it-swarm.com.de

Wie kann ich einen detaillierten Bericht über die ClamAv-Scanergebnisse (Speicherort der infizierten Dateien) erstellen?

Ich scanne mit ClamAv und bekomme folgende Zusammenfassung:

----------- SCAN SUMMARY -----------
Known viruses: 4724261
Engine version: 0.99
Scanned directories: 128878
Scanned files: 791920
Infected files: 29
Total errors: 25699
Data scanned: 187109.62 MB
Data read: 1683517.68 MB (ratio 0.11:1)
Time: 19860.535 sec (331 m 0 s)

Meine Frage ist: Wie finde ich die infizierten Dateien? Ich habe versucht, stdout zu öffnen, aber ich kenne keine Anwendung, um das zu tun. Ich habe versucht, eine Protokolldatei zu finden ... konnte nicht

5
AlexDD

Wenn Sie man clamscan in ein Terminal eingeben, werden alle verfügbaren Optionen angezeigt. Einer von ihnen ist -i, der nur die infizierten Dateien druckt . Wenn Sie clamscan -ir /folder eingeben, werden Ihnen beispielsweise alle infizierten Dateien in angezeigt dieser Ordner und alle Unterordner ..

2
Stormlord

Anscheinend müssen Sie ClamAv mitteilen, wo Sie Ihren Bericht über infizierte Dateien ablegen sollen. Im Wiki sieht es so aus, als ob die Software nicht herausragend ist und es möglicherweise bessere Pakete gibt, die verwendet werden können, wenn die Sicherheit Ihr erstes Anliegen ist. ClamAV ist jedoch Open Source und kostenlos. Wenn also das Budget Priorität hat, ist es wahrscheinlich das Beste.

Soweit ich einen Bericht über infizierte Dateien sehen kann, habe ich Folgendes gefunden im Community-Hilfe-Wiki :

Infizierte Dateien melden

Wenn Sie den gesamten Ordner/home (oder sogar das gesamte System) von einem Terminalemulator auf Ihrer GUI rekursiv scannen, sind möglicherweise viele Dateien vorhanden. In diesem Fall ist es wahrscheinlich hilfreich, einen Bericht mit den Pfaden zu allen infizierten Dateien zu erstellen, da die Ausgabe nicht unendlich ist. In diesem Fall können Sie Folgendes tun:

Sudo clamscan -r /folder/to/scan/ | grep FOUND >> /path/to/save/report/file.txt

Seien Sie geduldig, wenn Sie diesen Befehl ausführen und es scheint nicht zu funktionieren, denn selbst wenn Sie nicht die vollständige Ausgabe sehen, werden die Dateien wirklich gescannt. Wenn Sie die Eingabeaufforderung erneut sehen, bedeutet dies, dass der Scan abgeschlossen ist und Sie die erstellte Datei öffnen können, um alle in Ihrem System erkannten infizierten Dateien zu überprüfen.

Da Clamav die Dateien nicht desinfiziert, ist es manchmal besser zu wissen, welche Dateien infiziert sind, bevor Sie sie in die Quarantäne verschieben oder entfernen. Sie könnten beispielsweise Wine verwenden und durch Löschen einer infizierten Datei ein Programm unterbrechen, ohne Daten gespeichert zu haben.

1

Ich verwende Sudo clamscan / --recursive | tee clamscan.log, damit ich die Ergebnisse verfolgen und anschließend die gesamte Ausgabe überprüfen kann.