PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Geschlossen Email wenn ein Virus gefunden worden ist



lord_icon
12.06.10, 23:16
Hi,

bedingt durch ct's Artikel bin ich wieder auf avast gestoßen.
Hatte avast damals schon versucht = aber die Version funzte nicht, da avast sich immer bei /proc aufgehangen hatte.

Mittlweile scheint die zu klappen... bin auch sehr zufrieden mit der Version.
Hoffe nun, das nachfolgendes irgenwie umsetzbar ist.

Also: Ich hab ein kleinen embedded PC zu Hause der DSL // Proxy und meine Stromauswertung am S0 Zähler überwacht.
Dort läuft nun auch avast für linux drauf.

Per cron konnte ich alle 6h einrichten, das er nach ein Virus-Update sucht. => klappt auch super
Nur wie bekomme ich einen automatischen Virusscan per cron hin ?

Ich kann zwar den Befehl "avast / " auf der Shell ausgeben = aber dann seh ich nicht, ob sich Viren im Cache befinden.
Es müsste dann eine Email erfolgen, falls einer gefunden worden ist.
Geht das irgendwie ?

Danke

Merlin
14.06.10, 01:11
Hallo,

wie meinst du das "Viren im Cache befinden". Als einfachste Möglichkeit würde mir jetzt einfallen, die Ausgabe des Cronjobs in eine Datei umzuleiten und den Inhalt davon dann kurz nach dem Scan Cronjob an eine E-Mail zu verschicken, z.B.

0 6 * * * avast / > /root/scanlog
0 7 * * * mail -s <betreff> <emailadresse> < /root/scanlog

Der zweite Cronjob muss natürlich so geplant sein, dass der erste zu dem Zeitpunkt schon fertig ist. Alternativ kann du das ganze natürlich in ein kleines Bash Script packen und das zu einem bestimmten Zeitpunkt ausführen. Unter Linux gibt es ja da diverse Möglichkeiten.

lord_icon
18.06.10, 15:05
EDIT: @AVAST_Mitarbeiter. Mal unten schaun unter: total file size:
Da ist ein Rechnenfehler drin. So sieht mein System aus. Da der Befehl "avast /" alle gemouteten Verzeichnisse scannt, sollten irgendwie was um die 86,4 GB rauskommen. Und nicht 512,1 TB



Dateisystem Größe Benut Verf Ben% Eingehängt auf
/dev/xvda1 5,0G 3,7G 1,1G 79% /
udev 2,1G 100K 2,1G 1% /dev
/dev/sda2 1,5G 35M 1,4G 3% /tmp
/dev/sda3 1,5G 133M 1,3G 10% /var
/dev/sda4 3,0G 201M 2,7G 7% /var/log
/dev/sda5 50G 18G 29G 39% /srv
/dev/sda6 9,9G 5,0G 4,5G 53% /var/log/BACKUPlogs
/dev/sda7 5,0G 2,1G 2,6G 45% /save2
/dev/sda8 9,9G 151M 9,2G 2% /save1


Oki.

Wäre schön, wenn AVAST das irgendwann mal könnte. (Den Status-Report per Email)

Bis dahin KÖNNTE man sich mit folgenden Script begnügen.

Es schaut vorher ob eine neue Signatur vorhanden ist.
Danach scannt er das gesamte System und übergibt den Output an eine Datei.
Diese wird dann ausgewertet und zu einer Datei zusammengefasst.
Der Inhalt der Datei wird dann als Email verschickt.

Es werden (insofern vorhanden) alle Datein angezeigt, die von einen Virus betroffen sind.
Es werden (insofern vorhanden) zusätzliche Hinweise angezeigt.

ES WIRD NCIHTS GELÖSCHT ODER REPARIERT. Wird ein Virus gefunden, so ist dieser immer noch vorhanden.

Email sieht dann wie folgt aus


#
# Statistics:
#
# scanned files: 752082
# scanned directories: 59490
# infected files: 0
# total file size: 512,1 TB
# virus database: 100618-0 18.06.2010
# test elapsed: 36m:8s 94ms
#
-------------------------------------------------------------------------------------------------------------------------------------
################################################## ##########################
############################# Datein mit Viren #################################
################################################## ##########################

/srv/www/htdocs/ks017/html/cms/media/install_45fdab036aeda/jce/jscripts/tiny_mce/plugins/xhtmlxtras/index.html [infected by: JS:Illredir-CB [Trj]]

-------------------------------------------------------------------------------------------------------------------------------------

################################################## ##########################
############################ Sonstige Hinweise #################################
################################################## ##########################

/proc/config.gz [scan error: Eingabe-/Ausgabefehler]
/proc/sys/net/ipv4/route/flush [scan error: Keine Berechtigung]
/proc/sys/net/ipv6/route/flush [scan error: Keine Berechtigung]
/proc/kcore [scan error: Eingabe-/Ausgabefehler]
/proc/20016/task/20016/mounts [scan error: Das Argument ist ungültig]
/proc/20016/task/20016/mountinfo [scan error: Das Argument ist ungültig]



Hier der Code (chmod +x <dateiname>) nicht vergessen.
Per (crontab -e) dann z.B. einmal nachts durchlaufen lassen


#!/bin/bash

EMAIL="info@deine_domain.de"
PFAD="/root/cronjobs" ## Ohne Abschließendes /


avast-update
avast / > $PFAD/1.txt

tail -n10 $PFAD/1.txt > $PFAD/2.txt
echo "-------------------------------------------------------------------------------------------------------------------------------------" >> $PFAD/2.txt

less $PFAD/1.txt | grep "\[infected by:" > $PFAD/3.txt

count=`cat $PFAD/3.txt | wc -l`

if [ $count -ge 1 ]
then
echo "################################################## ##########################" >> $PFAD/2.txt
echo "############################# Datein mit Viren #################################" >> $PFAD/2.txt
echo "################################################## ##########################" >> $PFAD/2.txt
echo "" >> $PFAD/2.txt
less $PFAD/3.txt >> $PFAD/2.txt
echo "" >> $PFAD/2.txt
echo "-------------------------------------------------------------------------------------------------------------------------------------" >> $PFAD/2.txt
fi
rm $PFAD/3.txt



## Nachfolgender sed-Befehl = löscht die letzten 10 Zeilen (Dies ist die Übersicht, die schon im Kopf aufgeführt ist)
## Andernfalls hat man immer minimal 10 Zeilen an Hinweisen (Die dann eigendlich doppelt genant sind)
less $PFAD/1.txt | fgrep -v "[OK]" | fgrep -v "[infected by:" | sed -e :a -e '$d;N;2,10ba' -e 'P;D' > $PFAD/3.txt

count=`cat $PFAD/3.txt | wc -l`

if [ $count -ge 1 ]
then
echo "" >> $PFAD/2.txt
echo "################################################## ##########################" >> $PFAD/2.txt
echo "############################ Sonstige Hinweise #################################">> $PFAD/2.txt
echo "################################################## ##########################" >> $PFAD/2.txt
echo "" >> $PFAD/2.txt
less $PFAD/3.txt >> $PFAD/2.txt
echo "" >> $PFAD/2.txt
echo "-------------------------------------------------------------------------------------------------------------------------------------" >> $PFAD/2.txt
echo ""
fi
rm $PFAD/3.txt


mail -s "Virus Pruefung" $EMAIL < $PFAD/2.txt
rm $PFAD/1.txt
rm $PFAD/2.txt

Merlin
18.06.10, 19:52
Hallo,

erstmal Danke für dein Script, auch wenn die Zielgruppe wahrscheinlich sehr gering sein dürfte, finde ich es sehr gut, dass du dich mit deinem Wissen bzw. deinen Erfahrungen hier zurückmeldest und auch dein Script bereitstellst!

Es ist natürlich die Frage, wie das Ergebnis der Berechnung zustande kommt. Werden dabei vielleicht irgendwelche speziellen Dateisysteme gescannt? Z.B. sind /dev und /proc ja immer gute Kandidaten (wobei der Scanner da eigentlich schon von sich aus richtig mit umgehen sollte). Ist dir vielleicht während des Scans aufgefallen, dass er an einer bestimmten Stelle eine Weile "hängt" ?

Ich bin übrigens kein avast! Mitarbeiter, der Hersteller bzw. auch sein Forum ist ja unter der avast.com Präsenz zu erreichen, wir sind hier ja lediglich ein kleines Supportforum. Ich vermute aber mal, dass die avast! Home for Linux nicht sonderlich stark weiterentwickelt wird und die Frage ist auch, wie sehr in Zukunft darauf Augenmerk gelegt wird, da die Zielgruppe doch recht gering ist, gerade auch weil es sich dabei um einen reinen On-Demand-Scanner handelt. Ist natürlich auch alleine wegen des Arbeitsaufwands dieses einzelnde Modul bereitzustellen wahrscheinlich auch nachvollziehbar.