Re: Scansione antivirus con Clamav e rkhunter e chkrootkit
Il 22/09/25 12:06, pinguino ha scritto:
Buon giorno Lista,
Si, ho seguito freshclam. Il database è aggiornato.
Oggi è cosi :
Mon Sep 22 12:01:07 2025 -> ClamAV update process started at Mon Sep 22
12:01:07 2025
Mon Sep 22 12:01:07 2025 -> daily.cld database is up-to-date (version:
27770, sigs: 2076849, f-level: 90, builder: raynman)
Mon Sep 22 12:01:07 2025 -> main.cvd database is up-to-date (version:
62, sigs: 6647427, f-level: 90, builder: sigmgr)
Mon Sep 22 12:01:07 2025 -> bytecode.cld database is up-to-date
(version: 339, sigs: 80, f-level: 90, builder: nrandolp)
I: Unattended-Upgrade options found:
Ma anche ieri lo avevo eseguito.
Ho fatto un piccolo script, che esegue due comandi :
freshclam
upgrade-system
Ora ogni giorno prima di fare l'aggiornamento del sistema aggiorna anche
il database di Clamav.
La minaccia in particolare è PUA.Doc.Tool.LibreOfficeMacro-2
[...]
2) Forse sono dei falsi positivi ?
Penso proprio di sì, se provengono tutti dal pacchetto di Debian. Dal
nome della minaccia sospetto che abbia a che fare con le macro, che
possono essere usate per realizzare degli attacchi ma ovviamente non
sono "cattive" di per sé.
Penso che sia sulle macro.
Resta strano il fatto che da due risultati differenti.
Grazie
Saluti
Claudio
Buon giorno Lista,
Ora ho tolto la spunta sui controlli PUA e non da più minacce.
Anche se ogni tanto credo che può convenire fare qualche controllo a
sorpresa.
Ho aggiunto anche il controllo con sudo rkhunter -c --rwo
Per ora mi da soltanto questo due warning :
Warning: The command '/usr/bin/lwp-request' has been replaced by a
script: /usr/bin/lwp-request: Perl script text executable
Warning: The following suspicious (large) shared memory segments have
been found:
Process: /usr/bin/workrave PID: 4060 Owner: blum
Size: 1,0MB (configured size allowed: 1,0MB)
Altri warning simili li avevo esclusi dal file di configurazione.
Cercando su internet dicono che sono falsi positivi. E' cosi ?
Ho anche aggiunto il controllo con sudo chkrootkit -q
Questo da più messaggi warning :
WARNING: The following suspicious files and directories were found:
/usr/lib/jvm/.java-1.21.0-openjdk-amd64.jinfo [From Debian package:
openjdk-21-jre-headless:amd64]
/usr/lib/libreoffice/share/extensions/nlpsolver/help/.dir [From Debian
package: libreoffice-nlpsolver]
/usr/lib/libreoffice/share/extensions/wiki-publisher/help/.dir [From
Debian package: libreoffice-wiki-publisher]
/usr/lib/libreoffice/share/.registry [From Debian package:
libreoffice-common]
/usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_wrongrelm/.htaccess
[From Debian package: fail2ban]
/usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_wrongrelm/.htpasswd
[From Debian package: fail2ban]
/usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/noentry/.htaccess
[From Debian package: fail2ban]
/usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_time/.htaccess
[From Debian package: fail2ban]
/usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_time/.htpasswd
[From Debian package: fail2ban]
/usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/file/.htaccess
[From Debian package: fail2ban]
/usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/file/.htpasswd
[From Debian package: fail2ban]
/usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/authz_owner/.htaccess
[From Debian package: fail2ban]
/usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/authz_owner/.htpasswd
[From Debian package: fail2ban]
/usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_anon/.htaccess
[From Debian package: fail2ban]
/usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_anon/.htpasswd
[From Debian package: fail2ban]
/usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest/.htaccess
[From Debian package: fail2ban]
/usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest/.htpasswd
[From Debian package: fail2ban]
/usr/lib/ruby/vendor_ruby/rubygems/ssl_certs/.document [From Debian
package: ruby-rubygems]
/usr/lib/ruby/vendor_ruby/rubygems/vendor/resolv/.document [From Debian
package: ruby-rubygems]
/usr/lib/ruby/vendor_ruby/rubygems/vendor/securerandom/.document [From
Debian package: ruby-rubygems]
/usr/lib/ruby/vendor_ruby/rubygems/vendor/tsort/.document [From Debian
package: ruby-rubygems]
/usr/lib/ruby/vendor_ruby/rubygems/vendor/timeout/.document [From Debian
package: ruby-rubygems]
/usr/lib/ruby/vendor_ruby/rubygems/vendor/net-protocol/.document [From
Debian package: ruby-rubygems]
/usr/lib/ruby/vendor_ruby/rubygems/vendor/uri/.document [From Debian
package: ruby-rubygems]
/usr/lib/ruby/vendor_ruby/rubygems/vendor/net-http/.document [From
Debian package: ruby-rubygems]
/usr/lib/ruby/vendor_ruby/rubygems/vendor/optparse/.document [From
Debian package: ruby-rubygems]
/usr/lib/ruby/vendor_ruby/rubygems/vendor/molinillo/.document [From
Debian package: ruby-rubygems]
/usr/lib/firefox-esr/fonts/.uuid [Not from a Debian package]
WARNING: Possible Linux.Xor.DDoS installed:
/tmp/ollama2139540330/rocm/libext_server.so [Not from a Debian package]
/tmp/ollama2139540330/cuda/libext_server.so [Not from a Debian package]
/tmp/ollama2139540330/cpu/dummy.so [Not from a Debian package]
WARNING: Output from ifpromisc:
enp3s0: PACKET SNIFFER(/usr/sbin/NetworkManager[1487])
WARNING: output from chklastlog:
unable to open lastlog file lastlog
Anche questi sono dei falsi positivi ?
Mi devo preoccupare ?
Sopratutto quello sulla scheda di rete. Si può indagare sul pacchetto
NetworkManager ?
Anche per i files nelle cartelle temporanee di Ollama ho qualche dubbio.
Perché il pacchetto Ollama non c'è. I files li ho già cancellati diverse
volte ma riappaiono sempre. Possono dare problemi ?
Grazie
Saluti
Claudio
--
https://www.linkedin.com/in/claudio-sandrone
Reply to: