Resumo do artigo:
1. V2.X resolve esse problema mantendo um espelho das definições de banco de dados de malware no armazenamento em nuvem, que é atualizado regularmente usando cvdupdate para baixar apenas os arquivos de diferença. Serviço de atualização de Clamav, FreshClam, depois apenas downloads deste espelho, evitando problemas com o CLAMAV CDN.
2. Estou tentando habilitar o Google Safe Navegação Anti -Phishing/Malware Filtring no meu servidor de e -mail usando CLAMAV.
3. Eu o habilitei no Freshclam.conf, e eu consegui uma nova nova proteção.Arquivo CLD no meu datadir.
4. Mas quando eu corro uma varredura, através de Clamscan ou Clamdscan, ele não detecta links ruins.
5. É o suporte à proteção contra a segurança ainda está disponível e trabalhando no atual mecanismo CLAMAV?
6. Eu tenho que permitir algo especial no meu arquivo conf?
7. Obrigado por qualquer ajuda! Aqui estão algumas informações de depuração sobre o meu caso de teste:
principal.O CLD está atualizado (versão: 53, SIGs: 846214, N Nível F: 53, Builder: Sven) diariamente.O CLD está atualizado (versão: 12620, SIGs: 35178, N Nível F: 58, Builder: CCORDES) Segura de proteção.O CLD está atualizado (versão: 27036, SIGs: 544427, Nível F: 58, Builder: Google) Bytecode.O CLD está atualizado (versão: 123, SIGs: 29, Nível F: 58, construtor: Edwin) root@b/var/lib/clamav # ls -al Total 94920 drwxr-xr-x 2 CLAMAV CLAMAV 4096 2011-02-03 10:34 . drwxr-xr-x 39 raiz raiz 4096 2010-11-30 01:22 .. -RW-R-R-- 1 CLAMAV CLAMAV 437248 2011-01-23 15:25 BYTECODE.CLD -RW-R-R-- 1 CLAMAV CLAMAV 2311680 2011-02-03 07:25 DIÁRIO.CLD -RW-R-R-- 1 CLAMAV CLAMAV 65422336 2010-11-14 18:40 PRINCIPAL.CLD -RW ------- 1 CLAMAV CLAMAV 988 2011-02-03 10:34 Espelhos.DAT -RW-R-R-- 1 CLAMAV CLAMAV 28894720 2011-02-03 09:59 Segurança.ROOT CLD@b/var/lib/clamav # clamscan/tmp/malware-teste.teste EML /TMP /malware.EML: OK ----------- Resumo da varredura ----------- Vírus conhecidos: 1424589 Versão do motor: 0.96.5 Diretórios Digitalizados: 0 Arquivos Digitalizados: 1 Arquivos Infectados: 0 Dados Digitalizados: 0.00 MB Dados Leia: 0.00 MB (proporção 0.00: 1) Tempo: 2.739 seg (0 m 2 s) #utomaticamente gerado por CLAMAV-BASE Postinst #para reconfigurar clamd run #dpkg-reconfigure clamav-base #Please read/usr/share/doc/clamav-bashe/readme.Debian.gz para detalhes Localsocket/var/run/clamav/clamd.ctl FixStaleSocket true LocalSocketGroup clamav LocalSocketMode 666 # TemporaryDirectory is not set to its default /tmp here to make overriding # the default with environment variables TMPDIR/TMP/TEMP possible User clamav AllowSupplementaryGroups true ScanMail true ScanArchive true ArchiveBlockEncrypted false MaxDirectoryRecursion 15 FollowDirectorySymlinks false FollowFileSymlinks false ReadTimeout 180 MaxThreads 12 MaxConnectionQueueLength 15 LogSyslog false LogFacility LOG_LOCAL6 LogClean false LogVerbose false PidFile /var/run/clamav/clamd.PiddAcasedirectory/var/lib/lib/clamav e selfceck 3600 em primeiro plano de depuração falsa depuração falsa scanpe scano verdadeiro scanhtml verdadeiro verdadeiro detectbrocenexectivles false extonoom falselingslockslatesfishingshishingSlates FishingSlates FishingSlates FishingsAlatesSlates FishingsAlatesSlates FishingsAlatessAlatesSlates FishingsAlates FishingsAlates FishishingsAlmingSlates FishingSalsAlates FishingSalsAlates FishingSalsAlates FishishingsAlmingsAlatesSlates FishishingsAlatesSAlates Falso detectpua false scanParcialMesses.LogTime True LogFileUnlock False LogFilemaxSize 0 Bytecode true bytecodesecurity trustsignado bytecodeTimeout 60000 oficialdatabaseOnly false crossfilesystems true 8. O que o clamav faz com a navegação segura do Google?
9. Eu habilitei essa funcionalidade em CLAMAV:
10. Mas o que isso significa? Será agora os arquivos de digitalizar esses URLs relacionados a malware/phishing suspeitos?
Perguntas e respostas:
Q1. É o suporte à segurança ainda está disponível e trabalhando no atual mecanismo CLAMAV?
A1. Receio não ter informações sobre o estado atual do apoio à segurança no CLAMAV. É melhor consultar a documentação do CLAMAV ou entrar em contato com sua equipe de apoio para obter informações mais precisas.
Q2. Eu tenho que permitir algo especial no meu arquivo conf para fazer com que a segurança funcione?
A2. Se a segurança não estiver funcionando, apesar de habilitá -lo no arquivo conf, pode haver configurações ou dependências adicionais necessárias. É aconselhável se referir à documentação de CLAMAV para obter as instruções de configuração corretas.
Q3. O que acontece quando Clamav detecta um URL suspeito?
A3. Quando o CLAMAV detecta um URL suspeito, pode bloquear o acesso a esse URL ou acionar um alerta, dependendo da configuração. Isso ajuda a proteger os usuários de acessar sites potencialmente prejudiciais.
Q4. Com que frequência as definições de banco de dados de malware são atualizadas em CLAMAV?
A4. As definições de banco de dados de malware em clamav são atualizadas regularmente para garantir a proteção mais recente contra ameaças conhecidas. A frequência das atualizações pode variar, mas é recomendável manter o software atualizado para obter segurança ideal.
Q5. Pode escanear os arquivos de varredura de CLAMAV para malware e ameaças de phishing?
A5. Sim, o CLAMAV foi projetado para digitalizar arquivos para malware e ameaças de phishing usando várias técnicas de detecção. Ele pode ajudar a identificar e bloquear conteúdo potencialmente prejudicial para salvaguardar sistemas e usuários.
Q6. Que outros recursos o CLAMAV oferece além do cofre?
A6. O CLAMAV oferece uma variedade de recursos e funcionalidades além do cofre. Inclui digitalização para vírus, troianos, spyware e outros tipos de software malicioso. Além disso, ele pode detectar e bloquear anexos de e -mail suspeitos e fornecer relatórios detalhados de varredura.
Q7. Existem limitações ou problemas conhecidos com a integração de reflexão de Clamav?
A7. É difícil comentar limitações específicas ou problemas conhecidos sem mais informações. É recomendável se referir à documentação de CLAMAV, fóruns comunitários ou canais de suporte para obter as informações mais precisas e atualizadas sobre a integração de abordagem de segurança.
Q8. CLAMAV pode detectar malware de dia zero?
A8. CLAMAV conta com definições de vírus para detectar malware conhecido. Embora possa detectar muitas ameaças, incluindo variantes e padrões conhecidos, sua eficácia contra malware de dia zero (ameaças anteriormente desconhecidas) pode variar. É crucial manter as definições de software e vírus atualizados para minimizar o risco de ataques de dia zero.
Q9. Que etapas devo tomar se o clamav não conseguir detectar um URL suspeito?
A9. Se o clamav não detectar um URL suspeito, é essencial garantir que o software esteja configurado corretamente e atualizado. Você também pode considerar o uso de medidas de segurança adicionais, como filtragem na web ou lista negra de domínio, juntamente com o clamav para proteção abrangente.
Q10. Posso personalizar as ações que Clamav toma quando detecta um URL suspeito?
A10. Sim, o clamav permite a personalização das ações tomadas quando um URL suspeito é detectado. Você pode configurá -lo para bloquear o acesso, quarentena o arquivo, acionar alertas ou executar outras ações definidas com base em seus requisitos específicos e tolerância ao risco.
O que o clamav faz com a navegação segura do Google
V2.X resolve esse problema mantendo um espelho das definições de banco de dados de malware no armazenamento em nuvem, que é atualizado regularmente usando cvdupdate para baixar apenas os arquivos de diferença. Serviço de atualização de Clamav, FreshClam, depois apenas downloads deste espelho, evitando problemas com o CLAMAV CDN
Ativar navegação segura do Google no CLAMAV
Estou tentando habilitar o Google Safe Navegação Anti -Phishing/Malware Filtring no meu servidor de e -mail usando CLAMAV. Eu o habilitei no Freshclam.conf, e eu consegui uma nova nova proteção.Arquivo CLD no meu datadir. Mas quando eu corro uma varredura, através de Clamscan ou Clamdscan, ele não detecta links ruins. Eu testei com http: // ** malware.Teste ** .Google.teste **/teste/malware/que é um URL de malware de amostra fornecido pelo Google e que fez meu Firefox gritar até a morte, e eu testei com outros URLs ruins também. É o suporte à proteção contra a segurança ainda está disponível e trabalhando no atual mecanismo CLAMAV ? Eu tenho que permitir algo especial no meu arquivo conf ? Obrigado por qualquer ajuda ! Aqui estão algumas informações de depuração sobre o meu caso de teste:
principal.O CLD está atualizado (versão: 53, SIGs: 846214, N Nível F: 53, Builder: Sven) diariamente.O CLD está atualizado (versão: 12620, SIGs: 35178, N Nível F: 58, Builder: CCORDES) Segura de proteção.O CLD está atualizado (versão: 27036, SIGs: 544427, Nível F: 58, Builder: Google) Bytecode.O CLD está atualizado (versão: 123, SIGs: 29, Nível F: 58, construtor: Edwin) root@b/var/lib/clamav # ls -al Total 94920 drwxr-xr-x 2 CLAMAV CLAMAV 4096 2011-02-03 10:34 . drwxr-xr-x 39 raiz raiz 4096 2010-11-30 01:22 .. -RW-R-R-- 1 CLAMAV CLAMAV 437248 2011-01-23 15:25 BYTECODE.CLD -RW-R-R-- 1 CLAMAV CLAMAV 2311680 2011-02-03 07:25 DIÁRIO.CLD -RW-R-R-- 1 CLAMAV CLAMAV 65422336 2010-11-14 18:40 PRINCIPAL.CLD -RW ------- 1 CLAMAV CLAMAV 988 2011-02-03 10:34 Espelhos.DAT -RW-R-R-- 1 CLAMAV CLAMAV 28894720 2011-02-03 09:59 Segurança.ROOT CLD@b/var/lib/clamav # clamscan/tmp/malware-teste.teste EML /TMP /malware.EML: OK ----------- Resumo da varredura ----------- Vírus conhecidos: 1424589 Versão do motor: 0.96.5 Diretórios Digitalizados: 0 Arquivos Digitalizados: 1 Arquivos Infectados: 0 Dados Digitalizados: 0.00 MB Dados Leia: 0.00 MB (proporção 0.00: 1) Tempo: 2.739 seg (0 m 2 s) #utomaticamente gerado por CLAMAV-BASE Postinst #para reconfigurar clamd run #dpkg-reconfigure clamav-base #Please read/usr/share/doc/clamav-bashe/readme.Debian.gz para detalhes Localsocket/var/run/clamav/clamd.ctl FixStaleSocket true LocalSocketGroup clamav LocalSocketMode 666 # TemporaryDirectory is not set to its default /tmp here to make overriding # the default with environment variables TMPDIR/TMP/TEMP possible User clamav AllowSupplementaryGroups true ScanMail true ScanArchive true ArchiveBlockEncrypted false MaxDirectoryRecursion 15 FollowDirectorySymlinks false FollowFileSymlinks false ReadTimeout 180 MaxThreads 12 MaxConnectionQueueLength 15 LogSyslog false LogFacility LOG_LOCAL6 LogClean false LogVerbose false PidFile /var/run/clamav/clamd.PiddAcasedirectory/var/lib/lib/clamav e selfceck 3600 em primeiro plano de depuração falsa depuração falsa scanpe scano verdadeiro scanhtml verdadeiro verdadeiro detectbrocenexectivles false extonoom falselingslockslatesfishingshishingSlates FishingSlates FishingSlates FishingsAlatesSlates FishingsAlatesSlates FishingsAlatessAlatesSlates FishingsAlates FishingsAlates FishishingsAlmingSlates FishingSalsAlates FishingSalsAlates FishingSalsAlates FishishingsAlmingsAlatesSlates FishishingsAlatesSAlates Falso detectpua false scanParcialMesses.LogTime True LogFileUnlock False LogFilemaxSize 0 Bytecode true bytecodesecurity trustsignado bytecodeTimeout 60000 oficialdatabaseOnly false crossfilesystems true O que o clamav faz com a navegação segura do Google?
Eu habilitei essa funcionalidade em clamav: mas o que isso significa? Será agora os arquivos de digitalizar esses URLs relacionados a malware/phishing suspeitos? Ou.
Perguntado em 1 de outubro de 2015 às 18:11
User364819 User364819
1 de outubro de 2015 às 18:23
Para o próximo quem quer lançar uma votação próxima ou uma votação descendente ou ambos: por favor, deixe uma nota explicando o porquê.
– User364819
3 de outubro de 2015 às 10:25
Eu entendo como você se sente paranóico panda, mas é altamente improvável que quem lançou a votos do descendente jamais lerá seu comentário;)
GoogleCloudPlatform/Docker-Clamav-Malware-Scanner
Este compromisso não pertence a nenhum ramo neste repositório e pode pertencer a um garfo fora do repositório.
Switch Branches/Tags
Tags de ramificações
Não foi possível carregar ramificações
Nada para mostrar
Não foi possível carregar tags
Nada para mostrar
Nome já em uso
Uma tag já existe com o nome da filial fornecida. Muitos comandos Git aceitam nomes de tag e ramificação; portanto, criar este ramo pode causar comportamento inesperado. Tem certeza que deseja criar este ramo?
Cancelar Criar
- Local
- Codespaces
Https github cli
Use Git ou Checkout com SVN usando o URL da Web.
Trabalhe rápido com nossa cli oficial. Saiba mais sobre a CLI.
Autenticação necessária
Faça login para usar os espaços de codificina.
Lançando o GitHub Desktop
Se nada acontecer, faça o download do GitHub Desktop e tente novamente.
Lançando o GitHub Desktop
Se nada acontecer, faça o download do GitHub Desktop e tente novamente.
Lançando Xcode
Se nada acontecer, faça o download do Xcode e tente novamente.
Lançando o código do Visual Studio
Seu espaço de código será aberto uma vez pronto.
Houve um problema para preparar seu espaço de código, por favor tente novamente.
Última confirmação
Estatísticas Git
arquivos
Falha ao carregar informações mais recentes de compromisso.
Última mensagem de confirmação
Comprometer o tempo
Leia-me.MD
Serviço de scanner de malware
Este repositório contém o código para construir um pipeline que digitalize objetos enviados para GCS em busca de malware, movendo os documentos para um balde limpo ou em quarentena, dependendo do status de varredura de malware.
Ele ilustra como usar a nuvem e o EventAc para construir um pipeline.
Como usar este exemplo
Use o tutorial para entender como configurar seu projeto do Google Cloud Platform para usar a nuvem Run e o EventArc.
- 2019-09-01 Versão inicial
- 2020-10-05 Correções para CLAMAV OOM
- 2021-10-14 Use Cloud Run e Eventarc em vez de funções em nuvem/mecanismo de aplicativo
- 2021-10-22 Melhorar a resiliência, usar leituras de streaming (sem disco temp necessário), melhorar o registro e lida com arquivos nos subdiretos
- 2021-11-08 V1.2.0 Adicione suporte para digitalizar vários baldes, melhorar o manuseio de erros para evitar tentativas infinitas
- 2021-11-22 V1.3.0 Remova o requisito para as permissões do visualizador do projeto.
- 2022-02-22 V1.5.0 Corrija a vulnerabilidade do nó-forge.
- 2022-03-01 V1.6.0 suporta tamanhos de arquivo maiores (até 500mib) (#24)
- 2022-06-07 V1.7.0 Corrija a edição nº 32, onde o clamav não pode se atualizar no início do contêiner
- 2022-11-25 V2.0.0 Resolva #35 onde os servidores de atualização do CLAMAV Blacklist Cloud Run IPS. Adiciona um cache local de arquivos de definição de clamav que são atualizados em um cronograma.
Atualização de V1.x a v2.x
A versão 2 tem uma maneira diferente de lidar.
O CLAMAV exige um banco de dados de definição de vírus atualizado para funcionar, mas os contêineres de corrida em nuvem estão sem estado. Portanto, em v1.x, na inicialização de contêineres, o FreshClam Daemon Downloads todo o banco de dados de definição de vírus do CDN de CLAMAV.
O CLAMAV atualizou seu CDN para limitar os downloads por endereço IP para evitar o uso excessivo e, como o Cloud Run usa um pool de endereço IP comum para todas as conexões de saída, V1.X frequentemente acionava essa limitação de taxa, que impediu o download e a atualização das definições de banco de dados CLAMAV, e impediu a inicialização de contêineres.
V2.X resolve esse problema mantendo um espelho das definições de banco de dados de malware no armazenamento em nuvem, que é atualizado regularmente usando cvdupdate para baixar apenas os arquivos de diferença. Serviço de atualização de Clamav, FreshClam, depois apenas downloads deste espelho, evitando problemas com o CLAMAV CDN
Diferenças entre V1.x e v2.x
v2.x usa a configuração.Arquivo JSON para passar a configuração do balde – anteriormente isso era necessário apenas se vários baldes não escanados estiverem configurados
v2.x requer os seguintes serviços adicionais
- Um balde de armazenamento em nuvem adicional para o espelho de banco de dados CLAMAV
- Um trabalho de agendador em nuvem para acionar a atualização do espelho de armazenamento em nuvem. Isso faz com que o contêiner execute o UpdateCvdMirror.sh.
Supondo que você já tenha um V1.7.0 Serviço instalado, execute as etapas a seguir no Shell Cloud para atualizá -lo para V2.0:
- Habilite a API do Scheduler em nuvem em seu projeto.
- Clone, ou busque e faça o checkout da cabeça do repositório do GitHub para obter o 2.0 arquivos de origem
- Mudar para o diretório CloudRun-Malware-Scanner:
cd Docker-Clamav-Malware-Scanner/CloudRun-Malware-Scanner Região = US-Central1 Localização = Us Project_id = My_Project_id Service_Name = Malware-Scanner Service_Account ="$ @$ .eu sou.GServiceAccount.com" GCLOUD Config definir projeto "$ " gsutil mb -l "$ " "gs: // cvd-mirror-$ " gsutil iam ch \ "ServiceAccount:$: objectAdmin" \ "gs: // cvd-mirror-$ " sed "s/-bucket-name/-$ /" Config.JSON.tmpl > Config.JSON Nano Config.JSON python3 -m venv pyenv . pyenv/bin/ativar pip3 install cvdupdate ./updateCvdMirror.sh "CVD-Mirror-$ " desativar
Você pode verificar o conteúdo do espelho com o comando:
GSUTIL LS "gs: // cvd-mirror-$ /cvds" exportar Service_name = Malware-Scanner Gcloud Beta Run Implante "$ " \ --fonte . \ --região "$ " \--no-allow-unauthenticated \-Memória 4gi \--cpu 1 \-Concurrency 20 \--Min-Instances 1 \--Max-Instances 5 \--no-cpu-tlotling \--cpu-boost \--SERVICE-COCT ="$ "
A construção e a implantação levam cerca de 10 minutos. Uma vez concluído, você verá uma mensagem:
Serviço [Malware-Scanner] Revisão [Malware-Scanner-NNNN-XXX] foi implantado e está servindo 100 % do tráfego. URL de serviço: https: // malware-scanner-xxxxxxxxx-xx.a.correr.aplicativo Armazene o valor da URL de serviço a partir da saída do comando de implantação em uma variável de shell.
Service_url = "https: // malware-scanner-xxxxxxxxx-xx.a.correr.aplicativo" enquanto : ; fazer # Definir minuto para um número aleatório entre 3 e 57 Minuto ="$ ((ALEATÓRIO%55 + 3))" # Sair Loop se minuto não for um múltiplo de 10 [[ $ ((MINUTO % 10)) != 0]] && quebrar feito GCLOUD Scheduler empregos Crie http \ "$ -mirror -update" \ - -location ="$ " \ - -schedule ="$ */2 * * *" \ --oidc-service-conta-email ="$ " \ --uri ="$ " \--http-method = post \ ---sessage-body ='' \ -headers ="Tipo de conteúdo = Aplicativo/JSON"
O argumento da linha de comando–schedule define quando o trabalho será executado usando o formato de string unix-cron. O valor dado indica que deve ser executado no minuto específico gerado aleatoriamente a cada 2 horas. Este trabalho só atualizará o CLAMAV espelho no armazenamento em nuvem. O daemon do Freshclam Clamav em cada instância do trabalho de corrida em nuvem verificará o espelho a cada trinta minutos para novas definições e atualizará o daemon de CLAMAV. Você pode forçar este trabalho a ser executado a qualquer momento usando o comando:
GCLOUD Scheduler empregos Execute malware-scanner-update--location ="$ "
Visualizando logs detalhados
- No console da nuvem, vá para a página do Logs Explorer.
- Se o Campos de log O filtro não é exibido, clique no Campos de log botão.
- No Campos de log filtre, clique Revisão da Run Cloud
- No Nome do Serviço seção do Campos de log filtre, clique Malware-scanner
Você pode ver as definições de malware espelhar as verificações das seguintes linhas de log:
Inicial. saída: . Se o espelho foi atualizado, haverá uma linha adicional:
CVD Mirror Atualizado: DATETIME DIÁRIO.CLD atualizado (versão: mmmmm . Os registros de atualização de daemon do FreshClam aparecerão a cada 30 minutos e mostrarão como:
Sinal de recebimento: o processo de atualização do Wake Up Clamav começou em segunda -feira, 14 de novembro, 14:29:51 2022 diariamente.O banco de dados CVD está atualizado (versão: nnnnn . principal.O banco de dados CVD está atualizado (versão: nnnnn . bytecode.O banco de dados CVD está atualizado (versão: nnnnn . Se o banco de dados foi atualizado, as linhas de log mostrarão como:
DateTime -> diariamente.CLD atualizado (versão: mmmmm . Copyright 2022 Google LLC
Licenciado sob a licença do Apache, versão 2.0 (a “licença”); Você não pode usar este arquivo, exceto em conformidade com a licença. Você pode obter uma cópia da licença em
https: // www.apache.org/licenças/licença-2.0 A menos que exigido pela lei aplicável ou acordada por escrito, o software distribuído sob a licença é distribuído “como está”, sem garantias ou condições de qualquer tipo, expressa ou implícita. Veja a licença para o idioma específico que rege as permissões e limitações sob a licença.
Google usa CLAMAV?
A CLAMAV forneceu um banco de dados de assinatura usando a API de abastecimento de segurança do Google para fornecer proteção avançada contra e -mails com links para sites suspeitos.
A partir de novembro. 11, 2019, paramos de atualizar o banco de dados de assinatura protegida por proteção, porque o Google anunciou alterações em seus termos de serviço da API de proteção.
O Google agora exige que os usuários comerciais usem a API de risco da Web do Google, um recurso com fins lucrativos, em vez da API de proteção. Embora o próprio CLAMAV seja gratuito e de código aberto, não podemos continuar fornecendo dados do Google Safewrowsing ao público em geral.
Hoje, temos o prazer de abrir uma nova ferramenta para os usuários gerarem seus próprios bancos de dados de assinatura de proteção contra suas credenciais de API de proteção pessoal para uso, de acordo com as políticas do contrato de usuário da API de Brown-Browsing.
