Clamav Unofficial Signatures

Le signature antivirus ufficiali di Clamav fanno parecchio pena. Di fatto e` quasi come non avere nessun antivirus. Considerando che al giorno d'oggi gli antivirus signature-based quasi non hanno piu` senso di esistere, il risultato ottenibile da Clamav allo stato attuale delle cose e` pressoche` nullo.

Per ottenere qualche risultato in piu` possiamo usare delle signatures di terze parti.

Prima di cominciare assicuratevi di averei installato i pacchetti curl unzip rsync

Qui trovate informazioni sulle signature che andiamo ad aggiungere a Clamv: http://sanesecurity.com/. Nello specifico qui ci sono gli elenchi delle signature non ufficiali e del loro rischio di falso positivo: http://sanesecurity.com/usage/signatures/.

Qui invece trovate il sistema di script per l'aggiornamento automatico di queste extra signatures: https://github.com/extremeshok/clamav-unofficial-sigs.

Per installare questi script, leggete il contenuto del file INSTALL alla pagina indicata, e fate quello che vi viene detto.

Una volta scaricati e installati gli script, occorre modificare alcune cose.

Elenco qui di seguito le modifiche effettuate ai vari files, con riferimento alla versione 4.9.2, di marzo 2016.

• File /etc/logrotate.d/clamav-unofficial-sigs-logrotate commentare la parte indicata per Centos e scommentare quella per Debian.

• File /etc/clamav-unofficial-sigs.conf

  • Commentare clam_user e clam_group per Centos, scommentare quelli per Debian
  • Impostare a "no" securiteinfo_enabled (a meno che non vogliate iscrivervi al servizio)
  • Impostare a "no" malwarepatrol_enabled (come sopra)
  • Impostare a "yes" yararules_enabled
  • Verso la fine, sotto "advanced options", commentare clamd_restart_opt per Centos, e scommentare quello per Debian

Fatto questo, dovrebbe funzionare tutto per magia. Potete lanciare a mano per la prima volta lo script clamav-unofficial-sigs.sh --force per caricare i db. Da qui in poi se ne occupa cron.