ClamAVでPdf.Exploit.CVE_2016_4207-1の対応
元々、「アンチウィルスソフト導入(Clam AntiVirus)」
を参考にClamAVを導入していましたが、先日の「Signatures Published daily – 22213」
以降PDFやzip、docxなどが誤検知されファイルが削除される状態になった。
検知⇒即刻削除の方が安全性は高いと思うけど、今回のような誤検知があった場合には被害が大きいので
一旦自分で内容を確認するようにしてみる。
まず、そもそも検知と同時に削除してしまうのが危ないので、
ウィルススキャン定期自動実行のスクリプトである「virusscan」スクリプト内を変更。
# vim /etc/cron.daily/virusscan
clamscan --recursive --remove ${excludeopt} / > $CLAMSCANTMP 2>&1
↓削除オプションを取る
clamscan --recursive ${excludeopt} / > $CLAMSCANTMP 2>&1
それとroot宛にメールを飛ばしていたので以下の箇所も変更。気づかないので・・・。
# vim /etc/cron.daily/virusscan
grep FOUND$ $CLAMSCANTMP | mail -s "Virus Found in `hostname`" root ↓メール送信先を変更 grep FOUND$ $CLAMSCANTMP | mail -s "Virus Found in `hostname`" 自分のメールアドレス
ここまでで検知したら即時削除ではなく、検知したファイルをメールで通知してくれるようになった。
メールが来たらシグネチャを調査して本当に消す必要があるのか自分で判断してから削除する。
サーバ側での削除は以下のコマンドで検知&削除する。
# clamscan --infected --remove --recursive
remove以外にもmove、copyもあるようなので、必要に応じて使い分けるればいいかも。
# clamscan --help
・・・
--remove[=yes/no(*)] Remove infected files. Be careful!
--move=DIRECTORY Move infected files into DIRECTORY
--copy=DIRECTORY Copy infected files into DIRECTORY
・・・
それと今回の「Pdf.Exploit.CVE_2016_4207-1」を除外するためにホワイトリスト設定を追加。
Whitelisting signatures
元々の結果
# clamscan --infected --recursive /root/virus-data/test.pdf: Pdf.Exploit.CVE_2016_4207-1 FOUND ----------- SCAN SUMMARY ----------- Known viruses: 4850553 Engine version: 0.99.2 Scanned directories: 1 Scanned files: 2 Infected files: 1 Data scanned: 2.30 MB Data read: 0.37 MB (ratio 6.20:1) Time: 7.857 sec (0 m 7 s)
ホワイトリストに追加。
# echo "Pdf.Exploit.CVE_2016_4207-1" >> /var/lib/clamav/local.ign2
検知されなくなった。
# clamscan --infected --recursive ----------- SCAN SUMMARY ----------- Known viruses: 4850552 Engine version: 0.99.2 Scanned directories: 1 Scanned files: 2 Infected files: 0 Data scanned: 2.54 MB Data read: 0.37 MB (ratio 6.85:1) Time: 7.712 sec (0 m 7 s)