15 replies to this topic

[Mr_NiceGuy]

Ahoi!
 

Ich habe Privat noch einen VServer den ich nicht benutze.
Ich wollte irgendwas für die Community machen, problem! Was?

Es ist zu schade, das der nur läuft und nichts außer SSH drauf ist.

Was kann man der Community bereitstellen, was wär nützlich?

Macht bitte Vorschläge.

[MDDD]

eigenes vscan tool webbased.

[r3vO]

Was meinst du damit MDDD?

[MDDD]

Sowas wie virustotal.com nur ohne weitergabe der ergebnisse an die av hersteller.

[Mr_NiceGuy]

Bin gerade dabei habe schon ein Upload Handler in Python geschrieben der dann die Datei im Ordner speichert und mit clamav testet.
Noch nicht viel aber schon ein wenig.

 

Please Login HERE or Register HERE to see this link!

Ist nicht immer Online!

Edited by Mr_NiceGuy, 21 January 2016 - 09:58 Uhr.

[Mr_NiceGuy]

Ja, fand die Idee sehr geil, bin motiviert!
Aber ich weiß noch nicht wie ich das mit den ganzen AV's machen soll, Clamav gibt es als Ubuntu Packet und der rest ist mit Python ja easy.

[Mr_NiceGuy]

Hier noch die Source wenn jemand helfen möchte

Please Login HERE or Register HERE to see this link!

[Mr_NiceGuy]

Brauche aber Hilfe beim Traffic Analysieren, damit ich die entsprechenden Gegenmaßnahmen einleiten kann(Ports schließen und für Av Updates wieder öffnen usw.) 

[pdr0]

@app.route('/scan')
def scan():
    stdout = Popen('clamscan uploads/', shell=True, stdout=PIPE).stdout
    output = stdout.read()

    subprocess.call(["rm", "-rf", "uploads/"])
    subprocess.call(["mkdir", "uploads/"])

    return render_template('uploaded.html', avscan=output)

Du hast  eine race condition. Vielleicht wäre es besser den Upload zu hashen sha256("randomsalt", file). Der Salt sollte wirklich random und nicht "randomsalt" sein . Der upload kommt dann in uploads/hashwert/ und der Hashwert in eine abzuarbeitende Queue (

Please Login HERE or Register HERE to see this link!

,

Please Login HERE or Register HERE to see this link!

 

@r3v0 post hunting nervt.

[Mr_NiceGuy]

@pdr0 das mit den Queues muss auf jeden fall! 
Sonst wird das alles viel zu langsam sein, aber wofür genau das hashen? 
Bei PW's usw. kann ich es verstehen aber bei den Files die danach direkt gelöscht werden?

 

Oder meinst du damit ich später erkenne ob die Datei schonmal gescannt wurde?

[pdr0]

Ja zum Einen, ja zur Wiedererkennung . Bei Hashes, als Index in einer DB, musst dann nicht mehr die Dateien aufbefahren sondern kannst das Ergebnis wieder anbieten ("Die Datei wurde am 01.01.1970 schon mal gescannt ...") und sie sind logischerweise eindeutiger als, server.exe.

 

 

Zum Anderen, hättest du nicht mehr die race condition, weil du dann nicht mehr das ganze /uploads/ Verzeichnis scannen und deleten würdest, sondern nur /uploads/hashwert/. Im moment kann es dir passieren, dass jemand etwas hoch läd und der Ordner grad gelöscht wird.

 

Dateinamen können auch ein Angriffsvektor sein (

Please Login HERE or Register HERE to see this link!

).

Edited by pdr0, 21 January 2016 - 10:48 Uhr.

[MDDD]

würd aber dennoch per cronjob ein rescan von allen files immer machen und die reports aktualisieren, damit die detection rate immer up2date angezeigt wird.

[Mr_NiceGuy]

Mein größtes Problem sind eher die ganzen AV Dienste, da die ja gar nicht alle unter Linux laufen wenn ich das richtig sehe. 
Avira hatte doch auch mal eine Rescure Disk, das Programm kann man doch bestimmt irgendwo als .deb oder so finden, hoffe ich

[pdr0]

Es gibt einen alten Linux client von Avira aber ich glaube keine aktuellen Signaturen.

 

Hier sind ein paar AVs aufgelistet (Commodo, Bitdefender..)

Please Login HERE or Register HERE to see this link!

[Mr_NiceGuy]

Ja die hatte ich auch gesehen, Problem ist nur das diese nicht aktuell sind.

[pdr0]

Ja die hatte ich auch gesehen, Problem ist nur das diese nicht aktuell sind.

 

Vielleicht könntest du dir die aktuellen signaturen aus den Windowsinstallationen kopieren. Wenn der Aufbau gleich ist sollte es klappen.