ClamAV(Linux)の誤検知で特定のシグネチャをチェック対象から外す

この週末、多数の管理サーバのClamAVからアラートがきて、大量のPDFファイルやフォントファイル(.ttf)が駆除されてしまった。

これだ : Win.Exploit.CVE_2019_0903-6966169-0

駆除といっても特定のディレクトリ下に移動させられるだけなので、問題ないファイルなら戻せばよいのだが、ClamAV側で対処されないと今後も 駆除→戻す のイタチごっこだ。

仕方ないのでググってホワイトリストにシグネチャを登録する方法で回避。


# cat "<シグネチャ>" >> PATH_TO_CLAMAV_PATTERN_FILE_DIRECTORY/<任意のファイル名>.ign2

【例】
# cat "Win.Exploit.CVE_2019_0903-6966169-0" >> /var/clamav/whitelist.ign2

拡張子が「.ign2」であれば、ファイル名は任意っぽい。

しかしClamAVはこの手の誤検知(?)が多いなぁ。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は 必須項目です。

管理者が承認次第、表示されます。

*