web-dev-qa-db-fra.com

Meilleure protection contre les programmes malveillants de ClamAV

Je suis un peu préoccupé par la sécurité de ma machine Linux. ClamAV indique qu'il détecte les logiciels malveillants, mais uniquement lors de l'analyse manuelle. Peut-être que ce n'est pas conçu pour fonctionner en arrière-plan. Je ne sais pas. Je veux juste une bonne protection pour mon système.
Atleast d’Avast dans Windows bloque immédiatement toute interaction ultérieure, même au moindre signe d’activité malveillante. Depuis longtemps, je n'ai vu aucun programme malveillant contre Windows lors d'une analyse manuelle.

Récemment, ClamAV a montré beaucoup de menaces et plusieurs fois avant

/home/arjun/.cache/mozilla/firefox/velcy2qd.default-1475046670923/cache2/entries/5B6A5C07930975FDE8750B7CA9824A79551A31A2      PUA.Win.Tool.Packed-177         
/home/arjun/.config/min/Cache/f_000036                                                                                         PUA.Win.Trojan.Xored-1          
/home/arjun/.config/min/Cache/f_000020                                                                                         PUA.Win.Trojan.Xored-1          
/home/arjun/.config/Vectr/Cache/f_000006                                                                                       PUA.Html.Trojan.Agent-37075     
/home/arjun/.npm/accessibility-developer-tools/2.11.0/package.tgz                                                              PUA.Html.Trojan.Agent-37075     
/home/arjun/.npm/npm/2.15.11/package.tgz                                                                                       PUA.Win.Trojan.Xored-1          
/home/arjun/.npm/imurmurhash/0.1.4/package.tgz                                                                                 PUA.Win.Trojan.Xored-1          
-------------------------------------------------------------------------------------------------------------------------------------------------------------------

Je ne sais pas s'il s'agit de faux positifs ou de malwares. Si nous allons par ce rapport - http://www.networkworld.com/article/2989137/linux/av-test-lab-tests-16-linux-antivirus-products-against- windows-and-linux-malware.html - il montre que ClamAV a une efficacité de près de 60%.
En fait, le rapport recommande d’utiliser Kaspersky ou même Sophos, ce qui serait bien mieux. Et il existe de nombreux autres rapports sur Internet qui conseillent la même chose.

  1. Avez-vous utilisé un logiciel offrant une meilleure protection que ClamAV?
  2. Existe-t-il des "améliorations" possibles pour augmenter la détection des menaces dans ClamAV, car celle-ci est légère? (J'ai vu certains sites Web suggérant d'ajouter leurs signatures de menace à la liste ClamAV. Est-ce sûr?)
  3. Dans l’ensemble, c’est important, certaines configurations pouvant être réalisées pour une protection renforcée, sans ralentir la machine.
securitymalwareantivirusclamav
4
arjun

Peut-être que ce n'est pas conçu pour fonctionner en arrière-plan.

Oui, ça l'est. Le wiki montre les méthodes qui l'exécutent en tant que démon et scanner:

Lancer ClamAV en tant que démon

Installez clamav-daemon. Vous pouvez ensuite utiliser clamdscan là où vous auriez déjà utilisé clamscan. De nombreux programmes, notamment les serveurs de messagerie, peuvent se connecter à un démon ClamAV. Cela accélère l'analyse antivirus car le programme est toujours en mémoire.

Le paquetage clamav-daemon crée un utilisateur 'clamav'; afin de permettre à ClamAV d'analyser des fichiers système, tels que votre spool de courrier, vous pouvez ajouter clamav au groupe propriétaire des fichiers.

Laissez ClamAV écouter les analyses entrantes

Dans certains cas, vous pouvez souhaiter que le démon ClamAV agisse en tant que scanner pour d'autres systèmes, de sorte que vous n'avez pas à tout exécuter localement sur le système.

Pour ce faire, vous devez simplement modifier le fichier clamd.conf et ajouter les arguments TCPSocket PORTNUMBER et TCPAddr IPADDRESS au fichier clamd.conf, puis recharger le démon. Le démon acceptera alors les connexions via l'adresse IP et la combinaison de port spécifiées.

Je veux juste une bonne protection pour mon système.

Linux est fondamentalement différent de Windows, nous n’avons donc pas hérité des problèmes auxquels Windows (toujours) fait face. Notre système a été configuré en tant que système multi-utilisateurs: plus d'un utilisateur à la fois est censé l'utiliser. Cela signifie que nous avons un modèle de sécurité intégré dans notre système, car certains utilisateurs ne sont pas censés voir tout le contenu ou être capables de faire ce qu'ils veulent sur nos systèmes. Cela empêche également les logiciels malveillants d'abuser de votre système.

Oui, cela ne rend pas Linux invulnérable. Mais tant qu’il est plus facile d’infecter des millions de systèmes Windows que d’infecter 1 machine Linux, nous gagnons. Si votre ordinateur est spécifiquement ciblé (lorsque vous utilisez un serveur de jeu, par exemple), vous devez prendre des précautions. Mais ce sont: créer des sauvegardes régulières, utiliser un bon mot de passe, utiliser un routeur, garder un œil sur le traqueur CVE , garder votre système à jour et ne pas installer de logiciel dont vous n’avez pas besoin. Toutes les choses que vous devriez faire de toute façon.

  • Avez-vous utilisé un logiciel offrant une meilleure protection que ClamAV?

Oui (1ère partie: en tant qu’administrateur système pour plus de 30 systèmes, j’ai examiné plusieurs analyseurs de virus et de détecteurs de kits de racines et procédé à une évaluation des risques de menace lorsque vous n’en utilisez pas un) et non (2ème partie). Mais ce n’est pas parce que ClamAV est si bon: c’est aussi mauvais que n’importe quel autre antivirus. Les analyseurs de virus ont tous un taux de réussite tellement bas qu’ils sont inutiles. Quand près de 100% de toutes les affirmations prétendant être un virus sont fausses, je ne peux pas les utiliser.

  • Existe-t-il des "améliorations" possibles pour augmenter la détection des menaces dans ClamAV, car celle-ci est légère? (J'ai vu certains sites Web suggérant d'ajouter leurs signatures de menace à la liste ClamAV. Est-ce sûr?)

Voir par exemple le fichier "signatures.pdf" dans le répertoire "doc" de ClamAV pour savoir comment télécharger des signatures de virus supplémentaires.

Mais ceci n’est utile que si vous trouvez réellement un virus comme première personne. Le fichier de définition de virus reçoit des mises à jour assez régulièrement, donc je doute qu'il y ait quelque chose à améliorer.

  • Globalement (et cela est important), vous trouverez ci-dessous des tâches supplémentaires pouvant être exécutées pour une protection renforcée, sans ralentir la machine.

C'est une question en soi et n'a également aucun rapport avec les scanners de virus.

  • Cryptez votre système.
  • N'installez pas de logiciel permettant d'utiliser les services FTP, Telnet, rlogin et rsh
  • Minimiser le logiciel installé: ne l'utilisez pas? Enlevez-le.
  • Gardez votre système à jour.
  • Utilisez des mots de passe forts et des mots de passe vieillissants.

Important:

La protection de votre système ne provient pas d'un logiciel anti-virus; cela vient de la façon dont vous traitez votre système. Si vous trouvez un virus, vous êtes trop tard: la suppression d'un virus ne suffit pas, car votre système a été compromis et doit être réinstallé à partir d'une sauvegarde prouvée . Vous devez toujours supposer qu'ils ont obtenu votre mot de passe administrateur.

8
Rinzwind

LoL, vous êtes amusants :-)

D'accord, pour des raisons plus sérieuses, ce que vous devrez faire pour assurer votre sécurité est de contrôler votre système et votre réseau. Pour ce faire, il y a des choses à apprendre sur:

  1. Tout sur le réseautage, commencez petit.
  2. Comment configurer votre pare-feu ( Ufw ou, mieux encore, Iptables )
  3. En savoir plus sur Nethogs et l’utiliser pour obtenir des informations routières en direct. Dans le pire des cas, vous pouvez toujours désactiver le réseau si vous êtes paranoïaque lorsque vous ne comprenez pas le trafic.
  4. Installez et apprenez-en plus sur Snort . Une configuration indispensable!
  5. Un autre doit avoir est Addon de navigateur No-script . Cela vous évitera d'être infecté en premier lieu. Assurez-vous simplement de prendre en charge les sites Web auxquels vous faites confiance en activant spécifiquement les scripts, car tous les scripts sont désactivés par défaut.
  6. Procurez-vous éventuellement Nmap et Wireshark . Les deux très utiles.
  7. Faites attention à ce que vous installez sur votre système. Utilisez toujours le centre Ubuntu si possible et vérifiez vos téléchargements .
  8. Crypter les informations sensibles. Mieux vaut que quelqu'un d'autre. Ubuntu a un construit cryptage encfs vous devriez vérifier.
  9. Utilisez Cron ou Inotify pour vérifier si vos fichiers de clés ont été consultés ou modifiés et, le cas échéant, pour vous avertir.
  10. Soyez prudent lorsque vous jouez avec des groupes et des utilisateurs. La chose la moins dommageable qui puisse arriver est de s’isoler de la racine.

Eh bien c'est à peu près tout. J'ai probablement manqué des choses, comme ClamAV , par exemple, que je n'ai jamais utilisées. Je pourrais examiner la question d'une couche de sécurité supplémentaire. Oh et surtout, utilisez votre cerveau, personne ne l'utilisera pour vous.

1
user633551

Tu demandes:

"2. Existe-t-il des" améliorations "possibles pour augmenter la détection des menaces dans ClamAV, car celle-ci est légère?"

Vous pouvez configurer le démon clamav pour analyser tous les fichiers entrants, y compris les fichiers cache du navigateur. Je suis assez certain que clamxav le fait pour OSX.

0
BenjaminBrink