • jurlbl.ndb
  • lott.ndb
  • malware.expert.fp
  • malware.expert.hdb
  • malware.expert.ldb
  • malware.expert.ndb
  • malwarehash.hsb
  • malwarepatrol.db
  • phish.ndb
  • phishtank.ndb
  • porcupine.ndb
  • rfxn.hdb
  • rfxn.ndb
  • rfxn.yara
  • rogue.hdb
  • scam.ndb
  • securiteinfoandroid.hdb
  • securiteinfoascii.hdb
  • securiteinfo.hdb
  • securiteinfohtml.hdb
  • securiteinfo.ign2
  • securiteinfoold.hdb
  • securiteinfopdf.hdb
  • shelter.ldb
  • spamattach.hdb
  • spamimg.hdb
  • spam_marketing.ndb
  • spearl.ndb
  • spear.ndb
  • twinclams.ldb
  • twinwave.ign2
  • urlhaus.ndb
  • winnow.attachments.hdb
  • winnow_bad_cw.hdb
  • winnow_extended_malware.hdb
  • winnow_extended_malware_links.ndb
  • winnow_malware.hdb
  • winnow_malware_links.ndb
  • winnow_phish_complete_url.ndb
  • winnow_spam_complete.ndb

A frissíéts automatizálása

A frissítést érdemes rendszeresen lefuttatni például cron.d vagy systemd timer segítségével:

A cron.d frissítési megoldás

A „/etc/cron.d/clamav-update” fájl tartalma:

# proxy használata esetén: https_proxy="http://192.168.50.50:3128/"
50 */4 * * * clamav-update /usr/bin/env bash -c 'source /home/clamav-update/python.cvdupdate/bin/activate && python3.8 -m fangfrisch --conf /etc/fangfrisch.conf refresh' > /dev/null 2>&1

Amennyiben a ClamAV tükörkiszolgáló is üzemel ugyanezen a gépen, akkor a fájl tartalma lehet az összevont két ClamAV fájl:

A „/etc/cron.d/clamav-update” fájl tartalma:

# proxy használata esetén: https_proxy="http://192.168.50.50:3128/"
0 */4 * * * clamav-update /usr/bin/env bash -c 'source /home/clamav-update/python.cvdupdate/bin/activate && python -m cvdupdate update' > /dev/null 2>&1
50 */4 * * * clamav-update /usr/bin/env bash -c 'source /home/clamav-update/python.cvdupdate/bin/activate && python3.8 -m fangfrisch --conf /etc/fangfrisch.conf refresh' > /dev/null 2>&1

A SystemD frissítési megoldás

Hozzon létre egy SystemD szolgáltatásfájlt a „/etc/systemd/system/fangfrisch.service” helyen a következő tartalommal:

[Unit]
Description=Download unofficial clamav virus definition files
ConditionPathExists=/var/lib/fangfrisch/db.sqlite

[Service]
Type=oneshot
User=clamav
WorkingDirectory=/var/lib/fangfrisch
ExecStart=/usr/bin/env bash -c 'source /home/clamav-update/python.cvdupdate/bin/activate && python3.8 -m fangfrisch --conf /etc/fangfrisch.conf refresh' > /dev/null 2>&1

[Install]
WantedBy=multi-user.target

Az SystemD időzítő használatához hozzon lérte egy fájl a „/etc/systemd/system/fangfrisch.timer” néven a következő tartalommal:

[Unit]
Description=Download unofficial clamav virus definition files
Requires=fangfrisch.service

[Timer]
Unit=fangfrisch.service
Persistent=true
OnUnitActiveSec=4h
RandomizedDelaySec=30

[Install]
WantedBy=timers.target

Töltse újra a SystemD beállításokat:

systemctl daemon-reload

Futtassa a következő parancsot a SystemD időzítő futtatásához:

systemctl enable – now fangfrisch.timer

Szükséges frissítési beállítások a kliens számítógépeken

Az kiegészítő ClamAV adatbázisok automatikus frissítésének használatához a „/etc/freshclam.conf” vagy a „/etc/clamav/freshclam.conf” fájlban adja meg a következő kiegészítő adatbázisokat, figyelve, hogy a „clamav-update.example.com” címet kicseréli a belső ClamAV tükörszerver címére:

DatabaseCustomURL http://clamav-update.example.com/unofficial/badmacro.ndb
DatabaseCustomURL http://clamav-update.example.com/unofficial/blurl.ndb
DatabaseCustomURL http://clamav-update.example.com/unofficial/bofhland_cracked_URL.ndb
DatabaseCustomURL http://clamav-update.example.com/unofficial/bofhland_malware_attach.hdb
DatabaseCustomURL http://clamav-update.example.com/unofficial/bofhland_malware_URL.ndb
DatabaseCustomURL http://clamav-update.example.com/unofficial/bofhland_phishing_URL.ndb
DatabaseCustomURL http://clamav-update.example.com/unofficial/clampunch_exexor99.ldb
DatabaseCustomURL http://clamav-update.example.com/unofficial/clampunch_MiscreantPunch099-Low.ldb
DatabaseCustomURL http://clamav-update.example.com/unofficial/clampunch_miscreantpunch.hdb
DatabaseCustomURL http://clamav-update.example.com/unofficial/ditekshen.ldb
DatabaseCustomURL http://clamav-update.example.com/unofficial/foxhole_filename.cdb
DatabaseCustomURL http://clamav-update.example.com/unofficial/foxhole_generic.cdb
DatabaseCustomURL http://clamav-update.example.com/unofficial/foxhole_js.cdb
DatabaseCustomURL http://clamav-update.example.com/unofficial/foxhole_js.ndb
DatabaseCustomURL http://clamav-update.example.com/unofficial/hackingteam.hsb
DatabaseCustomURL http://clamav-update.example.com/unofficial/interserver_malware.hdb
DatabaseCustomURL http://clamav-update.example.com/unofficial/interserver_shell.hdb
DatabaseCustomURL http://clamav-update.example.com/unofficial/interserver_topline.db
DatabaseCustomURL http://clamav-update.example.com/unofficial/interserver_whitelist.fp
DatabaseCustomURL http://clamav-update.example.com/unofficial/javascript.ndb
DatabaseCustomURL http://clamav-update.example.com/unofficial/junk.ndb
DatabaseCustomURL http://clamav-update.example.com/unofficial/jurlbla.ndb
DatabaseCustomURL http://clamav-update.example.com/unofficial/jurlbl.ndb
DatabaseCustomURL http://clamav-update.example.com/unofficial/lott.ndb
# DatabaseCustomURL http://clamav-update.example.com/unofficial/malware.expert.fp
# DatabaseCustomURL http://clamav-update.example.com/unofficial/malware.expert.hdb
# DatabaseCustomURL http://clamav-update.example.com/unofficial/malware.expert.ldb
# DatabaseCustomURL http://clamav-update.example.com/unofficial/malware.expert.ndb
DatabaseCustomURL http://clamav-update.example.com/unofficial/malwarehash.hsb
DatabaseCustomURL http://clamav-update.example.com/unofficial/malwarepatrol.db
DatabaseCustomURL http://clamav-update.example.com/unofficial/phish.ndb
DatabaseCustomURL http://clamav-update.example.com/unofficial/phishtank.ndb
DatabaseCustomURL http://clamav-update.example.com/unofficial/porcupine.ndb
DatabaseCustomURL http://clamav-update.example.com/unofficial/rfxn.hdb
DatabaseCustomURL http://clamav-update.example.com/unofficial/rfxn.ndb
DatabaseCustomURL http://clamav-update.example.com/unofficial/rfxn.yara
DatabaseCustomURL http://clamav-update.example.com/unofficial/rogue.hdb
DatabaseCustomURL http://clamav-update.example.com/unofficial/scam.ndb
DatabaseCustomURL http://clamav-update.example.com/unofficial/securiteinfoandroid.hdb
DatabaseCustomURL http://clamav-update.example.com/unofficial/securiteinfoascii.hdb
DatabaseCustomURL http://clamav-update.example.com/unofficial/securiteinfo.hdb
DatabaseCustomURL http://clamav-update.example.com/unofficial/securiteinfohtml.hdb
DatabaseCustomURL http://clamav-update.example.com/unofficial/securiteinfo.ign2
DatabaseCustomURL http://clamav-update.example.com/unofficial/securiteinfoold.hdb
DatabaseCustomURL http://clamav-update.example.com/unofficial/securiteinfopdf.hdb
# DatabaseCustomURL http://clamav-update.example.com/unofficial/securiteinfo0hour.hdb
# DatabaseCustomURL http://clamav-update.example.com/unofficial/securiteinfo.mdb
DatabaseCustomURL http://clamav-update.example.com/unofficial/shelter.ldb
DatabaseCustomURL http://clamav-update.example.com/unofficial/spamattach.hdb
DatabaseCustomURL http://clamav-update.example.com/unofficial/spamimg.hdb
DatabaseCustomURL http://clamav-update.example.com/unofficial/spam_marketing.ndb
DatabaseCustomURL http://clamav-update.example.com/unofficial/spearl.ndb
DatabaseCustomURL http://clamav-update.example.com/unofficial/spear.ndb
DatabaseCustomURL http://clamav-update.example.com/unofficial/twinclams.ldb
DatabaseCustomURL http://clamav-update.example.com/unofficial/twinwave.ign2
DatabaseCustomURL http://clamav-update.example.com/unofficial/urlhaus.ndb
DatabaseCustomURL http://clamav-update.example.com/unofficial/winnow.attachments.hdb
DatabaseCustomURL http://clamav-update.example.com/unofficial/winnow_bad_cw.hdb
DatabaseCustomURL http://clamav-update.example.com/unofficial/winnow_extended_malware.hdb
DatabaseCustomURL http://clamav-update.example.com/unofficial/winnow_extended_malware_links.ndb
DatabaseCustomURL http://clamav-update.example.com/unofficial/winnow_malware.hdb
DatabaseCustomURL http://clamav-update.example.com/unofficial/winnow_malware_links.ndb
DatabaseCustomURL http://clamav-update.example.com/unofficial/winnow_phish_complete_url.ndb
DatabaseCustomURL http://clamav-update.example.com/unofficial/winnow_spam_complete.ndb
# Saját fals pozitív riasztások letiltása: DatabaseCustomURL http://clamav-update.example.com/unofficial/local_whitelist.ign2

A ClamAV adatbázisok helyi türökiszolgálójának használatához adja meg a következő helyi tükörkiszolgáló eléréséhez, figyelve, hogy a „clamav-update.example.com” címet kicseréli a belső ClamAV tükörszerver címére:

PrivateMirror clamav-update.example.com

A frissen letöltött adatbázisok teszteléséhez engedélyezze az alábbi beállítást:

TestDatabases yes

Téves riasztások kizárása

Lehetséges, hogy bizonyos definíciókkal téves pozitív eredményeket kap. Ha egy adott vírusdefiníciót teljesen le akar tiltani, akkor a nevét hozzáadhatja egy ign2 kiterjesztésű szöveges fájlhoz a ClamAV vírusdefiniciós mappában (általában: „/var/lib/clamav/”) és akár ezt a fájlt meg is oszthatja a saját tükörkiszolgálón is. Például: ha a „Sanesecurity.Badmacro.Doc.obj1.UNOFFICIAL” hamis pozitív eredményt okoz, akkor hozzon létre egy ign2 kiterjesztésű fájlt például a „/var/lib/clamav/local_whitelist.ign2” nevű fájlt ezzel a tartalommal:

Sanesecurity.Badmacro.Doc.obj1.UNOFFICIAL

Az adatbázis módosítása után az adatbázis újratöltéséhez futtassa a következő parancsot:

sudo -u clamav clamdscan - reload

További információk az adatbázisokról

  • A Yara rules szabályokkal kapcsolatos tudnivalók a ClamAV használat során: http://blog.clamav.net/search/label/yara
  • interServer által biztosított ingyenesen elérhető adatbázisok használata: http://rbluri.interserver.net
  • A Malware Expert előfizetéses rendszerben elérhető adatbázisok használata: https://www.malware.expert
  • A MalwarePatrol által biztosított ingyenesen és előfizetéses rendszerben elérhető adatbázisok használata: https://malwareblocklist.org/
  • A SecuriteInfo által biztosított ingyenesen előfizetéses rendszerben elérhető adatbázisok használata: https://www.securiteinfo.com/clients/customers/signup
    • securiteinfo.hdb : Mainly executable malwares (exe, com, dll, ...) more recent than one year. Typical usage : Any usage.
    • securiteinfohtml.hdb and javascript.ndb : HTML or Javascript malwares. Typical usage : Proxy and mail server.
    • securiteinfoascii.hdb : Text file malwares (Perl or shell scripts, bat files, exploits, ...). Typical usage : Any usage.
    • spam_marketing.ndb : spammer blacklist. Typical usage : mail server.
    • securiteinfoandroid.hdb : Android malwares. Typical usage : Smartphone and tablet protection.
    • securiteinfo.ign2 : Anti-false positives. Mandatory use for any usage.
    • securiteinfoold.hdb : One year old malwares. Optional usage. Use it if you are not limited in resources (RAM/CPU), or if you want a maximum detection of malwares, or if you are a virus collector who compares antivirus software.
    • securiteinfopdf.hdb : PDF Malwares and spams. Typical usage : Any usage.
    • securiteinfo0hour.hdb : Malwares appeared on the Internet in the past 60 minutes. So these are the most active malwares at this moment. Mandatory use for any usage. Not included in Basic subscription
    • securiteinfo.mdb : Generic signatures of malwares. Mandatory use for any usage. Not included in Basic subscription
  • A rfxn által biztosított ingyenesen elérhető (Linux Malware Detect) adatbázisok használata: https://www.rfxn.com/projects/linux-malware-detect/
  • Az URLHaus által biztosított ingyenesen elérhető adatbázisok használata: https://urlhaus.abuse.ch/