YARA é uma ferramenta usada por várias proteções contra malware usadas para criar a descrição de famílias de malware com base em padrões textuais binários. O malware detectado, " Safe0ver Shell -Safe Mod Bypass por Evilc0der.php ", parece um webshell PHP, uma ferramenta de exploração que provavelmente é usada para obter acesso shell em servidores vulneráveis executando PHP.
No entanto, os locais onde o malware foi encontrado estão em diretórios nos quais o CalmAV ou o MalDet armazena seus arquivos de assinatura . Além disso, para estar ativo, o malware detectado deve estar no formato original (tipo MIME application/x-httpd-php
), o que não é. Os arquivos de assinatura devem conter informações suficientes sobre o malware para detectá-lo, o que pode causar falsos positivos quando os arquivos de assinatura são verificados com uma ferramenta de detecção de malware.
A saída parece ser do ClamAV. O ClamAV é originalmente projetado para escanear e-mails (e sites) em vez de sistemas de arquivos inteiros. Isso aumenta ainda mais a taxa de falsos positivos.
Você pode excluir esses diretórios. Para isso
-
clamscan
tem opção--exclude=REGEX, --exclude-dir=REGEX Don't scan file/directory names matching regular expression. These options can be used multiple times
-
clamdscan
usaclamd.conf
- Arquivo de configuração para o Clam AntiVirus Daemon. O local do arquivo de configuração pode ser definido pela opção--config-file=FILE
e o arquivo de configuração aceitaExcludePath REGEX
diretivas. -
O Linux Malware Detect tem um arquivo para listar os caminhos a serem ignorados:
.: 8 [ IGNORE OPTIONS ] There are four ignore files available and they break down as follows: /usr/local/maldetect/ignore_paths A line spaced file for paths that are to be execluded from search results Sample ignore entry: /home/user/public_html/cgi-bin