После шести месяцев разработки компания Cisco опубликовала выпуск свободного антивирусного пакета ClamAV 1.4.0. Проект перешёл в руки Cisco в 2013 году после покупки компании Sourcefire, развивающей ClamAV и Snort. Код проекта распространяется под лицензией GPLv2. Ветка 1.4.0 отнесена к категории обычных (не LTS), обновления к которым публикуются как минимум в течение 4 месяцев после выхода первого релиза следующей ветки. Возможность загрузки базы сигнатур для не-LTS веток также обеспечивается как минимум ещё 4 месяца после выпуска следующей ветки...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=61712
(ещё) Рабочее зеркало обновлений баз:DatabaseMirror https://packages.microsoft.com/clamav/
> (ещё) Рабочее зеркало обновлений баз:А давайта на эту циску в суд подадим за нарушение GPL!
А кто-то вообще им пользуется? Смысол есть? Я вот хотел себе поставить, чисто из-за паранойи, так-то левые бинари не качаю, но как-то спокойнее с ещё одним уровнем защиты.
Раньше пользовался на шлюзах (линуксовых). Даже что-то ловил, но на уровне статпогрешности.
Сейчас пришлось переползти на отчественное. Много где стоит паук (+-, но юзерам нраица).
А зачем переползать с GPL2? Госуха?На уровне универов и поликлиник - паук работает хорошо (конечная машина - терминал, все флешки, письма с вложениями, копирование себе и т.п. как раз проверяются и бекапятся перед дальнейшим использованием).
> А зачем переползать с GPL2?Ну, например, чтобы хоть что-то ловила.
GPL2 сама по себе не делает программу функциональной.
Неофициальные базы сигнатур надо добавлять, тогда ловит.ClamAV как сканер http/https трафика на прокси или проверка почты на сервере вполне пригоден.
Не забудьте рассказать, что оно успешно ловит вирусы даже в HTTPS трафике.
Главное - волшебные базы подключить (какие именно - секрет!).
На прокси делается MitM всего https трафика и расшифрованный трафик сканируется ClamAV.На счёт неофициальных баз, у меня их больше 50. Бесплатно обновляются больше половины. Есть проблемы с лицензиями и распространением неофициальных баз. Сегодня в РФ некоторые базы могут не продавать...
Пару баз поддерживаю сам лично.
Прошу выделенный сервер в РФ и организую на нем раздачу бесплатных неофициальных баз.
А с proxychains подружить его можно?
Да.ClamAV имеет сервис clamd который по TCP или фаловому сокету принемает запросы на сканирование файлов.
У вас должна быть прокся которая передает clamd на сканирование расшифрованный трафик. А proxychains надо настроить так чтобы он передавал трафик этой, вышестоящей, проксе.
Ну, пригоден, а толку от него? MS essential на три головы выше.
Но отечественные винлокеры МС не ловит. А паук ловит.
Уж больно паук хорош просто. И как продукт и как организация.
> А зачем переползать с GPL2? Госуха?А зачем противопоставлять "госуху" и "GPL2"? Тебе "госуха" причиняет какие-то неприятные переживания?
Если от паранойи, то выбирай то что хорошо ловит трояны, ну и может немного малвару. По моему Касперский с этим всегда неплохо справлялся.
Каспер тоже очень сильно зависит от сигнатур.
Некое время назад ВНЕЗАПНО начал блокировать BAT-ники, gpg и SSH\Putty клиенты. Ну понятно, что там какой то школьник решил стал кулхацкером, и каспер резко отреагировал.
Мои шляпочные знакомые однажды решили повысить посещаемость счетчиков сайтов, и внедрили показ скрытых фреймов со счетчиком кое куда (дегенераты, сэр) - каспер в течении рабочей недели из засек и внес в базы.
с воровством секретных документов он тоже неплохо справился.
Отправил на сервер для проверки, потому что такая опция была включена.Так что не "воровством", а "безвозмездной передачей от американских партнёров".
Отправили на анализ подозрительный файлик? Так ты соглашение вообще читали?
там до сих пор ничего не написано про то что на сервере сидит "анализатор" в форме и может любой файл просто сп-ть, если он ему понравился. (учитывая количество того что туда сыплется - очевидно что еще и механика отбора понравившихся заточена совсем-совсем не под поиск вирусных паттернов)Более того, когда я его читал - правда, задолго до той истории - там вообще было написано и кровью трижды подчеркнуто что никакие ДОКУМЕНТЫ на сервер ksn не отправляются, отправляются "свертки".
Оставляю тебе для самостоятельного изучения - изменили ли они формулировки, и было ли это сделано до или таки уже после эпического про..ба.
В моем Каспере прямым текстом написано, что всякие резиденты Калифорнии юзать право не имеют. Бгг.
> учитывая количество того что туда сыплется - очевидно что еще и механика отбора понравившихся заточена совсем-совсем не под поиск вирусных паттерновХайли Лайкли!
Оно не заточено под поиск вирусных паттернов, тем не менее с вирусами оно справляется получше конкурентов и сами американцы рекомендовали до запрета у них. У меня на проекте было именно так. Так-что, что ты несёшь?
> Оно не заточено под поиск вирусных паттернов, тем не менее с вирусами
> оно справляется получше конкурентовточнее они п-дят что "получше". (не исключено что половина этих вирусов ими и разработана, а про подсовывание конкурентам обманок похожих на вирусы для забивания анализаторов - это вот уже почти достоверная информация)
> и сами американцы рекомендовали
американцы, внезапно, тоже могут верить рекламе, особенно хорошо замаскированной.
> до запрета у них.
а что слуцилась? Причем настолько интересная слуцилась, что пацанчики даже не попытались побороться (на минуточку - за рынок в сотни раз больше того скрепного огрызка который им теперь остался)?
И да, допустим даже оно защитит тебя от винлокера (который ты сам и запустил). А твой бизнес - внезапно отойдет дяденькам в погонах, потому что попутно они узнали о нем нечто, позволяющее прижать тебя к ногтю. Как, все еще хочется с этими дяденьками играть в карты по их правилам и их крапленой колодой?
ИМХО смысла мало, хоть мой опыт и очень старый (15 лет назад), не думаю что что то изменилось.Я этой фиговиной тогда пытался http трафик сканить: идея была в том, чтобы прозрачно завернуть на свой прокси весь http (https тогда был только у банков) и там проверять вообще все файлы.
Но оказалось что проверять вообще всё слишком долго, и даже выборочно не удобно ибо оно скачивало целиком себе, сканило и только потом отдавало дальше. На больших файлах ловились таймауты в браузере.
А потом я нашёл чью то коллекцию вирусов и спокойно больше половины скачалось - антивирус типа ничего не нашёл.В общем если хотите безопасности то hardening более надёжное решение чем такие поделки.
> Я этой фиговиной тогда пытался http трафик сканить: идея была в том,
> чтобы прозрачно завернуть на свой прокси весь http (https тогда был
> только у банков) и там проверять вообще все файлы.оно же от js вирусов, не шучу
Так их было полторы штуки и всё браузеры сами забороли.
Ну, если честно говорить, то современные браузеры тоже не сразу отдают файл пользователю.
ие-эдж\хром\яндекс после скачивания файла (скорее всего) берут от файла хэш-сумму, с сверяют по своей базе. А микрософтовый даже по базе кол-ва скачивания файлов ("этот файл редко скачивают, вы действительно хотите....")
Я обычно этот треш выключаю.
И одно дело когда браузер тупит, а другое когда у тебя скажем картинки по одной грузятся и на больших файлах ты получаешь ошибки со 100% вероятность. (тогда инет был ещё медленный, да и сейчас с некоторых помоек скорость ограничивают)
> Я вот хотел себе поставить, чисто из-за паранойиЧисто из-за паранойи лучше держаться от него подальше, а то он любит переполнять себе буфер и выполнять код из сканируемых объектов
https://opennet.ru/58659-clamav
https://opennet.ru/59619-clamav
https://opennet.ru/56498-flatpak
Вау, хоть один со знанием ЯП решил посмотреть что там есть. Бгг. Отличный денек.
Знание ЯП не нужно, достаточно умение пользоваться поиском по тегам на опеннете.
ClamAV запретил обновления антивирусных баз с российских IP-адресов
Теперь при попытке соединения с https://database.clamav.net поступает HTTP-ошибка 403 – доступ запрещён.
Вот да, какой смысл (уже 2+ года) публиковать новости здесь о таком "опенсорце"?
А зеркал вообще нет что ли?
А vpn вообще нет что ли?
про ms уже писали..еше вот:
https://repo.linuxfromscratch.ru/clamav/
Скажи спасибо. Тебе дают намек чтобы ими не пользовались. Антивирусом его можно назвать номинально только. Переходи на отечественные и не парься. Др.Веб или Касперский, намного лучше ловят вирусы. Кто не верит, тесты в интернете есть давно.
нет оснований не доверять сотруднику
Абсолютно так, сэр. Все сотрудники, допущенные к участию в обсуждении новостей на Опеннете, проходят специальную проверку и регулярный инструктаж.
Здесь ещё дают: https://pivotal-clamav-mirror.s3.amazonaws.com/daily.cvdПрочие ссылки на базы: https://www.opennet.dev/openforum/vsluhforumID10/5619.html
Циска поддерживает максимально дурацкий вариант публикации пакетов - на сайте у них версия 1.4.0, а вот в репах - старьё, причем, не могущее со свежими базами полноценно работать. Т.е. они как бы за безопасность, но только так, чтобы им работа всегда оставалась.вот в Дебиане: https://tracker.debian.org/pkg/clamav
вот в Убунте: https://launchpad.net/ubuntu/+source/clamavостальные даже искать не буду.
Про недоступность с российских IP не будут говорить - как говорится, cisco за безопасность, но не для всех, и не за полную.
А с каких пор репозиториями занимается автор софта, а не мейнтейнеры?
> а не мейнтейнеры?может инициатором все таки будет разраб?
а то как то не логично
Ну как бы глянул на дистровотче количество дистрибутивов.
Под какие конкретно лично Вы рекомендуете авторам собирать свежие бинарники? Лично я бы рекомендовал FreeBSD, Net\OpenBSD, Plan9, Генту, Арч и Пуппи.
Или все же мантейнер конкретного дистрибутива должен сопровождать ПО?
Сам попытайся в голову. ПО не должно зависит от дистрибутив. Понятие дистрибутив это рудимент. Конечно же разработчик ПО должен отвечать за своё ПО, а не васян.
> ПО не должно зависит от дистрибутив.Разумеется. Но только каждый васянодистр тянет свои либы, свое патченное ядро, и еще кучу своего... поэтому нет, в таком случае ПО нужно будет адаптировать для конкретного дистра.
Возможно 5.59 просо админ локалхоста, и ничего кроме убунты в своене разворачивал.
*Возможно 5.59 просто админ локалхоста, и ничего кроме убунты в своей жизни не разворачивал.
Трудно понять разницу между Дебом и Убунтой, если на них можно поставить одни и те же *.deb пакеты.
И я еще не говорю про компиляцию ПО и конфиги под конкретные дистрибутивы.
> Трудно понять разницу между Дебом и УбунтойТрудно видимо почитать про дебианподобные ОС?
>> ПО не должно зависит от дистрибутив.
> Разумеется. Но только каждый васянодистр тянет свои либы, свое патченное ядро, и
> еще кучу своего... поэтому нет, в таком случае ПО нужно будет
> адаптировать для конкретного дистра.И это решается Снапами, Флатпаками, АппИмаджами. Но васяны фанбои против этих инструментов, пакеты рулят)
> Сам попытайся в голову. ПО не должно зависит от дистрибутив. Понятие дистрибутив
> это рудимент. Конечно же разработчик ПО должен отвечать за своё ПО,
> а не васян.Не должно. Но линукс сообщество против таких изменений. Даже Линукс Торвальдс уже сдался и сказал что не против Мейнтейнеров. Хотя он крассиво описывал раньше, почему это зло.
Но его не услышали. Даже когда мейтейнеры вносят изменения в код, для создания контролируемых дыр, всем пофигу на это. Они извиняться и все забудут.
Зато когда компании предлагают сделать какойто Снап или Флатпак, то сообщество кричит НИЗЯ НЕ НУЖНО ЭТО НЕ ЛИНУКС ВЕЙ УДАЛИТЬ ЗАБЫТЬ!
Смешно и плакать хочется.
> предлагают сделать какойто Снап или Флатпактак пусть сделают вменяемый appimage
и выложат на своем сайте. делов то
>> предлагают сделать какойто Снап или Флатпак
> так пусть сделают вменяемый appimage
> и выложат на своем сайте. делов тоВ Линуксе так не принято!
> FreeBSD, Net\OpenBSD, Plan9, Генту, Арч и Пуппи.Тонко.
> Или все же мантейнерТаки еще раз, мантейнер может сопровождать,
но сначало идет разраб ПО. Это совместная работа.
Мантейнер не должен иметь много полномочий для ковыряния ПО,
но взамодействовать с разарабом. разраб пусть сам определяет
в какие дистры он будет пихать свое "изделие"
> а вот в репах - старьё
> вот в ДебианеЖаловаться что в дебе протухшие версии... ну это странно даже для опеннета :)
Кроме того, у них есть LTS, который сейчас 1.0. А 1.4 это не LTS.
> А 1.4 это не LTS.и это правильно.
а еще можно руками без реп поставить
Вы что же, предлагаете мне компилировать руками что ли?
Где пакеты Карл!
> Где пакеты Карл!Если это вопрос, то в конце предложения должен стоять соответствующий знак (!)
У вас в Бразилии вообще тырнетом не учат пользоваться?
https://www.clamav.net/downloads#collapseLinuxproduction
Может еще рассказать для чего sig-файл нужен?
cisco
> за безопасность, но не для всех, и не за полную.не, она за бабло.
Чтоб не отняли?
чтоб платили
Как-то работал на еврейском проекте (давно). К нам приезжал черный специалист из штатов и настраивал систему безопасности на кристалле Sophos (еврейская). Т.е. что-то вроде роутера ставится и ПО на компьютерах. Не знаю как насчёт безопасности - вроде у одного человека отловили вирус и из-за этого уволили - сам скачал. Но сама идея антивируса интересная - как-бы бот-нет антивирусный.
А ещё правда именно этот антивирус тормозил компьютеры и делал очень много логов, которые съели быстро всю память. Логи администрировались удаленно. Но не в этом суть. Вопрос, а есть ли отечественные аналоги? Система на кристалле или антивирусный ботнет?
дайте плиз ссылку на рабочую малварь под линукс
Ты забыл уточнить, что права рута у тебя уже есть.
Патч Бармина для начала примени, скиньте ему кто нибудь исходный код!
Этому я даже руки не пожму, не то что код не кину.
Уважаю вашу позицию!
От себя могу подсказать лишь эпичный "пробел бамблби"
https://github.com/MrMEEE/bumblebee-Old-and-abbandoned/commi...
void main() {
while(fork()) {}
}
Спятили? Великие программисты ждут когда за них наформашлепят, а пока они будет рассказывать про зонды которые их не дай бог заставят выпиливать.
Да пройди какой-нибудь курс по ИБ - там все тебе объяснят и покажут. Включая и ответ на ваш вопрос. А публично и задавать такой вопрос неприлично, не то что отвечать.
Фигура речи. Можно было пройти мимо.
ля-ля-тополя, ты мне покажи, куда мышкой нажать или другое чего сделать, чтобы пк на Линукс заразить
А чего там касперский собираеться в Linux?
а чего ему собираться то?
я каспера лет 15 назад еще под линем разворачивал.
а дрвеб - 20 лет назад.
Скажу даже больше - у обоих, не первое десятилетие, есть собственные сборки Линукса. Некоторые даже неплохо защищенные.
> собираеться в Linuxзабирается хрен выгонишь
и чувствует себя как дома
О нет, они нашли залежи LHA :faceplam: