Открытый антивирусный пакет для проверки на вирусы пересылаемых посредством электронной почты или в файловых архивах. Состоит из многопоточного демона, утилиты-сканера для проверки из командной строки.В базе около 10000 вирусов, червей и троянских программ. Имеются средства для автоматического обновления базы через Интернет. Поддерживает архивы RAR (2.0), Zip, Gzip, Bzip2, может проверять вирусы прямо в mailbox или maildir.
URL: http://www.clamav.net/
Новость: http://www.opennet.me/opennews/art.shtml?num=3275
это в свете новой лицензионной политики от DrWeb ? :)
А что за политика?
http://drweb.ru/buy/ju/
теперь платим за каждый проверяемый почтовый ящик. суммы з годовую лицензию можете оценить сами. веселуха
Угу. не иначе именно поэтому новость появилась :)
10000? Маловато...
>10000? Маловато...Поддержку старья тянуть не так актуально, без поддержки DOS'овых вирусов можно обойтись, главное чтобы новые вирусы вовремя попадали в базу.
Кстати, хвалят RAV AntiVirus (http://www.ravantivirus.com), есть у кого-нибудь практика его использования ?
кстати, после freshclam
Known viruses: 19802
>Кстати, хвалят RAV AntiVirus (http://www.ravantivirus.com), есть у кого-нибудь практика его использования ?
Насчет практики - вопрос, а вот то, что M$ купила RAV и разработчики юниксового RAV перешли к Касперскому, весьма показательно :-)
Вчера, увидев новость о новой лицензионной политике DrWeb (у меня на почтовом Linux серваке стоит evalution версия DrWeb), поставил ClamAV к себе на рабочее место. Взял c почтового сервака содержимое каталога infected (сюда DrWeb складывает зараженные файлы) и натравил на него clamscan: из 93 файлов инфицированными были признаны только 55. Три типа вирусов он не отловил. Через http://www.nervous.it/~nervous/cgi-bin/sendvirus.cgi послал об этом сообщения. Буду теперь смотреть как быстро появятся обновления к базе с вирусами.
Сорри. Дал маху. Оказалось, что есть уже более свежая версия ClamAV 0.65 (у меня была 0.61). Она отловила вирусы в 91 файле из 92. С оставшимся 1-им файлом щас буду разбираться. Поиграюсь с ним ClamAV-ов месяцишко и наверно навьючу на почтовый сервак.
/var/clamav/bin/clamscan --mbox --unzip --unrar -r infected/
....................................----------- SCAN SUMMARY -----------
Known viruses: 19802
Scanned directories: 1
Scanned files: 290
Infected files: 290
Data scanned: 19.21 MB
I/O buffer size: 131072 bytes
Time: 14.163 sec (0 m 14 s)прикольно :)
>/var/clamav/bin/clamscan --mbox --unzip --unrar -r infected/
>....................................
>
>----------- SCAN SUMMARY -----------
>Known viruses: 19802
>Scanned directories: 1
>Scanned files: 290
>Infected files: 290
>Data scanned: 19.21 MB
>I/O buffer size: 131072 bytes
>Time: 14.163 sec (0 m 14 s)
>
>прикольно :)Спасибо за инфу....
А вот фиг!
первый попашийся троян по яндексу:
su-2.05a# clamscan /var/drweb/infected/
/var/drweb/infected//drweb.quarantine.fgLnWs: OK----------- SCAN SUMMARY -----------
Known viruses: 19802
Scanned directories: 1
Scanned files: 1
Infected files: 0
Data scanned: 0.08 MB
I/O buffer size: 131072 bytes
Time: 0.660 sec (0 m 0 s)Как видно веб его поймал.
--mbox ключик добавить не пробовал?
а что хоть за троян ?
Не помню.
Ключ нафиг не нужен, ибо как он его и так пропустил, на работающем сервере: данный пример просто лишнее доказательство.
Нет батенька, ключ просто обязателен, так как clamavский сканер должен
знать, что сканирует, на LOR тоже утверждали что из 300т писем, clamav
только половину признал за вирусню, а когда добавили ключик --mbox,
то почти все, кроме 2х или 3х, точно уже не помню...
Опыт был какраз с карантином от Dr.Web...
>Нет батенька, ключ просто обязателен, так как clamavский сканер должен
>знать, что сканирует, на LOR тоже утверждали что из 300т писем, clamav
>
>только половину признал за вирусню, а когда добавили ключик --mbox,
>то почти все, кроме 2х или 3х, точно уже не помню...
>Опыт был какраз с карантином от Dr.Web...
>Неа. Еще раз повторюсь - на почтовике работали оба антивиря одновременно: clamav проверяет файлы на уровне получения почты, а веб уже после ее принятия...
Плохо, что в комплекте идет только milter для sendmail'а.
там есть contributed software
через amavis думаю накрутишь к чему тебе надо.
http://www.mail-archive.com/clamav-users@lists.sourcefo...
А кто прикрутил это дело к postfix?
попробовал sagator да у него makefile написан, млин - ну ставится в общем.
>А кто прикрутил это дело к postfix?
>попробовал sagator да у него makefile написан, млин - ну ставится в
>общем.Я прикрутил.
Через amavisd-new.
Заодно и спам ловит :)
http://www.geocities.com/scottlhenderson/spamfilter.html
TrendMicro и только. www.antivirus.com
Никак не могу настроить вызов проверки из sendmail-а по приведенному в документации примеру:INPUT_MAIL_FILTER(‘clmilter’,‘S=local:/var/run/clmilter.sock,
F=, T=S:4m;R:4m’)dnl
define(‘confINPUT_MAIL_FILTERS’, ‘clmilter’)может не в той последовательности прописываю вышеозначенный фрагмент в своем .mc, ругается sendmail (8.12.10) таким образом:
Jan 9 22:35:53 alex sm-mta[156]: NOQUEUE: SYSERR(root): /etc/mail/sendmail.copy.cf: line 1675: X\021clmilter\022: unknown filter equate \021=
Jan 9 22:35:53 alex sm-mta[156]: NOQUEUE: SYSERR(root): /etc/mail/sendmail.copy.cf: line 1675: X\021clmilter\022: empty or missing socket information
/usr/local/sbin/clamd и /usr/local/sbin/clamav-milter -blo /var/run/clamav/clmilter.sock запущены.Да, вызов clanav хочу производить до drweb, может кто приведет свои строчки уже из .cf, которые будут вызывать clamav, впишу себе.
>Никак не могу настроить вызов проверки из sendmail-а по приведенному в документации
>примеру:
>
>INPUT_MAIL_FILTER(‘clmilter’,‘S=local:/var/run/clmilter.sock,
>F=, T=S:4m;R:4m’)dnl
>define(‘confINPUT_MAIL_FILTERS’, ‘clmilter’)
>
>может не в той последовательности прописываю вышеозначенный фрагмент в своем .mc, ругаетсяINPUT_MAIL_FILTER(`clmilter', `S=local:/var/run/clamav/clmilter.sock, F=, T=S:4m;R:4m')
dnl define(`confINPUT_MAIL_FILTERS', `clmilter')
все работает, кстати с умом читать нужно ;) , автор сделал пару ошибок:
Configuration - /usr/local/etc/clamav.conf:This controls how ClamAV functions. The changes you need to make are:
#Example
#Comment This Line!!LocalSocket /var/run/clamav/clamd.sock
Не нужно коментировать! Нужно исправить
/usr/local/etc/rc.d/clamav-clamd.sh:
clamav_clamd_socket=${clamav_clamd_socket:-"/var/run/clamav/clamd.sock"}Кроме того:
/usr/local/etc/mail/spamassassin/local.cf:вроде у Lavr'а нарыл где то на сайте образец и у меня он вышел такой:
trusted_networks 192.168/16 127/8 # all in 192.168.*.* and 127.*.*.*
trusted_networks 127. # all in 127.*.*.*# whitelist
whitelist_from *@мой.хост
whitelist_from *@хост.прова
whitelist_from *@еще_один_хост.прова
whitelist_from localhost# blacklist
#blacklist_from
#blacklist_to# переписать поле subject
rewrite_subject 1И в конце:
Clamd log rotation:first and foremost, make sure that clamav is gonna drop a pidfile. in /usr/local/etc/clamav.conf, uncomment:
# This option allows you to save the process identifier of the listening
# daemon (main thread).
PidFile /var/run/clamd.pid (сейчас правильно /var/run/clamav/clamd.pid)then, add the following (one line) to /etc/newsyslog.conf
/var/log/clamd.log 644 3 * $W0D1 BJ /var/run/clamd.pid 1
(соответственно: var/run/clamav/clamd.log 644 3 * $W0D1 BJ var/run/clamav/clamd.pid 1)
к экзиму прикручивается на раз. пока нареканий нет. ловит всё. буду переезжать с дрвеба -- лицензия заканчивается.
>к экзиму прикручивается на раз. пока нареканий нет. ловит всё. буду переезжать
>с дрвеба -- лицензия заканчивается.Кстати, а exiscan patch нормально встал?
А то у меня все сторонние утилиты типа exiwhat матерятся на неправильную строку конфига av_scanner, мол мы такой опции аще не знаем....
А как под exim его настроить...
И вообще кнонибуть бы статейкуб замаклякол по нему. А то не какой инфы нет. Убобо читаемой т.е. на русском.
>А как под exim его настроить...
>И вообще кнонибуть бы статейкуб замаклякол по нему. А то не какой
>инфы нет. Убобо читаемой т.е. на русском.
Информации полно!
Работы на 30 мин...
А вот как настроить clamav чтобы он пропускал инфицированные письма с пометкой?
clamav-milter этого не умеет.смотреть в сторону amavis-milter?
Как лечить зараженные файли clamav'om?
С какими опциями надо запустить, если они есть?
а то он только мочит и переносит.
Смысал его использовать?
Я с такими возможностями могу и веба использовать.
:(
>Как лечить зараженные файли clamav'om?
Никак - он вирусы не лечит, только находит.
>С какими опциями надо запустить, если они есть?
>а то он только мочит и переносит.
>Смысал его использовать?
Смысл - найти вирус и не пропустить его.
Да и с вирусами обычно идут совершенно случайные файлы ( за редким исключением). Лечить - смысла особого нет. Вылечит вряд ли, а ресурсов надо много, да и база с сигнатурами вирусов должна быть намного больше - что б их вылечивать.
>Я с такими возможностями могу и веба использовать.
И много вирусов он вылечивает?
А я вот что скажу, на примере известного вируса MyDoom.
Итак, как мы знаем, вирус появился где-то 26-го января (информация не точная, но в общем-то не очень нужная (см.ниже)) 28-го января или даже позже о нем уже говорили в новостях, что в общем то неудевительно, т.к. по E-mail ходило уже достаточное его количество (AVP обнаружили этот вирус 27-го в восемь утра - http://www.viruslist.com/alert.html?id=144487727)
А База ClamAV была обновлена 28-го же числа (см. maillist) и сходная ситуация со всеми известными вирусами (я сам проверил более сорока наименований) так что этот продукт имеет право на жизнь, хотя конечно, полусуточное отставание от коммерческого мира (drweb, avp, mcafee) безусловно есть.
Совершенно безобидные файлы кламав иногда метит как W97M.Flop.A (проверял и avp и др.веб и nod32 и др.) Мне пришлось натравливать exim-овский фильтр, дабы пропускать такую почту. Кто-нибудь еще сталкивался?
А есть ли русскоязычная дока по прикручиванию ClamAV к SendMail? В пакадже для FreeBSD говрится про clam-milter, но такой программы в пакадже нет. Может, вместо неё - clamscan?
>А есть ли русскоязычная дока по прикручиванию ClamAV к SendMail? В пакадже
>для FreeBSD говрится про clam-milter, но такой программы в пакадже нет.
>Может, вместо неё - clamscan?
есть.
надо конфигурить с опцией --enable-milter
> надо конфигурить с опцией --enable-milterПробовал - получаю пачку сообщений об ошибках:
/usr/lib/libc.so: warning: this program uses f_prealloc(), which is not recommended.
/usr/lib/libc.so: WARNING! des_cipher(3) not present in the system!
/usr/lib/libc.so: warning: tempnam() possibly used unsafely; consider using mkstemp()
creating sigtool
Making all in database
Making all in docs
Making all in etc
Making all in clamav-milter
source='clamav-milter.c' object='clamav-milter.o' libtool=no depfile='.deps/clamav-milter.Po' tmpdepfile='.deps/clamav-milter.TPo' depmode=gcc /bin/sh ../depcomp gcc -DHAVE_CONFIG_H -DSENDMAIL_BIN=\"/usr/sbin/sendmail\" -I. -I. -I.. -I../clamd -I../libclamav -I../clamscan -g -O2 -c `test -f 'clamav-milter.c' || echo './'`clamav-milter.c
In file included from clamav-milter.c:394:
/usr/include/arpa/inet.h:89: warning: parameter has incomplete type
/usr/include/arpa/inet.h:92: warning: parameter has incomplete type
/usr/include/arpa/inet.h:96: warning: parameter has incomplete type
clamav-milter.c:426: redefinition of `in_port_t'
/usr/include/sys/types.h:77: `in_port_t' previously declared here
*** Error code 1Stop in /home/ftp/pub/FreeBSD/ClamAV/clamav-0.68/clamav-milter.
*** Error code 1Stop in /home/ftp/pub/FreeBSD/ClamAV/clamav-0.68.
*** Error code 1Stop in /home/ftp/pub/FreeBSD/ClamAV/clamav-0.68.
у меня похожие ошибки лезли, точно не припомню, на malloc.h ругался вроде.
в итоге дописали #define HAVE_MALLOC_H в clamav-milter.c - всё без ошибок встало.(freebsd5.2,clamav0.67-1 из портов)
Я так понимаю, в Вашем случае надо в clamav-milter.c внести #define HAVE_IN_PORT_T
>у меня похожие ошибки лезли, точно не припомню, на malloc.h ругался вроде.
>
>в итоге дописали #define HAVE_MALLOC_H в clamav-milter.c - всё без ошибок встало.(freebsd5.2,clamav0.67-1
>из портов)
>Я так понимаю, в Вашем случае надо в clamav-milter.c внести #define
>HAVE_IN_PORT_TНарод я собирал 0.73 под Линухом... не собирается мильтер :( Подскажите как с этим бороться?