Re: [lmn] Clamscan - Dateien von Kollege in Quarantäte verschoben
Hallo Steffen, > /home/teachers/KuK/Eigene Dateien/a_summen_bilden.xlsx: > Xls.Exploit.EmbeddedFlash-1 FOUND > /home/teachers/KuK/Eigene Dateien/a_summen_bilden.xlsx: moved to > '/root/quarantaene//a_summen_bilden.xlsx.015' > /home/teachers/KuK/Eigene Dateien/b_formeln.xlsx: > Xls.Exploit.EmbeddedFlash-1 FOUND > /home/teachers/KuK/Eigene Dateien/b_formeln.xlsx: moved to > '/root/quarantaene//b_formeln.xlsx.014' ich hablte das auch für Fehlalarme: hol die Dateien und lad sie auf virustotal hoch: dann bist du schlauer... VIele Grüße Holger -- Mein öffentlicher PGP-key ist hier hinterlegt: pool.sks-keyservers.net ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Clamscan - Dateien von Kollege in Quarantäte verschoben
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hallo Steffen! Wir lassen clamscan die Funde in Quarantäne stellen. Da es aber nicht oft passiert, informiere ich die Kollegen über die Situation, falls sie die Datei vermissen. Es hat noch nie jemand eine Datei wieder haben wollen. Gruß - Rainer Am 14.05.2016 um 09:55 schrieb Steffen Auer: > Hallo, > > Clamscan hat mir gemeldet, dass er Office-Dokumente eines Kollegen > in die Quarantäne verschoben hat: --- /home/teachers/KuK/Eigene > Dateien/a_summen_bilden.xlsx: Xls.Exploit.EmbeddedFlash-1 FOUND > /home/teachers/KuK/Eigene Dateien/a_summen_bilden.xlsx: moved to > '/root/quarantaene//a_summen_bilden.xlsx.015' > /home/teachers/KuK/Eigene Dateien/b_formeln.xlsx: > Xls.Exploit.EmbeddedFlash-1 FOUND /home/teachers/KuK/Eigene > Dateien/b_formeln.xlsx: moved to > '/root/quarantaene//b_formeln.xlsx.014' --- > > Die Frage ist nun, wie damit umgehen. Grundsätzlich sind die KuK > sicher wenig begeistert, wenn gespeichertes (Unterrichts-)Material > verschwindet. > > Es ist ja auch bekannt, dass Clamscan durchaus Fehlalarme > produziert. So hat mir Clamscan vor einiger Zeit unzählige Dateien > aus Software, die seit Urzeiten auf dem Server abgelegt ist, in die > Quarantäne verschoben. Damit das nicht wieder passiert, habe ich > diese Verzeichnisse dann vom Scan ausgenommen, weil da ja nur von > mir was abgelegt werden kann und das dann auch nur (Kauf)Software > ist, halte ich das für vertretbar. > > Andererseits kann in u.a. Officedokumenten ja tatsächlich > Schadcode enthalten sein. > > Also einfach zurück kopieren ist vielleicht nicht so klug, zumal > es beim nächsten Lauf von Clamscan wohl wieder in der Quarantäne > landen würde. > > Bleibt, den Kollegen zu informieren und ansonsten alles zu > belassen, oder an Clamscan zu schrauben oder den Scan ganz > abzustellen. > > Wie handhabt ihr das mit der Virenprüfung auf dem Server? > > Viele Grüße Steffen > > ___ linuxmuster-user > mailing list linuxmuster-user@lists.linuxmuster.net > https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user > -BEGIN PGP SIGNATURE- Version: GnuPG v2.0.17 (GNU/Linux) iQIcBAEBAgAGBQJXNu0NAAoJEH0umAxi3ouNVc0P/jrcxkvNul4FGvGHyJKwEfit veulnGIPItCb1xFdh8KUKK1pywY5W3AWVTEnzf1G3EVqVA1pkJFdRQ5rtJqLuZYT /thCQqqIsm7pWpZveUgnLnWF5suhNTuMe5q5Eyh4I66dUnwnYi6g2pP8nQNAzXEZ hpfSEyqJpz2iw7d8hkIUn1Y+m+NSqM9CBnubwcMDUSc+oi84H/HYRPH2JzDo0yQc xP+aRg6rKLEqeobK16XQehSzsNbxQ7607oUz7QkjNSslDix4DqhV3GnOgTxkoCAv vfxMExKczDzOtwq5HRGNgFULfIDCzNHcLq5fOuQllcexq0f8GB1jvx+bkuJyHCHJ YzoMXGevsDDhRYq86mm5TFX1c1bBlNaaukMzpa+QrAqx9FMmT0s4xpZTYuoh3lAk okmaH2qpK6W4RuO5VwsjD3Z6ymE0aXD5xyn0e4NPmKzFAF6w09YEM1bfOheNUwe8 HPQP+jBjx3hIoe6YPElpsJNpAGbr/7Q/0giF28xcU5H+gLtJ8IQAk9sPW8TS5IST 0aBPIcnV2UA1lYceASo85m37n7APLNvKhlFAQaphNfw/jnzhKvD6s8oYkJSAXoPy 8mQc9ksvU8VppSnEneQAYnYVBvfBthKfmOy09XSYtvT8DegPPRdhm77ie0OXr03p kllysvk0nBEnHyVHHTq7 =AcjE -END PGP SIGNATURE- ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Clamscan - Dateien von Kollege in Quarantäte verschoben
Am 14.05.2016 um 09:55 schrieb Steffen Auer: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hallo, Clamscan hat mir gemeldet, dass er Office-Dokumente eines Kollegen in die Quarantäne verschoben hat: - --- /home/teachers/KuK/Eigene Dateien/a_summen_bilden.xlsx: Xls.Exploit.EmbeddedFlash-1 FOUND /home/teachers/KuK/Eigene Dateien/a_summen_bilden.xlsx: moved to '/root/quarantaene//a_summen_bilden.xlsx.015' /home/teachers/KuK/Eigene Dateien/b_formeln.xlsx: Xls.Exploit.EmbeddedFlash-1 FOUND /home/teachers/KuK/Eigene Dateien/b_formeln.xlsx: moved to '/root/quarantaene//b_formeln.xlsx.014' - --- Die Frage ist nun, wie damit umgehen. Grundsätzlich sind die KuK sicher wenig begeistert, wenn gespeichertes (Unterrichts-)Material verschwindet. Hallo Steffen, da wie du selber schreibst Clamscan oftmals Fehlalarme produziert, habe ich folgendes Verfahren eingerichtet: Clamscan scannt täglich nur, verschiebt aber Funde nicht in das Quarantäne-Verzeichnis. Meistens sind die Funde am nächsten oder übernächsten Tag nicht mehr da, wenn eine neue Virendefinition geladen wurde (-> also Fehlalarm). Als admin bekomme ich ja das Ergebnis vom Scan per E-Mail zugeschickt. Finde ich dieselben Dateien mehrere Tage hintereinander, dann schalte ich Clamscan "scharf", und lasse ihn die Dateien verschieben. Das funktioniert bei mir gut: Ich habe sowieso nur sehr wenige Funde, und selbst wenn es sich tatsächlich um Viren handeln sollte, dann können die auf meinen Linuxclients sowieso kaum was anrichten. Viele Grüße Alex Es ist ja auch bekannt, dass Clamscan durchaus Fehlalarme produziert. So hat mir Clamscan vor einiger Zeit unzählige Dateien aus Software, die seit Urzeiten auf dem Server abgelegt ist, in die Quarantäne verschoben. Damit das nicht wieder passiert, habe ich diese Verzeichnisse dann vom Scan ausgenommen, weil da ja nur von mir was abgelegt werden kann und das dann auch nur (Kauf)Software ist, halte ich das für vertretbar. Andererseits kann in u.a. Officedokumenten ja tatsächlich Schadcode enthalten sein. Also einfach zurück kopieren ist vielleicht nicht so klug, zumal es beim nächsten Lauf von Clamscan wohl wieder in der Quarantäne landen würde. Bleibt, den Kollegen zu informieren und ansonsten alles zu belassen, oder an Clamscan zu schrauben oder den Scan ganz abzustellen. Wie handhabt ihr das mit der Virenprüfung auf dem Server? Viele Grüße Steffen - -- Wir sind nicht nur nett, wir sind sogar linuxmuster.net Mein System: - - virtualisiert mit Proxmox 3.4 - - linuxmuster.net 6.1 - - IPFire 2.17 Core 99 - - Linbo 2.2.16-0 - - Ubuntu 12.04-Client - - Erweiterungen: Chillispot, Pykota, MRBS und OpenSchulportfolio - - Moodle extern (Belwue) per ldaps angebunden Note: No Microsoft programs were used in the creation or distribution of this message. If you are using a Microsoft program to view this message, be forewarned that I am not responsible for any harm you may encounter as a result. - Diese E-Mail ist mit OpenPGP signiert. Der öffentliche Schlüssel zur Überprüfung der Signatur ist hier hinterlegt: pool.sks-keyservers.net - -BEGIN PGP SIGNATURE- Version: GnuPG v2.0.22 (GNU/Linux) iQEcBAEBAgAGBQJXNtnXAAoJEBhc6lDKYVtJDL4H+wcpohIU+92pt8NjoGfuPsFp fTtMPKitD2gpCUWrjG9xZjjD3tXU3H6UZjJSanUN8HYWYO+F1PWkFz6F6NgV03Ho 4dqxQH7doXMF57SCKIQbkI1YAM/zrvupTjsFal1muIE4o3iQFVRLMHr4VPW0kSiX T7nbnWh+m7jvrsDCDg4i1+JtHlRmWYCkjC4cZGMeUnqIBmfWmJr/4i8QM0e+MIdZ HSLRJhQCzxUb1ms12jJU0W1U2kmqoz3avBdUI5Afu0NsrPxre1a6int/CxTE8OL8 MdAjtK7FV03HPdGqiGtMbK8ilq4qRnOJeyIthfZGWiSK1fcv9DBFvo2kdqeVASg= =u+4o -END PGP SIGNATURE- ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user -- Berthold-Gymnasium Hirzbergstr. 12 79102 Freiburg www.berthold-gymnasium.de Telefon Sekretariat: 0761 / 201-7631 ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
[lmn] Clamscan - Dateien von Kollege in Quarantäte verschoben
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hallo, Clamscan hat mir gemeldet, dass er Office-Dokumente eines Kollegen in die Quarantäne verschoben hat: - --- /home/teachers/KuK/Eigene Dateien/a_summen_bilden.xlsx: Xls.Exploit.EmbeddedFlash-1 FOUND /home/teachers/KuK/Eigene Dateien/a_summen_bilden.xlsx: moved to '/root/quarantaene//a_summen_bilden.xlsx.015' /home/teachers/KuK/Eigene Dateien/b_formeln.xlsx: Xls.Exploit.EmbeddedFlash-1 FOUND /home/teachers/KuK/Eigene Dateien/b_formeln.xlsx: moved to '/root/quarantaene//b_formeln.xlsx.014' - --- Die Frage ist nun, wie damit umgehen. Grundsätzlich sind die KuK sicher wenig begeistert, wenn gespeichertes (Unterrichts-)Material verschwindet. Es ist ja auch bekannt, dass Clamscan durchaus Fehlalarme produziert. So hat mir Clamscan vor einiger Zeit unzählige Dateien aus Software, die seit Urzeiten auf dem Server abgelegt ist, in die Quarantäne verschoben. Damit das nicht wieder passiert, habe ich diese Verzeichnisse dann vom Scan ausgenommen, weil da ja nur von mir was abgelegt werden kann und das dann auch nur (Kauf)Software ist, halte ich das für vertretbar. Andererseits kann in u.a. Officedokumenten ja tatsächlich Schadcode enthalten sein. Also einfach zurück kopieren ist vielleicht nicht so klug, zumal es beim nächsten Lauf von Clamscan wohl wieder in der Quarantäne landen würde. Bleibt, den Kollegen zu informieren und ansonsten alles zu belassen, oder an Clamscan zu schrauben oder den Scan ganz abzustellen. Wie handhabt ihr das mit der Virenprüfung auf dem Server? Viele Grüße Steffen - -- Wir sind nicht nur nett, wir sind sogar linuxmuster.net Mein System: - - virtualisiert mit Proxmox 3.4 - - linuxmuster.net 6.1 - - IPFire 2.17 Core 99 - - Linbo 2.2.16-0 - - Ubuntu 12.04-Client - - Erweiterungen: Chillispot, Pykota, MRBS und OpenSchulportfolio - - Moodle extern (Belwue) per ldaps angebunden Note: No Microsoft programs were used in the creation or distribution of this message. If you are using a Microsoft program to view this message, be forewarned that I am not responsible for any harm you may encounter as a result. - Diese E-Mail ist mit OpenPGP signiert. Der öffentliche Schlüssel zur Überprüfung der Signatur ist hier hinterlegt: pool.sks-keyservers.net - -BEGIN PGP SIGNATURE- Version: GnuPG v2.0.22 (GNU/Linux) iQEcBAEBAgAGBQJXNtnXAAoJEBhc6lDKYVtJDL4H+wcpohIU+92pt8NjoGfuPsFp fTtMPKitD2gpCUWrjG9xZjjD3tXU3H6UZjJSanUN8HYWYO+F1PWkFz6F6NgV03Ho 4dqxQH7doXMF57SCKIQbkI1YAM/zrvupTjsFal1muIE4o3iQFVRLMHr4VPW0kSiX T7nbnWh+m7jvrsDCDg4i1+JtHlRmWYCkjC4cZGMeUnqIBmfWmJr/4i8QM0e+MIdZ HSLRJhQCzxUb1ms12jJU0W1U2kmqoz3avBdUI5Afu0NsrPxre1a6int/CxTE8OL8 MdAjtK7FV03HPdGqiGtMbK8ilq4qRnOJeyIthfZGWiSK1fcv9DBFvo2kdqeVASg= =u+4o -END PGP SIGNATURE- ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
