Véritable virus ou clam qui déraille ? [RESOLU]

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

Véritable virus ou clam qui déraille ? [RESOLU]

Messagepar cilor » 12 Jan 2010 13:04

Bonjour à tous et bonne année.

Je ne sais pas ce qu'il s'est passé, mais clam a fait une analyse (comme tous les jours) et a trouvé 1439 fichiers infectés par le virus Exploit.PDF-9669 :cry: et les a déplacés sous /var/spool/clamav/quarantine. Les sauvegardes ont eu le même traitement de faveur. D'après des infos lues sur le net il semblerait que ce soit le résultat d'un excès de zèle de clam. Est-ce que quelqu'un a observé le même phénomène ?

Cordialement.

Cilor.
Dernière édition par cilor le 15 Jan 2010 17:42, édité 1 fois au total.
cilor
Major
Major
 
Messages: 98
Inscrit le: 28 Mai 2008 11:22
Localisation: lorient

Par curiosité...

Messagepar HP77 » 12 Jan 2010 17:12

Bonsoir,

Comme je suis curieux, j'ai fait une recherche succinte et le problème évoqué semble principalement (d'après la première page de résultats du moteur de recherche utilisé) être lié à une grosse pompe à fric Sans Fond ni Remord...
(j'ai été client et mon père l'est devenu à regrêts suite aux rachats à répétitions d'autres FAI(?) ayant fait de même avec les plus petits qu'eux...)

Plus sérieusement, j'ai fait une vérification du contenu du dossier indiqué /var/spool/clamav/quarantine : "total 0". 8)

Question :
Serait-ce possible, par curiosité, d'avoir plus d'infos sur le(s) type(s) des fichiers qui se sont vus déplacés en quarantaine (JPG, MP3, AVI, EXE, etc.) ?


Je n'ai pas fait de mises à jour en bloc depuis un mois environ donc :
    - soit c'est effectivement un coup de zèle sur une dernière version ou mise à jour du moteur(*) de ClamAV (est-ce le même anti-virus que chez le soi-disant FAI s'offrant de la "publicité" ?)
    - soit mon serveur n'a pas encore été victime d'une quelconque éventuelle activation à distance ou par cheval de Troie sur un PC de mon LAN, etc... (que puis-je imaginer d'autre à part une énième"rustine pour fenêtres" qui manque et nécessite un redémarrage du PC ?)
    - soit je ne possède pas de fichiers pouvant en faire les frais de ce coupe de zèle (voir l'ampleur de mon site perso...), d'où ma question.
    - soit ??


(*)
car je soupçonne ClamAV être capable de faire des mises à jour automatiques de sa base de définitions de virus mais pas trop pour le reste.


J'ai quand même réussi à trouver des dires Linuxiens, en anglais, sur ClamAV : http://ubuntu-ky.ubuntuforums.org/showt ... ?t=1376350
On y parle aussi d'un "fix" mais, bon, ça ne résoudra peut-être rien sans devoir mettre la main à la pâte... :wink:


Salutaions,
HP
HP77
Contre-Amiral
Contre-Amiral
 
Messages: 491
Inscrit le: 25 Nov 2009 06:44
Localisation: Singapour

Messagepar cilor » 13 Jan 2010 13:39

Bonjour,

J'ai essayé de cerner le problème en restaurant certains fichiers en quarantaine. Tous n'étaient pas indispensables car mon serveur n'héberge un tout petit site en construction et plutôt confidentiel. En fait, je n'aurai le résultat de cette expérience que demain car l'analyse de clamAV se fait la nuit.

Par contre j'ai fait une analyse d'une partie du serveur (/Primary) à partir de mon PC qui tourne sous Ubuntu. Les fichiers que j'avais restaurés à partir de /var/spool/clam/quarantine n'ont cette fois-ci pas été détectés comme infectés.

Mais je peux quand même répondre à la question concernant le type de fichier impacté. D'après le log, ce sont surtout les HTML, PHP, JS et INC qui sont touchés, plus les archives TAR qui contiennent eux-même ces fichiers.

Il y a aussi certains messages qui ont été déplacés. Curieusement, il y en avait aussi dans les boîtes mail de comptes bidons qui n'ont jamais servi. Mais je ne les ai pas restaurés.

Pour une analyse plus fine, je peux transmettre mon fichier log par mail.


Cordialement.

Cilor
cilor
Major
Major
 
Messages: 98
Inscrit le: 28 Mai 2008 11:22
Localisation: lorient

Messagepar HP77 » 16 Jan 2010 17:58

Bonsoir,

Désolé de répondre si tardivement mais j'ai eu plusieurs fois à faire ailleurs que sur le PC...

cilor a écrit:je n'aurai le résultat de cette expérience que demain car l'analyse de clamAV se fait la nuit.

Par contre j'ai fait une analyse d'une partie du serveur (/Primary) à partir de mon PC qui tourne sous Ubuntu. Les fichiers que j'avais restaurés à partir de /var/spool/clam/quarantine n'ont cette fois-ci pas été détectés comme infectés.

Qu'en est-il de cette analyse ?

As-tu procédé à une quelconque mise à jour ClamAV depuis l'apparotion du problème ?

cilor a écrit:Mais je peux quand même répondre à la question concernant le type de fichier impacté. D'après le log, ce sont surtout les HTML, PHP, JS et INC qui sont touchés, plus les archives TAR qui contiennent eux-même ces fichiers.

Il y a aussi certains messages qui ont été déplacés. Curieusement, il y en avait aussi dans les boîtes mail de comptes bidons qui n'ont jamais servi. Mais je ne les ai pas restaurés.

Je te remercie pour ton retour sur les types de fichiers. :wink:


cilor a écrit:Pour une analyse plus fine, je peux transmettre mon fichier log par mail.

Là, je doute d'être à la hauteur... :oops:


Merci pour ce retour d'infos.

Salutations,
HP
HP77
Contre-Amiral
Contre-Amiral
 
Messages: 491
Inscrit le: 25 Nov 2009 06:44
Localisation: Singapour


Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité