Am 14.05.2016 um 09:55 schrieb Steffen Auer:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Hallo,
Clamscan hat mir gemeldet, dass er Office-Dokumente eines Kollegen in
die Quarantäne verschoben hat:
- ---
/home/teachers/KuK/Eigene Dateien/a_summen_bilden.xlsx:
Xls.Exploit.EmbeddedFlash-1 FOUND
/home/teachers/KuK/Eigene Dateien/a_summen_bilden.xlsx: moved to
'/root/quarantaene//a_summen_bilden.xlsx.015'
/home/teachers/KuK/Eigene Dateien/b_formeln.xlsx:
Xls.Exploit.EmbeddedFlash-1 FOUND
/home/teachers/KuK/Eigene Dateien/b_formeln.xlsx: moved to
'/root/quarantaene//b_formeln.xlsx.014'
- ---
Die Frage ist nun, wie damit umgehen.
Grundsätzlich sind die KuK sicher wenig begeistert, wenn gespeichertes
(Unterrichts-)Material verschwindet.
Hallo Steffen,
da wie du selber schreibst Clamscan oftmals Fehlalarme produziert, habe
ich folgendes Verfahren eingerichtet:
Clamscan scannt täglich nur, verschiebt aber Funde nicht in das
Quarantäne-Verzeichnis. Meistens sind die Funde am nächsten oder
übernächsten Tag nicht mehr da, wenn eine neue Virendefinition geladen
wurde (-> also Fehlalarm). Als admin bekomme ich ja das Ergebnis vom
Scan per E-Mail zugeschickt. Finde ich dieselben Dateien mehrere Tage
hintereinander, dann schalte ich Clamscan "scharf", und lasse ihn die
Dateien verschieben. Das funktioniert bei mir gut: Ich habe sowieso nur
sehr wenige Funde, und selbst wenn es sich tatsächlich um Viren handeln
sollte, dann können die auf meinen Linuxclients sowieso kaum was anrichten.
Viele Grüße
Alex
Es ist ja auch bekannt, dass Clamscan durchaus Fehlalarme produziert.
So hat mir Clamscan vor einiger Zeit unzählige Dateien aus Software,
die seit Urzeiten auf dem Server abgelegt ist, in die Quarantäne
verschoben. Damit das nicht wieder passiert, habe ich diese
Verzeichnisse dann vom Scan ausgenommen, weil da ja nur von mir was
abgelegt werden kann und das dann auch nur (Kauf)Software ist, halte
ich das für vertretbar.
Andererseits kann in u.a. Officedokumenten ja tatsächlich Schadcode
enthalten sein.
Also einfach zurück kopieren ist vielleicht nicht so klug, zumal es
beim nächsten Lauf von Clamscan wohl wieder in der Quarantäne landen
würde.
Bleibt, den Kollegen zu informieren und ansonsten alles zu belassen,
oder an Clamscan zu schrauben oder den Scan ganz abzustellen.
Wie handhabt ihr das mit der Virenprüfung auf dem Server?
Viele Grüße
Steffen
- --
Wir sind nicht nur nett, wir sind sogar linuxmuster.net
Mein System:
- - virtualisiert mit Proxmox 3.4
- - linuxmuster.net 6.1
- - IPFire 2.17 Core 99
- - Linbo 2.2.16-0
- - Ubuntu 12.04-Client
- - Erweiterungen: Chillispot, Pykota, MRBS und OpenSchulportfolio
- - Moodle extern (Belwue) per ldaps angebunden
Note:
No Microsoft programs were used in the creation or distribution of
this message. If you are using a Microsoft program to view this
message, be forewarned that I am not responsible for any harm you may
encounter as a result.
- ----------------------------------------
Diese E-Mail ist mit OpenPGP signiert. Der öffentliche Schlüssel zur
Überprüfung der Signatur ist hier hinterlegt:
pool.sks-keyservers.net
- ----------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)
iQEcBAEBAgAGBQJXNtnXAAoJEBhc6lDKYVtJDL4H+wcpohIU+92pt8NjoGfuPsFp
fTtMPKitD2gpCUWrjG9xZjjD3tXU3H6UZjJSanUN8HYWYO+F1PWkFz6F6NgV03Ho
4dqxQH7doXMF57SCKIQbkI1YAM/zrvupTjsFal1muIE4o3iQFVRLMHr4VPW0kSiX
T7nbnWh+m7jvrsDCDg4i1+JtHlRmWYCkjC4cZGMeUnqIBmfWmJr/4i8QM0e+MIdZ
HSLRJhQCzxUb1ms12jJU0W1U2kmqoz3avBdUI5Afu0NsrPxre1a6int/CxTE8OL8
MdAjtK7FV03HPdGqiGtMbK8ilq4qRnOJeyIthfZGWiSK1fcv9DBFvo2kdqeVASg=
=u+4o
-----END PGP SIGNATURE-----
_______________________________________________
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
--
Berthold-Gymnasium
Hirzbergstr. 12
79102 Freiburg
www.berthold-gymnasium.de
Telefon Sekretariat: 0761 / 201-7631
_______________________________________________
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
