ClamAV false-positive whitelisten

Locked
l_fish
Posts: 144
Joined: Tue 15. Aug 2017, 11:49

ClamAV false-positive whitelisten

Post by l_fish »

Hallo,

der Virenscan hat nun erstmals einen false positive bei uns erzeugt und ich wollte den nun whitelisten. Dazu habe ich folgendes ausgeführt (System: Keyhelp 18.1.1 auf Server von Keyweb mit Debian 9.5):

Code: Select all

/usr/bin/sigtool --md5 /home/users/XYZ/www/... >> /var/lib/clamav/local.fp
/usr/sbin/service clamav-daemon restart
In der Datei /var/lib/clamav/local.fp steht nun auch eine entsprechende Zeile und die Datei selbst ist lesbar für clamav:

Code: Select all

-rw-r--r-- 1 clamav clamav 154 Aug  3 08:52 /var/lib/clamav/local.fp
Leider war das jedoch ohne Erfolg, die Datei wird weiterhin als Virus erkannt. Hat jemand eine Idee, woran das liegen kann?


Viele Grüße,
Lars
l_fish
Posts: 144
Joined: Tue 15. Aug 2017, 11:49

Re: ClamAV false-positive whitelisten

Post by l_fish »

Zwei Tage später und es wird kein false-positive mehr gemeldet. Keine Ahnung, ob nun doch noch der Eintrag in der local.fp gegriffen hat oder es an einem zwischenzeitlichen Signaturen-Update in clamav lag. Mal schauen, wie es sich bei einem evtl. nächsten false-positive verhält :)
Locked