Ubuntu-fr

LOLO91

Script ClamAV

Bonjour,

Je viens vers vous car j'ai un problème sur un sujet.

Je voudrais scanner une clé des son branchement donc j'utilise bien les règles UDEV voici celle que j'ai crée
ACTION=="add",KERNEL=="sd[b-z]",RUN+="/usr/local/bin/scanusb.sh"

Maintenant je crée mon Script dans /usr/local/bin/scanusb.sh
Je veux scanner ma clé usb qui est dans media je pense et me retourner des logs
voici le script
#! /bin/bash

clamscan --infected --remove --recursive /media/ > /tmp/log.txt

Je fais bien sur un chmod +x /usr/local/bin/scanusb.sh
Je reload udevadm
et dans mes logs j'ai un retour mais il a rien scanné pouvez-vous m'aider s'il vous plait ?

FrancisFDZ

Re : Script ClamAV

Bonjour,
Pourquoi clamav ? Tu distribues des fichiers windows ?

Dernière modification par FrancisFDZ (Le 20/05/2022, à 10:14)

---

-- On peut avoir des raisons de se plaindre et n'avoir pas raison de se plaindre --
[Victor Hugo]

LOLO91

Re : Script ClamAV

Non je ne distribue pas de fichier Windows, mais c'est l'antivirus linux ClamAv non ?
Je ne connais pas trop Linux mais j'ai de bonne base enfin je pense
Peux-tu m'aider ?
Mon but est de scanner tout type d'usb que sa sois une clé ou un Disque Dur pour détecter des virus

FrancisFDZ

Re : Script ClamAV

Clamav est, à ma connaissance, le seul antivirus disponible sous linux !. Il est destiné à contrôler si des fichiers windows sont infectés, avant de les transmettre à un système windows. A part donc pour cette situation très particulière, il n'est pas nécessaire d'utiliser d'antivirus sous linux, et d'ailleurs si tu fait une recherche google sur "antivirus linux", tu ne trouveras pas d'autre réponse que clamav, alors que la même recherche concernant windows donnera énormément plus de réponse. Linux étant une distribution ouverte, tout utilisateur peut réagir au moindre doute de virus et la réaction de la communauté est immédiate, le risque d'attaque virale visant linux n'est pas nul (il n'est jamais nul), mais le risque est considérablement plus faible que pour un système fermé tel que windows ou même apple , notamment à cause du temps de réaction..

Après contrôle, il semble bien que les créateurs d'antivirus ont décidé de s'attaquer au monde linux, cependant le wiki explique assez bien les limitations, notamment pour des serveurs (susceptibles d'être connecté à des systèmes windows)
On peut lire sur le wiki

En résumé, sous GNU/Linux, grâce à la gestion de droits d'accès, votre système est à l'abri, mais vos données ne le sont pas nécessairement. Aucun antivirus ne vous protégera d'un script malicieux, car son rôle n'est pas de protéger les données utilisateurs mais le système d'exploitation. D'une certaine manière, un antivirus est donc inutile et le premier maillon de la sécurité de votre système, c'est vous. Pensez à faire des sauvegardes quand vous faites quelque chose de potentiellement risqué !

Dernière modification par FrancisFDZ (Le 19/05/2022, à 10:30)

---

-- On peut avoir des raisons de se plaindre et n'avoir pas raison de se plaindre --
[Victor Hugo]

LOLO91

Re : Script ClamAV

Oui pour moi aussi c'est le seul antivirus pour Linux.

Aurais-tu une idée pourquoi ca ne scan pas- ma clé USB ?
il faut ajouter un paramètre dans UDEV ?
Une ligne dans le Script ?

FrancisFDZ

Re : Script ClamAV

Je connais clamav de réputation, mais pas plus. Je suis d'accord avec l'affirmation du wiki

le premier maillon de la sécurité de votre système, c'est vous

Dernière modification par FrancisFDZ (Le 19/05/2022, à 10:55)

---

-- On peut avoir des raisons de se plaindre et n'avoir pas raison de se plaindre --
[Victor Hugo]

LOLO91

Re : Script ClamAV

Mince,
En tout cas merci beaucoup d'avoir pris le temps de me répondre.
En espérant que d'autre personne me viennent en aide

Watael

Re : Script ClamAV

salut,

pour avoir la sortie standard ET la sortie d'erreur du script, la commande devrait être

clamscan --infected --remove --recursive /media/ &> /tmp/log.txt

puis, il faut nous afficher le contenu du log.

---

Connected \o/
Welcome to sHell. · eval is evil.

LOLO91

Re : Script ClamAV

Salut

Merci pour ton retour, je viens d'essayer avec &> il me ressort rien

voici le log du scan

----------- SCAN SUMMARY -----------
Known viruses: 8616546
Engine version: 0.103.6
Scanned directories: 2
Scanned files: 0
Infected files: 0
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 0.00:1)
Time: 27.636 sec (0 m 27 s)
Start Date: 2022:05:19 15:09:12
End Date:   2022:05:19 15:09:39

Ce que j'ai détecté si qu'il scan mon directory /media/loic/ mais après il va pas jusqu'à la clé et je ne sais pas pourquoi ?

Dernière modification par LOLO91 (Le 19/05/2022, à 14:42)

xubu1957

Re : Script ClamAV

Bonjour,

Comme demandé dans le premier message du tutoriel Retour utilisable de commande

Pour ajouter toi-même les balises code à ton précédent message #9 :       Merci     

• Cliquer sur  le lien « Modifier » en bas à droite du message

• Sélectionner le texte

• Cliquer sur le <> de l'éditeur de message

Voir règles du forum > balises BB code

Balise CODE :

C'est la balise à utiliser pour donner de longs messages d'erreurs, des contenus de fichiers de configuration, des commandes à taper, etc … Elle permet des messages plus "compacts", et est moins ambiguë que d'autres polices sur certains caractères.

Dernière modification par xubu1957 (Le 19/05/2022, à 14:45)

---

Conseils pour les nouveaux demandeurs et pas qu'eux
Important : Pensez à passer vos sujets en [Réso|u] lorsque ceux-ci le sont, au début du titre en cliquant sur Modifier sous le premier message, et un bref récapitulatif de la solution à la fin de celui-ci. Merci.                   Membre de Linux-Azur

LOLO91

Re : Script ClamAV

Bonjour,

Je ne comprend pas ton message, j'ai copier coller mon log

FrancisFDZ

Re : Script ClamAV

Bonjour,

Je ne comprend pas ton message, j'ai copier coller mon log

copier - coller, oui mais entre balises code, soit celles figurant en haut de la fenêtre de réponse sous la forme de chevrons bleus : <> entre l'écran (pour des images) et le phylactère (pour une citation)
Pourtant la description de xubu1957 parait claire !

Dernière modification par FrancisFDZ (Le 19/05/2022, à 14:36)

---

-- On peut avoir des raisons de se plaindre et n'avoir pas raison de se plaindre --
[Victor Hugo]

LOLO91

Re : Script ClamAV

Ah oui j'ai compris merci

Watael

Re : Script ClamAV

n'y a-t-il pas une option "--verbose" pour rendre clamscan plus bavard sur ce qu'il fait (ou ce qu'il ne fait pas ) ?

l'utilisateur peut lire les fichiers sur la clé ?

---

Connected \o/
Welcome to sHell. · eval is evil.

LOLO91

Re : Script ClamAV

Salut Watael,

Si il y a "--verbose" pour le rendre plus bavard, je fais la commande après mais voici les autorisations de mon script et je vois bien les fichiers de ma clé en temps qu'utilisateurs.

-rwxr-xr-x 1 root root 79 mai   19  15:08 /usr/local/bin/scanusb.sh

Du coup je pense que les droit doit être modifié sur le script ?

FrancisFDZ

Re : Script ClamAV

-rwxr-xr-x 1 root root 79 mai   19  15:08 /usr/local/bin/scanusb.sh

Les droits se lisent comme suit, par groupe de 3 lettres à partir de la gauche :
-rwxr-xr-x : Root a les droits en lecture (r), écriture (w) et en exécution (x) (si le fichier est exécutable, bien sur)
-rwxr-xr-x : $USER, utilisateur courant, a les droits en lecture et exécution, pas en écriture (le "w" est remplacé par "-")
-rwxr-xr-x : tous les autres utilisateurs (désignés parfois "le reste du monde") ont des droits en écriture en exécution.
En résumé, seul ROOT peut écrire (=modifier) le fichier, mais tout le monde peut le lire ou l'exécuter. Il n'y a pas à priori lieu de modifier ces droits tant que l'on considère que ce fichier ne peut et ne doit être modifié que par root (ou par l'utilisateur courant s'il se substitue à root via "sudo")

[Edit] Le premier caractère est un tiret ici parce que l'on est en présence d'un fichier normal. Ce tiret est remplacé par "d" dans le cas d'un répertoire, ou par "l" dans le cas d'un fichier lié (les franglophones disent "linké"). Certains fichiers système ont une autre initiale, mais ce sont des fichier système qui n'ont pas à être modifiés. [/Edit]

Dernière modification par FrancisFDZ (Le 20/05/2022, à 09:30)

---

-- On peut avoir des raisons de se plaindre et n'avoir pas raison de se plaindre --
[Victor Hugo]

Tawal

Re : Script ClamAV

Ce n'est pas tout à fait ça.

Le 1er groupe rwx définit les droits pour le propriétaire du fichier (root ici)
Le 2ième groupe r-x définit les droits pour le groupe du fichier (encore root ici)
Le 3ième goupe r-x définit les droits pour "le reste du monde" (n'importe qui d'autre différent du propriétaire et du groupe).

Dernière modification par Tawal (Le 20/05/2022, à 09:38)

---

Le savoir n'a d’intérêt que si on le transmet.
Useless Use of Cat Award
Filenames and Pathnames in Shell: How to do it Correctly
À chaque problème sa solution, à chaque solution son moyen, si pas de moyen, toujours le problème !

LOLO91

Re : Script ClamAV

D'accord merci pour ce renseignement sur les droits de mon fichier script, du coup tous les user peut l'exécuter donc parfait, mais rien n'est fait.
Ca peux venir de la règle UDEV ou il faut indiquer les user qui peuvent utiliser la règle ?

FrancisFDZ

Re : Script ClamAV

Merci Tawai pour cette rectification.
On peut aussi ajouter que les mentions "root   root" dans le retour de "ls -l" désignent respectivement le nom du propriétaire (le premier "root") et du groupe (le deuxième "root"). On voit ici, comme souvent, que le nom du groupe est le même que celui du propriétaire, mais ce n'est pas automatique.
La commande "chown" permet de changer le propriétaire (+ éventuellement le groupe), et "chgrp" change spécifiquement le groupe (s'utilisent en général avec "sudo")

---

-- On peut avoir des raisons de se plaindre et n'avoir pas raison de se plaindre --
[Victor Hugo]

Postmortem

Re : Script ClamAV

Salut,
Essaie de rajouter l'option « --cross-fs=yes » à ta commande « clamscan ».
Il me semble que par défaut c'est déjà "yes" mais ça ne coûte rien d'essayer.

---

Mot' a dit : « Un Hellfest sans Slayer, c'est comme une galette-saucisse sans saucisse ! »

Watael

Re : Script ClamAV

le question est de pouvoir lire ou pas les fichiers sur la clé

$ mkdir /tmp/monDir
$ touch /tmp/monDir/{1..4}
$ chmod -r /tmp/monDir/*
$ ls /tmp/monDir
1 2 3 4
$ cat /tmp/monDir/1
cat: /tmp/monDir/1: Permission non accordée

Du coup je pense que les droit doit être modifié sur le script ?

on sait que le script s'exécute, donc, non.

verbose nous en dira plus.

---

Connected \o/
Welcome to sHell. · eval is evil.

LeoMajor

Re : Script ClamAV

salut,
il y a belle lurelle que je n'utilise plus clamscan, mais clamdscan (plus rapide).

clamdscan -m  --fdpass /media/....

(sophos, un peu dans même genre que clamav versus clamdscan)

savscan /media/...

I/  savdctl: Control the Sophos Anti-Virus daemon
Usage: savdctl [--daemon | --no-daemon] [COMMAND] [ARGUMENT]
COMMAND:
  help                   Display this help information
  version                Display the version and copyright information
  enable                 Enable on-access scanning
  disable                Disable on-access scanning
  enableOnBoot SERVICE   Start the SERVICE on system boot
  disableOnBoot SERVICE  Don't start the SERVICE on system boot
  SERVICE                savd savwebd sav-protect sav-web


II/  savdstatus: Display the status of the Sophos Anti-Virus daemon
Usage: savdstatus [OPTION]
OPTION:
  --help     Display this help information
  --version  Display the version and copyright information
  --verbose  Display extended information
  --quiet    Do not output anything, just provide the return code


III/  savlog: Display the Sophos Anti-Virus log
Usage: savlog [OPTION] ...
OPTION:
  --help               Display this help information
  --version            Display the version and copyright information
  --lang-neutral       Export the log in a language neutral XML format
  --utc                Display the time and date in UTC
  --today              Restrict log messages to those in the last 24 hours
  --maxage=NUMBER      Restrict log messages to those in the last 24 * NUMBER
                         hours
  --after=NUMBER       Restrict log messages to those NUMBER seconds after
                         1 January 1970 00:00:00.00
  --after=HH:MM[:SS]   Restrict log messages to those after the given time today
  --before=NUMBER      Restrict log messages to those before NUMBER seconds
                         after 1 January 1970 00:00:00.00
  --before=HH:MM[:SS]  Restrict log messages to those before the given time
                         today
  --category=STRING    Restrict log messages to those whose category starts
                         with STRING
  --systemLog          Display the syslog (/var/log/messages) rather than the
                         product log
  --namedscan=NAME     Display log messages for the specified named scan
  --noHeader           Don't display column headings
  -N                   Restrict log messages to N most recent entries
Utilitaire de dtection virale Scan
Version 5.85.0 [Linux/AMD64]
Version des donnes virales 5.88, octobre 2021
Inclut la dtection de 67460453 virus, chevaux de Troie et vers
Copyright (c) 1989-2021 Sophos Limited.  Tous droits rservs.

Heure systme 11:28:12, Date systme 11 novembre 2021
Les qualificateurs de lignes de commande sont : --help

Rpertoire IDE est : /opt/sophos-av/lib/sav

Utilisation IDE du fichier tesl-cib.ide
....
...
Utilisation IDE du fichier form-bnb.ide


IV/savscan

Utilisation : savscan [options] <chemin1> <chemin2> ... <cheminN>
                      [inclure/exclure les options]

  lorsque <chemin1>, <chemin2> ... <cheminN> fait rfrence  des fichiers,
  des rpertoires ou  des systmes de fichiers.

  Remarque :  l'exception des options -include et -exclude, l'endroit o vous
  spcifiez une option sur la ligne de commande importe peu : vous pouvez le
  spcifier avant, au milieu de, ou aprs une liste de chemins. Quel que soit
  l'endroit ou elle apparat, elle sera applique  tous les chemins sur la
  ligne de commande. En revanche, les options -exclude et -include vrifie si
  les chemins qui sont spcifis  leur suite doivent tre contrls ou non.
  Par consquent, la position de ces options est importante. Si vous spcifiez
  des options dont les effets s'opposent (par exemple, -archive suivie par
  -narchive), c'est alors la dernire option sur la ligne qui s'appliqu
  (dans cet exemple, -narchive s'applique).

Les options suivantes peuvent avoir le prfixe 'n' pour inverser leur sens
(par exemple, '-nsc' est l'inverse de '-sc'). [*] indique que l'option
est celle par dfaut :

  -sc       [*] : Scan  l'intrieur des excutables dynamiquement compresss
  -f        [ ] : Scan intgral
  -di       [ ] : Dsinfecte les lments infects
  -s        [*] : S'excute de manire silencieuse (sans lister les fichiers
                  contrls)
  -c        [*] : Demande confirmation avant la dsinfection/suppression
  -b        [*] : Emet un bip  la dtection d'un virus
  -all      [ ] : Scan de tous les fichiers
  -rec      [*] : Effectue un Scan rcursif
  -remove   [ ] : Supprime les objets infects
  -dn       [ ] : Affiche les noms des fichiers au fur et  mesure de leur
                  contrle
  -ss       [ ] : N'affiche rien sauf en cas d'erreur ou de virus
  -eec      [ ] : Utilise des codes d'erreur tendus
  -ext=<extension>,... : Spcifie les extensions supplmentaires dans Scan
  -idedir=<rpertoire>  : Lit les IDE depuis un autre rpertoire
  -vdldir=<rpertoire>  : Lit le VDL depuis un autre rpertoire
  -exclude      : Exclure les objets suivants du contrle
  -include      : Inclure les objets suivants dans le contrle. (A utiliser
                  aprs -exclude)
  -v            : Afficher les informations compltes sur la version
  -vv           : Afficher les informations compltes de la version et des
                  dtails sur les extensions et les types d'archive prises en
                  charge
  -h            : Affiche cette aide avant de quitter

Les options suivantes concernent les archives et d'autres types de fichiers
particuliers :

  -zip      [ ] : Scan  l'intrieur des archives ZIP
  -gzip     [ ] : Scan  l'intrieur des fichiers compresss GZIP
  -arj      [ ] : Scan  l'intrieur des archives ARJ
  -cmz      [ ] : Scan  l'intrieur des fichiers compresss Unix
  -tar      [ ] : Scan  l'intrieur des archives TAR
  -rar      [ ] : Scan  l'intrieur des archives RAR
  -cab      [ ] : Scan  l'intrieur des fichiers Microsoft Cabinet
  -archive  [ ] : Toutes les options ci-dessus
  -mime     [ ] : Contrle des fichiers cods au format MIME
  -oe       [ ] : Contrle des fichiers des botes aux lettres Microsoft
                  Outlook Express (-mime obligatoire)
  -tnef     [ ] : Scan  l'intrieur des fichiers TNEF

  -pua      [ ] : Recherche les adwares/applications potentiellement
                  indsirables (PUA).  Cette option recherche le composant
                  principal des PUA

  -suspicious            [ ] : Recherche les fichiers suspects

Les options suivantes peuvent prendre le prfixe 'no-' pour inverser leur
sens (par exemple, '--no-reset-atime' est l'inverse de '--reset-atime'. [*]
indique que l'option est celle par dfaut :

  --reset-atime          [*] : Rinitialise le temps d'accs au fichier aprs
                               l'opration Scan
  --stop-scan            [*] : Abandonne le contrle de fichiers tels que les
                               'zip bombs' dont le contrle occupe trop de
                               temps, d'espace disque ou de mmoire
  --cust-extract         [ ] : Dcompressez uniquement les fichiers prdfinis (VDL)
                               des archives
  --early-sxl            [ ] : Procdez  une recherche SXL (synchrone)
                               avant de crer les flux (autre que HOST).
                               La cration du flux actuel dpend de la rponse.
                               (Les recherches SXL doivent tre actives pour utiliser cette fonction)

Les options suivantes sont spcifiques  Unix et peuvent prendre le prfixe
'no-' pour inverser leur sens (par exemple, '--no-follow-symlinks' est
l'inverse de '--follow-symlinks'). [*] indique que l'option est celle par
dfaut :

  --follow-symlinks      [*] : Scan sur l'objet orient vers les liens
                               symboliques
  --stay-on-filesystem   [ ] : Tente de ne pas quitter le systme de fichiers
                               commenant (c'est--dire ne traverse pas les
                               points de montage)
  --stay-on-machine      [*] : Tente de ne pas quitter la machine en train de
                               dmarrer (c'est--dire ne traverse pas les
                               points de montage distants)
  --skip-special         [*] : Ne contrle pas les objets 'spciaux'
                               (/dev, /proc, /devices, etc.)
  --backtrack-protection [*] : Empche la rptition d'une tche
                               ('backtracking') due  des liens symboliques
  --preserve-backtrack   [*] : Prserve les informations de backtracking pour
                               la dure de cette opration
  --examine-x-bit        [ ] : Vrifie les fichiers avec une srie de bits
                               d'excution
  --show-file-details    [ ] : Montre l'appartenance et les droits du fichier
                               lors de l'affichage des noms de fichiers
  --quarantine           [ ] : (forme simple de l'option --quarantine)
                               Si le fichier est infect par un virus, tente
                               de choisir l'utilisateur excutant Scan comme
                               propritaire du fichier, et
                               change les droits en -r-------- (0400)

--quarantine:uid=<nnn>,user=<nomutilisateur>,gid=<nnn>,
               group=<nomgroupe>,mode=<ppp>
                         [ ] : (Formulaire dtaill de l'option --quarantine).
                               Si le fichier est infect par un virus, essayez
                               de changer les droits de proprit du fichier et
                               du groupe ainsi que les autorisations d'accs
                               aux options uid/user, gid/group et au mode.

  -move=<rpertoire de quarantaine>
                         [ ] : Dplacer les fichiers infects dans un rpertoire
                               de quarantaine
  -rename                [ ] : ajoute l'extension de nom de fichier 'infected'
                               aux noms des fichiers infects (sauf s'ils ont
                               dj cette extension).

  --args-file=<fichier>      : Lit les arguments de ligne de commande (les
                               options et le rpertoire/noms de fichiers)
                               depuis le fichier, en reprenant des arguments
                               de la ligne de commande lorsque la fin du
                               fichier est atteinte. La valeur - pour
                               <fichier> indique la prise de donnes en entre
                               de stdin.
                               Il se peut qu'un petit nombre d'options de
                               ligne de commande ne soient pas utilises dans
                               un fichier d'arguments, c'est--dire :-
                               -eec, -neec, -p=, -s, -ns, -dn, -ndn.
                               Celles-ci peuvent seulement tre spcifies
                               depuis la ligne de commande.

Les options suivantes sont spcifiques  Linux et FreeBSD seulement.

  -mbr      [ ] : Scan des enregistrements d'amorage matre sur tous les
                  disques durs (physiques)
  -bs=X,... [ ] : Scan du secteur de dmarrage de chaque lecteur list
  -bs       [ ] : Scan des secteurs de dmarrage sur tous les lecteurs
                  (logiques)
  -cdr=X,...[ ] : Contrle du secteur de dmarrage de l'image de chaque
                  lecteur de CD-ROM affich

LOLO91

Re : Script ClamAV

Bonjour Watael,
Je reviens que maintenant car j'était sur autre chose de plus important, ce que j'ai detecter c'est que mon script ne lit pas les éléments sur la clé, je ne sais pas comment faire pour donner les droits si tu as une idée ?

Merci à toi

LOLO91

Re : Script ClamAV

Bonjour tout le monde,
je viens vers vous car j'ai un problème lors de mes scans de clé usb avec clamav.
Le scan ne va pas plus loin que /media/ savez vous quelle droits faut donner ?
J'ai un retour scan mais qui est vide 0 data de scanné.

Merci pour vos réponse

Ci-joint ma règle UDEV et mon script.

UDEV

ACTION=="add", KERNEL=="sd*", RUN+="/usr/local/bin/scanusb.sh"

Script scanusb.sh

clamscan -i -r -r /media/ > /tmp/Log.txt

Modération - Inutile de créer un nouveau sujet → fils fusionnés

Dernière modification par cqfd93 (Le 17/08/2022, à 12:13)

MicP

Re : Script ClamAV

Bonjour

Par défaut, l'option cross-fs est à yes (d'après la page de manuel de la commande clamscan)
mais peut-être que cette option a été paramétré à no dans une directive du fichier /etc/clamav/clamd.conf

Quoi qu'il en soit, ça ne coûte rien de spécifier cette option sur la ligne de commande utilisée dans le script lancé par la règle UDEV,
ce qui donnerait :

clamscan --infected --remove --cross-fs=yes --recursive /media/ > /tmp/log.txt

=======
D'autre part, si ta règle UDEV permet de détecter la création d'un fichier de périphérique /dev/sd[b-z]
le ou les systèmes de fichiers qui existeraient sur ce périphérique ne sont pas forcément montés quand la détection est faite,
ce qui fait qu'il n'y a peut-être encore aucun système de fichier monté qui soit "scanable" dans les sous-répertoires du répertoire /media/

Dernière modification par MicP (Le 17/08/2022, à 16:51)