我使用带有第三方签名的 ClamAV。因此,为了从扫描中排除某些病毒签名,我按照官方文档添加了一个新的 .ign2 文件,如下所示:
cd /usr/local/share/clamav/
touch whitelist.ign2
chmod 644 whitelist.ign2
在进行扫描时,我得到了如下的误报特征:
/mysql/mysql_backups-02-08-2020_04-30-01/databasedbs.sql.gz: YARA.eval_post.UNOFFICIAL FOUND
因此,我在 中包含了这样的签名whitelist.ign2。以下是其他一些排除签名:
$ cat /usr/local/share/clamav/whitelist.ign2
{HEX}Malware.Expert.generic.eval.post.2
{HEX}php.malware.magento.594
{HEX}Malware.Expert.malware.url.hastebin.com.0
{multi}Malware.Expert.wget.curl.lwp-download.exec.system.signature
YARA.php_malware_hexinject
YARA.shankar_php_php
YARA.Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der_php
{HEX}Malware.Expert.generic.eval.gzinflate.base64.9
{HEX}Malware.Expert.generic.malware.127
YARA.r57shell_php_php
YARA.eval_post
根据我的测试,一些签名被排除在外,例如
{HEX}php.malware.magento.594, {HEX}Malware.Expert.generic.eval.post.2
但有些签名没有被排除,仍然被 clamav 发现,尽管我已将其包含在排除列表中,例如:
YARA.eval_post, YARA.r57shell_php_php
有人遇到过这个问题吗?你该怎么做才能解决这个问题。
答案1
我有同样的问题。解决方法是添加eval_post到 whitelist.ign2 并重启服务)
答案2
我对所有 YARA 签名都遇到了同样的问题,并找到了解决方案。因此,对于所有基于 YARA 的签名,当您想要排除规则时,请不要输入关键字YARA:
例如,这是 clamAV 发现的假阳性感染:
/root/.cpan/sources/authors/id/P/PL/PLICEASE/File-Listing-6.15.tar.gz: YARA.blackhole2_htm11.UNOFFICIAL FOUND
要将上述签名列入白名单,只需将其放入 .ign2 白名单文件中:
blackhole2_htm11
无需输入关键字YARA和UNOFFICIAL