月: 2016年9月

ClamAVでPdf.Exploit.CVE_2016_4207-1の対応

ClamAVでPdf.Exploit.CVE_2016_4207-1の対応

元々、「アンチウィルスソフト導入(Clam AntiVirus)

を参考にClamAVを導入していましたが、先日の「Signatures Published daily – 22213
以降PDFやzip、docxなどが誤検知されファイルが削除される状態になった。

検知⇒即刻削除の方が安全性は高いと思うけど、今回のような誤検知があった場合には被害が大きいので
一旦自分で内容を確認するようにしてみる。

まず、そもそも検知と同時に削除してしまうのが危ないので、
ウィルススキャン定期自動実行のスクリプトである「virusscan」スクリプト内を変更。

# vim /etc/cron.daily/virusscan

clamscan --recursive --remove ${excludeopt} / > $CLAMSCANTMP 2>&1

↓削除オプションを取る

clamscan --recursive ${excludeopt} / > $CLAMSCANTMP 2>&1

それとroot宛にメールを飛ばしていたので以下の箇所も変更。気づかないので・・・。

# vim /etc/cron.daily/virusscan

grep FOUND$ $CLAMSCANTMP | mail -s "Virus Found in `hostname`" root

↓メール送信先を変更

grep FOUND$ $CLAMSCANTMP | mail -s "Virus Found in `hostname`" 自分のメールアドレス

ここまでで検知したら即時削除ではなく、検知したファイルをメールで通知してくれるようになった。

メールが来たらシグネチャを調査して本当に消す必要があるのか自分で判断してから削除する。

サーバ側での削除は以下のコマンドで検知&削除する。

# clamscan --infected --remove --recursive

remove以外にもmove、copyもあるようなので、必要に応じて使い分けるればいいかも。

# clamscan --help
・・・
    --remove[=yes/no(*)]                 Remove infected files. Be careful!
    --move=DIRECTORY                     Move infected files into DIRECTORY
    --copy=DIRECTORY                     Copy infected files into DIRECTORY
・・・

それと今回の「Pdf.Exploit.CVE_2016_4207-1」を除外するためにホワイトリスト設定を追加。

Whitelisting signatures
元々の結果

# clamscan --infected --recursive
/root/virus-data/test.pdf: Pdf.Exploit.CVE_2016_4207-1 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4850553
Engine version: 0.99.2
Scanned directories: 1
Scanned files: 2
Infected files: 1
Data scanned: 2.30 MB
Data read: 0.37 MB (ratio 6.20:1)
Time: 7.857 sec (0 m 7 s)

ホワイトリストに追加。

# echo "Pdf.Exploit.CVE_2016_4207-1" >> /var/lib/clamav/local.ign2

検知されなくなった。

# clamscan --infected --recursive

----------- SCAN SUMMARY -----------
Known viruses: 4850552
Engine version: 0.99.2
Scanned directories: 1
Scanned files: 2
Infected files: 0
Data scanned: 2.54 MB
Data read: 0.37 MB (ratio 6.85:1)
Time: 7.712 sec (0 m 7 s)

Vagrant起動時に共有フォルダのマウントに失敗したら

毎回調べるのが面倒なのでメモ。

vagrantの起動時に以下のように出た場合の対処方法。
HostOS:Windows10
GuestOS:CentOS7
VirtualBox:5.1.4
Vagrant:1.8.5

Vagrant was unable to mount VirtualBox shared folders. This is usually
because the filesystem "vboxsf" is not available. This filesystem is
made available via the VirtualBox Guest Additions and kernel module.
Please verify that these guest additions are properly installed in the
guest. This is not a bug in Vagrant and is usually caused by a faulty
Vagrant box. For context, the command attemped was:

set -e
mount -t vboxsf -o uid=`id -u vagrant`,gid=`getent group vagrant | cut -d: -f3` vagrant /vagrant
mount -t vboxsf -o uid=`id -u vagrant`,gid=`id -g vagrant` vagrant /vagrant

The error output from the command was:

/sbin/mount.vboxsf: mounting failed with the error: No such device

guestにsshでログインして、

# yum install kernel-devel kernel-headers gcc make
# yum install dkms
# export MAKE='/usr/bin/gmake -i'
# /etc/init.d/vboxadd setup
Removing existing VirtualBox DKMS kernel modules           [  OK  ]
Removing existing VirtualBox non-DKMS kernel modules       [  OK  ]
Building the VirtualBox Guest Additions kernel modules
Building the main Guest Additions module                   [  OK  ]
Building the shared folder support module                  [  OK  ]
Building the OpenGL support module                         [  OK  ]
Doing non-kernel setup of the Guest Additions              [  OK  ]
Starting the VirtualBox Guest Additions                    [  OK  ]

この状態になったら、hostで

vagrant halt
vagrant up

エラーが消えているはず。