ClamAV を運用していると,何年も前に入手し通常はアクセスしない PDF ファイルの中から,Pdf.Exploit 系の検出がなされる場合がある.
普通に clamdscan を走らせると発見されると同時に消されてしまうので,たまに困ることがある.
検出しても削除しないようにする
私の環境では,clamdscanだとうまく制御できなかったので,crontab で clamscan を呼ぶことにした.
メールの宛先とかは自分でいじってちょ.
あと freshclam はデーモン化して走らせておくこと.
#!/bin/sh SCAN=/usr/bin/clamscan OPT='-ri' ROOT=/ LOG=/root/clamav.log MAIL=/usr/bin/mail FROM=root@HOSTNAME TO=USERNAME@HOSTNAME ALART_S="MALWARE was found on $(hostname)!" ALART_B='see the log file attached.' MSG_S="last scan log on $(hostname)" MSG_B="last scan was finished at $(date)" $SCAN $OPT $ROOT > $LOG MALWARE=$(tail "$LOG"|grep Infected|cut -d" " -f3) if [ "$MALWARE" -ne "0" ]; then echo "$ALART_B"|$MAIL -a $LOG -s "$ALART_S" -r "$FROM" "$TO" else echo "$MSG_B"|$MAIL -a $LOG -s "$MSG_S" -r "$FROM" "$TO" fi
特定のシグネチャを無視させる
検出されるシグネチャが増えると誤検出もメールに記載されるため分かりづらくなってくる.
そのシグネチャ自体を無視したい場合は,/var/lib/clamav/hogehoge.ign2
とign2ファイルを作ってシグネチャ名をリストしておく.
$ echo Pdf.Exploit.CVE_2016_4207-1 | tee -a /var/lib/clamav/local.ign2
なお,上のシグネチャを無視するかは,貴方の判断で行なうこと.
特定のファイルを無視させる
明らかに問題ないと自分で思っているファイルだけ,あらゆる検出から無視させる場合は,/var/lib/clamav/hogehoge.fp
とfpファイルを作ってファイルのシグネチャをリストしておく.
$ sigtool --sha256 /path/to/file | sudo tee -a /var/lib/clamav/local.fp
どっちのがリスクが高いかは使い方次第なので,やっぱし貴方の判断で設定すること.