Melhor proteção contra malware do ClamAV

Navegue suas respostas
4

Estou um pouco preocupado com a segurança da minha máquina Linux. O ClamAV mostra que detecta malware, mas apenas durante a verificação manual. Talvez não tenha sido projetado para ser executado em segundo plano. Eu não sei. Eu só quero uma boa proteção para o meu sistema.
Atleast Avast no Windows bloqueia imediatamente qualquer interação adicional, mesmo que tenha um leve indício de atividade maliciosa. Eu não vi nenhum popup de malware do Windows durante a verificação manual em muito tempo.

Recentemente o ClamAV mostrou muitas ameaças e muitas vezes antes 

/home/arjun/.cache/mozilla/firefox/velcy2qd.default-1475046670923/cache2/entries/5B6A5C07930975FDE8750B7CA9824A79551A31A2      PUA.Win.Tool.Packed-177         
/home/arjun/.config/min/Cache/f_000036                                                                                         PUA.Win.Trojan.Xored-1          
/home/arjun/.config/min/Cache/f_000020                                                                                         PUA.Win.Trojan.Xored-1          
/home/arjun/.config/Vectr/Cache/f_000006                                                                                       PUA.Html.Trojan.Agent-37075     
/home/arjun/.npm/accessibility-developer-tools/2.11.0/package.tgz                                                              PUA.Html.Trojan.Agent-37075     
/home/arjun/.npm/npm/2.15.11/package.tgz                                                                                       PUA.Win.Trojan.Xored-1          
/home/arjun/.npm/imurmurhash/0.1.4/package.tgz                                                                                 PUA.Win.Trojan.Xored-1          
-------------------------------------------------------------------------------------------------------------------------------------------------------------------

Eu não sei se são falsos positivos ou realmente malwares. Se passarmos por este relatório - link - mostra que o ClamAV tem cerca de 60% de eficiência.
Na verdade, o relatório recomenda ir com o Kaspersky ou mesmo Sophos seria muito melhor. E há muitos outros relatórios na internet aconselhando o mesmo.

  1. Você já usou outro software com melhor proteção do que o ClamAV?
  2. Existe algum "aprimoramento" possível para aumentar a detecção de ameaças no ClamAV, já que é leve? (Eu vi alguns sites sugerindo adicionar suas assinaturas de ameaças à lista do ClamAV. É seguro?)
  3. Em geral, isso é importante, algumas configurações que podem ser realizadas para proteção reforçada, sem desacelerar a máquina.
por arjun 23.01.2017 / 08:25

3 respostas

8

  

Talvez não tenha sido projetado para ser executado em segundo plano.

Sim, é. O wiki mostra os métodos que o executam como um daemon e como um scanner:

  

Execute o ClamAV como um daemon

     

Instale o daemon clamav. Você pode então usar o clamdscan onde você   anteriormente usaram clamscan. Muitos programas, especialmente e-mail   servidores, pode se conectar a um daemon do ClamAV. Isso acelera a varredura de vírus   como o programa está sempre na memória.

     

O pacote clamav-daemon cria um usuário 'clamav'; para que seja permitido   ClamAV para escanear arquivos do sistema, como o spool de e-mail, você pode adicionar   clamav para o grupo que possui os arquivos.

     

Deixe o ClamAV ouvir as Varreduras de Entrada

     

Existem casos em que você pode querer que o daemon do ClamAV atue como um scanner   para outros sistemas, para que você não precise executar tudo localmente no   sistema.

     

Para fazer isso, você simplesmente tem que modificar o arquivo clamd.conf e adicionar   Os argumentos TCPSocket PORTNUMBER e TCPAddr IPADDRESS para o clamd.conf   arquivo e recarregue o daemon. O daemon então aceitará conexões para   através do endereço IP e da combinação de portas que você especificar.

  

Eu só quero uma boa proteção para o meu sistema.

O Linux é fundamentalmente diferente do Windows, portanto, não herdamos os problemas que o Windows (ainda) enfrenta. Nosso sistema foi configurado como um sistema multiusuário: espera-se que mais de um usuário ao mesmo tempo o use. Isso significa que temos um modelo de segurança embutido em nosso sistema, pois não é esperado que alguns usuários vejam todo o conteúdo ou sejam capazes de fazer o que quiserem em nossos sistemas. Isso também impede que o malware abuse do seu sistema.

Sim, isso não torna o Linux invulnerável. Mas, desde que seja mais fácil infectar milhões de sistemas Windows do que infectar 1 máquina Linux, nós ganhamos. Somente se sua máquina for especificamente direcionada (quando você executar um servidor de jogos, por exemplo), você precisará tomar precauções. Mas esses são: criar backups regulares, usar uma senha boa, usar um roteador, manter um olho no rastreador CVE , mantendo seu sistema atualizado e não instalando software desnecessário. Todas as coisas que você deveria fazer de qualquer maneira.

  • Você já usou outro software com melhor proteção do que o ClamAV?

Sim (1ª parte: como administrador do sistema para mais de 30 sistemas, examinei vários scanners de vírus e detectores de kits de raiz e também fiz uma avaliação sobre riscos de ameaças quando não os usei) e não (2ª parte). Mas o não não é porque o ClamAV é tão bom: é tão ruim quanto qualquer outro scanner de vírus. Todos os scanners de vírus têm uma taxa de sucesso tão baixa que são inúteis. Quando quase 100% de todas as reivindicações que afirma serem vírus são falsas, não posso usá-las.

  • Existe algum "aprimoramento" possível para aumentar a detecção de ameaças no ClamAV, já que é leve? (Eu vi alguns sites sugerindo adicionar suas assinaturas de ameaças à lista do ClamAV. Isso é seguro?)

Veja por exemplo o "signatures.pdf" no diretório "doc" do ClamAV sobre como fazer upload de assinaturas extras de vírus.

Mas isso só é útil quando você realmente encontra um vírus como a primeira pessoa. O arquivo de definição de vírus recebe atualizações regularmente, então duvido que haja algo a melhorar.

  • No geral (e isso é importante), abaixo você pode encontrar tarefas adicionais que podem ser executadas para proteção reforçada, sem abrandar a máquina.

Esta é uma questão por si só e também não tem relação com os scanners de vírus.

  • Criptografe seu sistema.
  • Não instale software que permita usar os serviços FTP, Telnet, rlogin e rsh
  • Minimize o software instalado: não o use? Remova-o.
  • Mantenha seu sistema atualizado.
  • Use senhas strongs e o envelhecimento da senha.

Importante:

A proteção do seu sistema não vem do software antivírus; vem de como você trata seu sistema. Se você já encontrou um vírus, está muito atrasado: a remoção de um vírus não é suficiente, pois seu sistema foi comprometido e precisa ser reinstalado a partir de um backup limpo comprovado . Você sempre tem que assumir que eles tem sua senha de administrador.

    
por Rinzwind 23.01.2017 / 09:14
1

LoL, vocês são divertidos: -)

Ok, em assuntos mais sérios, o que você precisará fazer para mantê-lo seguro é controlar seu sistema e sua rede. Para fazer isso, há coisas que precisam ser aprendidas:

  1. Tudo sobre redes, comece pequeno.
  2. Como configurar seu firewall ( Ufw ou, melhor ainda, Iptables )
  3. Aprenda sobre Nethogs e use-o para informações de tráfego ao vivo. Na pior das hipóteses, você pode sempre desativar a rede, se estiver paranóico quando não entender o tráfego.
  4. Instale e aprenda sobre Snort . Um deve ter configuração!
  5. Outro deve ter um addon de navegador Sem script . Isso impedirá que você seja infectado em primeiro lugar. Apenas certifique-se de oferecer suporte a sites confiáveis, ativando scripts para eles especificamente, porque todos os scripts estão desabilitados por padrão.
  6. Opcionalmente, obtenha o Nmap e o Wireshark . Ambos muito úteis.
  7. Cuidado com o que você instala no seu sistema. Sempre use o Ubuntu Center, se possível, e verifique seus downloads .
  8. Criptografar informações confidenciais. Melhor você do que outra pessoa. O Ubuntu foi construído em encriptação enfs que você deve verificar.
  9. Use Cron ou Inotify para verificar se seus arquivos de chave foram acessados ou modificados e, em caso afirmativo, para alertá-lo.
  10. Tenha cuidado ao jogar com grupos e usuários. A coisa menos prejudicial que pode acontecer é se trancar para fora da raiz.

Bem, isso é sobre isso. Eu provavelmente perdi coisas, como ClamAV por exemplo, que eu nunca usei. Eu poderia procurar por uma camada extra de segurança. Ah, e acima de tudo, use seu cérebro, ninguém vai usá-lo para você.

    
por user633551 27.01.2017 / 09:54
0

Você pergunta:

"2. Existem alguns" aprimoramentos "possíveis para aumentar a detecção de ameaças no ClamAV, já que é leve?"

Você pode configurar o daemon clamav para verificar todos os arquivos recebidos, incluindo arquivos de cache do navegador. Tenho certeza que o clamxav faz isso para o OSX.

    
por BenjaminBrink 26.01.2017 / 00:06

Tags

Maximize a janela ativa no terminador Instalando o Wireshark