История изменений
Исправление AEP, (текущая версия) :
Да, бывают. Только это в основном не классические самораспространяющиеся вирусы, а просто malware.
Malware берется из двух мест: скачивается самим пользователем мимо дистрибутивных репозиториев и проникает в систему через уязвимости.
Примером первого типа какое-то время назад был первый результат поиска на Docker Hub по ключевому слову minecraft. Там был не minecraft, а майнер. Сейчас его убрали. По второму типу, на взломанные Wordpress’ы часто заливают всякие webshell’ы.
Есть ли смысл проверять, и чем - вопрос открытый. По факту, антивирусы для Linux, отличные от ClamAV и имеющие возможность лицензирования ровно на один хост, вымирают. Примеры недавних трупов - F-Prot, COMODO Antivirus, ESET NOD32 Antivirus for Linux Desktop.
Если ты являешься подрядчиком или субподрядчиком госконтракта в Великобритании, то обязан (из-за сертификации CyberEssentials) настроить сканирование, причем не по запросу, а по факту доступа к файлам, и еще сканировать весь веб-траффик, идущий через браузер, в том числе HTTPS. Т.е. если мы говорим про ClamAV на Linux, то это clamd + clamonacc + squid + c-icap + squid-clamav + куча настроек, чтобы не сломать интернет-радио, Zoom, WebEx, вебсокеты, server-sent-events и прочие сложные случаи. Я не справился.
И да, в процессе (когда подумал, что e2guardian будет проще настроить) еще нашел в нем пару уязвимостей: не проверяется хост в сертификатах и не блокируются уязвимые с точки зрения браузеров параметры TLS-соединений. Первое исправили, но в релиз и тем более в дистрибутивы это еще не попало. Второе объявили последствием моих кривых рук, но тот факт, что по умолчанию e2guardian так себя ведет, а squid - нет, говорит сам за себя. Ну и в ClamAV тоже нашел падение, детали пока под NDA.
Ну и вишенка на торте: clamonacc почему-то не проверяет процессы, запущенные внутри контейнеров, и поэтому для целей соответствия CyberEssentials при использовании контейнеров не подходит.
Теперь по поводу эффективности ClamAV без привязки к CyberEssentials. Майнер в скачанном докер-образе он нашел. Малварь, которую мне пришлось удалять как фрилансеру со взломанных серверов, он нашел в двух случаях из трех. Пример ненайденного - полиморфный webshell, но он определяется как obfuscated php вот этим инструментом (осторожно, коллекция вирусов в комплекте).
Исходная версия AEP, :
Да, бывают. Только это в основном не классические самораспространяющиеся вирусы, а просто malware.
Malware берется из двух мест: скачивается самим пользователем мимо дистрибутивных репозиториев и проникает в систему через уязвимости.
Примером первого типа какое-то время назад был первый результат поиска на Docker Hub по ключевому слову minecraft. Там был не minecraft, а майнер. Сейчас его убрали. По второму типу, на взломанные Wordpress’ы часто заливают всякие webshell’ы.
Есть ли смысл проверять, и чем - вопрос открытый. По факту, антивирусы для Linux, отличные от ClamAV и имеющие возможность лицензирования ровно на один хост, вымирают. Примеры недавних трупов - F-Prot, COMODO Antivirus, ESET NOD32 Antivirus for Linux Desktop.
Если ты являешься подрядчиком или субподрядчиком госконтракта в Великобритании, то обязан (из-за сертификации CyberEssentials) настроить сканирование, причем не по запросу, а по факту доступа к файлам, и еще сканировать весь веб-траффик, идущий через браузер, в том числе HTTPS. Т.е. если мы говорим про ClamAV на Linux, то это clamd + clamonacc + squid + c-icap + squid-clamav + куча настроек, чтобы не сломать интернет-радио, Zoom, WebEx, вебсокеты, server-sent-events и прочие сложные случаи. Я не справился.
И да, в процессе (когда подумал, что e2guardian будет проще настроить) еще нашел в нем пару уязвимостей: не проверяется хост в сертификатах и на блокируются уязвимые с точки зрения браузеров параметры TLS-соединений. Второе объявили последствием моих кривых рук, но тот факт, что по умолчанию e2guardian так себя ведет, а squid - нет, говорит сам за себя. Ну и в ClamAV тоже нашел падение, детали пока под NDA.
Ну и вишенка на торте: clamonacc почему-то не проверяет процессы, запущенные внутри контейнеров, и поэтому для целей соответствия CyberEssentials при использовании контейнеров не подходит.
Теперь по поводу эффективности ClamAV без привязки к CyberEssentials. Майнер в скачанном докер-образе он нашел. Малварь, которую мне пришлось удалять как фрилансеру со взломанных серверов, он нашел в двух случаях из трех. Пример ненайденного - полиморфный webshell, но он определяется как obfuscated php вот этим инструментом (осторожно, коллекция вирусов в комплекте).