• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

ClamAv: Webspace scannen, user benachrichtigen

rethus

Registered User
Ich würde gerne meinen Webserver in regelmäßigen Abständen mit ClamAv scannen, und dem jeweiligen Webspace-Nutzer eine benachrichtigungsmail über den durchgeführten Scan senden.

Gibt es da Lösungsansätze, wie man da am besten vorgehen kann?

Als Panel setze ich ISPCP ein.
 
Gegenfrage: Was soll ClamAV denn in den Kundenwebspaces finden? Mit HTML und Sripten kann ClamAV kaum etwas anfangen...
 
Für Clamav gibt es auch Signaturen die Exploids in HTML und JS finden. (http://www.sanesecurity.com/) Von daher macht es schon Sinn das einzusetzen. Zusammen mit clamfs geht das sogar in Realtime. Allerdings trotz Scancache auch zu lasten der Performance!
 
Benachrichtige die "Kunden" doch lieber, dass sie ihre CMS aktuell halten sollen.

Hmm --> Trojaner der die FTP Daten auf dem Client ausliest und dann das Zeug direkt per FTP auf den Server lädt ?!
 
Hmm --> Trojaner der die FTP Daten auf dem Client ausliest und dann das Zeug direkt per FTP auf den Server lädt ?!

Ja, ne. Ist klar. :p Davon abgesehen haben manche CMS im Backend auch Aktualisierungsmöglichkeiten.

Btw: Eine WAF wäre wohl das was statt ClamAV mehr Sinn machen würde.
 
Wenn ich im CMS was aktualisiere erscheint das immer im Frontend *duck und weg*.

WAF ist sicher besser aber meistens preisintensiver und will auch gepflegt sein.
Weiterhin erzeugen auch viele Apps false positiv's die müssen dann ausgenommen werden... Also nichts für aml eben so ;-)
 
Schön dass es solche nutzlosen Signaturen für ClamAV gibt, denn jeder halbwegs intelligente Malwareautor hat mehrere Randombits in seiner Malware, wodurch signaturbasierte Malwarescanner ganz primitiv umgangen werden.

Wie bereits erwähnt, ist eine explizit auf die vorhandenen Apps konfigurierte WAF erheblich sinnvoller. Und selbst eine einfache WAF wie mod_security ist hier effizienter als ClamAV, man muss sich halt nur regelmässig darum kümmern.

Desweiteren ist der Kunde/Nutzer für seine Daten selbst verantwortlich und haftbar, da muss man sich als Anbieter nicht extra in eine rechtliche Grauzone begeben (Datenschutz/Datenmanipulation/Auspähen von Daten/etc.).

Den eigenen Server anständig administrieren und den Kunden Kunde sein lassen ist die Devise.
 
Ich hab für meine Firma ein Skript mit den Mustern von schädlichen Code-Teilen erstellt, welches infizierte Dateien (z.B. iframe-Hacks mit und ohne eval/base64... und auch .htaccess-Dateien oder .log-Ordner usw.) findet und auflistet.
Das ist mittlerweile so gut, das es auch neue Muster erkennt, bzw. die Änderungen von den Malware-Code-Teilen egal ist.


Ein zweites Tools kann aktuell 90 Software-Module (Wordpress, Typo3, drupal, wp-themes-twentyeleven, timthumb.... usw.) auf Aktualität prüfen.

Code:
FUND: /kunden/xxx_xxx/webseiten/domain1/wp-content/plugins/wp-phpmyadmin/phpmyadmin/libraries/Config.class.php
Modul:        phpmyadmin
AKTUELL:      3.5.2.2
FUND/ALT:     2.10.3

FUND: /kunden/xxx_xxx/webseiten/domain3/OLD/wp-includes/version.php
Modul:        wordpress
AKTUELL:      3.4.1
FUND/ALT:     2.7

FUND: /kunden/xxx_xxx/webseiten/domain22/wp-content/plugins/wp-super-cache/wp-cache.php
Modul:        wpsupercache
AKTUELL:      1.1
FUND/ALT:     1.0

Daraus könnte man bestimmt ClamavSignaturen bauen wie es manch anderer Provider macht, aber das selbst geschrieben ist einfacher und automatischer wartbar für unsere Server/mich.

Per pm kann ich Tipps geben, aber die Skripte darf ich nicht weitergeben.

Das sollte man natürlich nur mit Einverständnis ausführen, bzw. wenn die rechtlichen Fragen geklärt sind oder so was in den AGB geregelt wurde (Gefahrenabwehr...).
 
Last edited by a moderator:
es gibt ein script von ip-projects das aber den Admin nur ne mail schickt

von MichaelSchinzel » Fr 19. Aug 2011, 08:02
Guten Morgen,

da es ab und an zu Probleme mit unsicheren Kundenwebseiten kommt, die dann als SPAM oder Virenschleuder missbraucht werden, haben wir ein kleines Shell Script für unsere Kunden entwickelt, mit dem Sie den Webserver jede Nacht auf Viren prüfen können. Das Script versendet beim erfolgreichem finden eines Virus automatisch eine E-Mail an den Systemadministrator.

Zunächst müssen die entsprechenden Tools installiert werden

Code: Alles auswählen
apt-get install mailutils clamav



Mailutils benötigt man für das versenden von E-Mails über die Linux Shell, clamav ist das Anti-Virenprogramm, welches wir bevorzugt auf Linux Servern einsetzen. Sollte keine aktuelle Clamav Version zur Verfügung stehen, findet man unter www.clamav.net die Sources um die aktuelle Version zu installieren.

Anschließend erstellen wir das Verzeichnis, wo ClamAV die nächtlichen Scanlogs ablegt.

Code: Alles auswählen
mkdir /home/clamav/



Jetzt kommen wir zum Shellscript, welches wir im Verzeichnis root ablegen.

Code: Alles auswählen
nano /root/clam-scan.sh



Scriptinhalt:

Code: Alles auswählen
#!/bin/sh
### Allgemeine Angaben
mailbetreff="Root-Server 123456 Virenwarnung"
administratormail="info@ip-projects.de"

### Script
### Auslösen des Scans
rm -R /home/clamav/scanlog-www.log
clamscan /var/www/virtual/ --recursive=yes --log=/home/clamav/scanlog-www.log --infected --scan-html=yes --scan-pdf=yes --exclude=backups --exclude=logs --exclude=errors
rm -R /home/clamav/scanlog-mail.log
clamscan /var/mail/ --recursive=yes --log=/home/clamav/scanlog-mail.log --infected --scan-html=yes --scan-pdf=yes --exclude=new

### Versenden der E-Mail
if grep -rl 'Infected files: 0' /home/clamav/scanlog-www.log
then echo "kein Virus auf www gefunden"
else cat /home/clamav/scanlog-www.log | mail -s "$mailbetreff" $administratormail
fi
if grep -rl 'Infected files: 0' /home/clamav/scanlog-mail.log
then echo "kein Virus auf mail gefunden"
else cat /home/clamav/scanlog-mail.log | mail -s "$mailbetreff" $administratormail
fi



Unter dem Bereich "### Allgemeine Angaben" wird der Wert für den E-Mail Betreff und die E-Mail Adresse des Administrators definiert.

Damit jetzt unser kleines Script jede Nacht seine Arbeit aufnimmt, muss lediglich ein Cron Job angelegt werden:

Code: Alles auswählen
crontab -e



Code: Alles auswählen
## Virenscan
30 3 * * * /bin/bash /root/clam-scan.sh



In diesem Fall wird um 3:30 an jedem Tag der Scan ausgeführt.

Dieses Kleine Script hat mich ca. 2 Stunden Zeit gekostet und bringt einen massiven Vorteil gerade im Webserver Betrieb. Wir haben beim Shell Script die Backups bewusst ausgeklammert, ich denke, dass das prüfen von Backups den Scanprozess nur unnötig in die Länge zieht, da die Backups sowieso jede Nacht neu generiert werden.

Vorsicht – das Script informiert nur! Es werden keine Viren automatisch gelöscht oder verschoben. Nicht immer sind die Virenwarnungen zutreffend, da ClamAV auch Sicherheitslücken im Webseiten Code sucht, daher gilt es die Löschung lieber durch die Webseitenbetreuer vorzunehmen.
Beim Scannen der Mails werden auch trash Ordner mitgescanned, es kann also sein, dass ein Kunde bereits die Virenmail in einen „zu Löschen“ Ordner verschoben hat, hier kann die Löschung unbedenklich durchgeführt werden.


In diesem Sinne, ich hoffe, das hilft euch bei der Verwaltung euerer Webserver weiter.
 
es gibt ein script von ip-projects das aber den Admin nur ne mail schickt

Wenn man den ClamAV Parameter entsprechend anpasst, kann man damit neben einer E-Mail Benachrichtigung auch die Dateien in Quarantäne verschieben oder direkt löschen lassen.
 
Back
Top