Antivirus bien sévère !

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

Antivirus bien sévère !

Messagepar dlalleme » 08 Fév 2008 09:36

Bonjour,

J'ai un client qui a EBP comptabilité (le dernier tout neuf) ....
Après chaque session de travail, l'utilisateur fait une sauvegarde via le lecteur connecté dans une ibays dédié à la compta sur un serveur SME7.

EBP a été installé hier et le scanner antivirus de cette nuit a mis en quarantaine ces fichiers.

Code: Tout sélectionner
/home/e-smith/files/ibays/adminis/files/Comptabilité/EBP/Comptabilité-C2E-20080207 (après MAJ).zip: Oversized.Zip FOUND
/home/e-smith/files/ibays/adminis/files/Comptabilité/EBP/Comptabilité-C2E-20080207 (après MAJ).zip: moved to '/var/spool/clamav/quarantine//Comptabilité-C2E-20080207 (après MAJ).zip'


C'est tout de même $%#&! de voir une sauvegarde faîte à l'aide de l'outil EBP se faire virer du système !!!!

Faut-il faire ignorer le répertoire à clamav ou bien faut-il demander à l'éditeur de faire de ZIP conformes ? :?

Cordialement

Denis
Avatar de l’utilisateur
dlalleme
Vice-Amiral
Vice-Amiral
 
Messages: 521
Inscrit le: 02 Déc 2002 01:00
Localisation: Oise, bassin creillois

Messagepar fraedhrim » 08 Fév 2008 09:48

Salut,

Il n'y aurait pas un paramètre qui te permet de régler la taille des zip autorisés et leur profondeur ?

++
Avatar de l’utilisateur
fraedhrim
Amiral
Amiral
 
Messages: 1264
Inscrit le: 27 Jan 2004 01:00
Localisation: Nantes

Messagepar dlalleme » 08 Fév 2008 10:19

fraedhrim a écrit:Salut,

Il n'y aurait pas un paramètre qui te permet de régler la taille des zip autorisés et leur profondeur ?

++

Salut Fraedhrim,

Est-ce un problème de taille de fichier ZIP ? C'est étonnant parce que j'ai fichier ZIP énormes par rapport à ceux-ci !!!

Pour ta question, je répondrais .... je sais pas !!! :?

Cordialement

Denis
Cordialement
Denis

Une SME 7 toujours à jour mais dépassée !
Avatar de l’utilisateur
dlalleme
Vice-Amiral
Vice-Amiral
 
Messages: 521
Inscrit le: 02 Déc 2002 01:00
Localisation: Oise, bassin creillois

Messagepar fraedhrim » 08 Fév 2008 10:49

Oversized.Zip FOUND


Ca peut être un problème de taille du contenu décompressé ou de nombre de fichiers dans le zip ou de nombre de niveau de zip dans le zip (un zip de zip de zip de....)...
Ca évite un zip qui une fois décompressé fait une taille énorme et l'antivirus refuse de le scanner car il sait que s'il le fait il éclate ton système.

Ca se rêgle dans le /etc/clamd.conf (enfin sur SME ça doit être via db et templates)

Par défaut ça doit être :

Code: Tout sélectionner
ArchiveBlockEncrypted no
ArchiveBlockMax no
ArchiveMaxCompressionRatio 300
ArchiveMaxFileSize 15M
ArchiveMaxFiles 1500
ArchiveMaxRecursion 8


Est-ce que tu as quelquechose dans ton zip qui est contradictoire avec cette conf ?

A+
Avatar de l’utilisateur
fraedhrim
Amiral
Amiral
 
Messages: 1264
Inscrit le: 27 Jan 2004 01:00
Localisation: Nantes

Messagepar dlalleme » 08 Fév 2008 11:04

Merci fraedhrim,

Oui, j'ai regardé dans /etc/clamd.conf pour les fichiers décompressés.

Je vais récupérer ceux-ci et les analyser pour détecter l'origine du problème

En plus, c'est écrit dans le site de clamav, je suis nul !!! :cry:

Code: Tout sélectionner
J’ai beaucoup de faux positifs de Oversized.zip

    * Dès qu’un fichier dépasse ArchiveMaxCompressionRatio (voir la page de man clamd.conf), il est considéré comme une bombe logique et marqué comme Oversized.zip . Essayez d’augmenter votre paramètre ArchiveMaxCompressionRatio.




Il ne me reste plus qu'à déterminer la valeur pour ce paramètre ...


Cordialement

Denis
Cordialement
Denis

Une SME 7 toujours à jour mais dépassée !
Avatar de l’utilisateur
dlalleme
Vice-Amiral
Vice-Amiral
 
Messages: 521
Inscrit le: 02 Déc 2002 01:00
Localisation: Oise, bassin creillois

Messagepar dlalleme » 08 Fév 2008 11:43

Salut,

Si je regarde le taux de compression de l'archive qui est de 8.52 donc il y a un autre problème, puisque le ratio autorisé dans clamv.conf est de 300

:roll:

Cordialement

Denis
Cordialement
Denis

Une SME 7 toujours à jour mais dépassée !
Avatar de l’utilisateur
dlalleme
Vice-Amiral
Vice-Amiral
 
Messages: 521
Inscrit le: 02 Déc 2002 01:00
Localisation: Oise, bassin creillois

Messagepar dlalleme » 08 Fév 2008 11:55

Re ..

J'ai fait des tests à la "mimine" et ça passe avec la valeur 350 au lieu de 300. Quelqu'un sait pourquoi ?

À quoi correspond cette valeur ?

Cordialement

Denis
Cordialement
Denis

Une SME 7 toujours à jour mais dépassée !
Avatar de l’utilisateur
dlalleme
Vice-Amiral
Vice-Amiral
 
Messages: 521
Inscrit le: 02 Déc 2002 01:00
Localisation: Oise, bassin creillois


Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron