Clamav removeu tudo .exe do meu servidor samba

fer4131
(usa Outra)

Enviado em 24/11/2010 - 08:47h

Pessoal,

tomei susto hoje.Tenho 2 centos, um como servidor de arquivos na filial e o outro só como servidor de backup fitadat e como servidor onde ficam todos aplicativos que preciso instalar nas máquinas clientes.

no crontab nos 2 servidores coloco para ele scannear todos os dias de madrugada e hoje quand o chegie para instalar o skype vi que ele tinha sumido..como no crontab direciono tudo para pasta /home/quarentena vi que todos .exe desse eu compartilhamento do samba estão lá...foram removidos.

MAs acho estranho pois esse compartilhamento está mapeado no server windows que tem symantec endepoint e nunca pegou nada.

os 2 centos são integrados ao Active directory..como disse no primeiro eu tenho ele como servidor de arquivos completo com os documentos todos da empresa e a pasta SUPORTE que é onde ficam os aplicativos...no qye sumiu tudo tenho somente a pasta SUPORTE e faõ backup em fita dat da rede.

No segundo onde tenho também o clamav não sumiu nada da pasta SUPORTE no scanner do clamav então como essa máquina que sumiu tudo fez isso? até porque ó quem acessa ela sou eu...a outra onde todo mundo acessa não tive esse problema....e como disse o symantec endenpoint não pegou nada...já o clamav removeu tudo da pasta compartilhada.

Espero a ajuda de vcs pois não sei mais o que fazer.


mandei scanner tudo não só a pasta mapeada e os arquivos com virus que o clamav mandou para pasta quaretenta ele diz que está ok como podem ver abaixo:


/home/quarentena/dsnapcon60.bpl.002: OK
/home/quarentena/nvwrsptb.dl_: OK
/home/quarentena/nvwrseng.dl_: OK
/home/quarentena/StdOle2.tl_.001: OK
/home/quarentena/OleAut32.dl_: OK
/home/quarentena/VALCX95.VXD: OK
/home/quarentena/LAN.zip: OK
/home/quarentena/engine32.cab.001: OK
/home/quarentena/ioser12.dll: OK
/home/quarentena/nmfast60.bpl: OK
/home/quarentena/w32common.7.1.jar: OK
/home/quarentena/vcldbx60.bpl.001: OK
/home/quarentena/LangQueries.jar: OK
/home/quarentena/autoindx.exe.002: OK
/home/quarentena/Lang.2.1.jar: OK
/home/quarentena/dcpr.dll: OK
/home/quarentena/bin.1.1.jar.017: OK
/home/quarentena/jsound.dll: OK
/home/quarentena/SiiSupp.vxd.005: OK
/home/quarentena/NVRSPT.dl_: OK
/home/quarentena/tracedv.2.1.jar: OK
/home/quarentena/autoindx.exe.008: OK
/home/quarentena/RTPATCH.EXE.001: OK
/home/quarentena/Indexa_INSTALA.zip: OK
/home/quarentena/AWC[1].Pro.2.9.0.979.inc.Serial_zyberakuma.rar: OK
/home/quarentena/SilSupp.cpl.001: OK
/home/quarentena/INDEXAp.EXE: OK
/home/quarentena/websnap60.bpl.001: OK
/home/quarentena/setup.exe.009: OK
/home/quarentena/NTApps.1.3.jar: OK
/home/quarentena/fo-er512.zip.001.001: OK
/home/quarentena/RunningProcessesQuery.jar: OK
/home/quarentena/Office64WW.msi: OK
/home/quarentena/adv08w9x.dll: OK
/home/quarentena/setup.exe.010: OK
/home/quarentena/Customer.exe.001: OK
/home/quarentena/fileActionLib.jar.001: OK
/home/quarentena/RW_FAT16.EXE: OK
/home/quarentena/NVRSTR.dl_: OK
/home/quarentena/bdeadmin.cpl: OK
/home/quarentena/SiiSupp.vxd.001: OK
/home/quarentena/vnc-E4_2_5-x86_win32.exe: OK
/home/quarentena/MSRD2x35.dl_: OK


todos esses eram para estarem com vírus não? até porque no scanner atual mando todos arquivos infectados para a pasta /home/quarentena

tlaloc
(usa Gentoo)

Enviado em 24/11/2010 - 08:52h

Veja se não há nenhuma configuração que lhe permita ver um log das ações do ClamAV.
Se puder, verifique. No log dirá por quê o ClamAV enviou os arquivos para o limbo.

fer4131
(usa Outra)

Enviado em 24/11/2010 - 09:02h

pessoal,

acabei de descobrir outra coisa...os arquivos que estão na quarentena são antigos..então tudo que eu tinha nesse servidor .exe sumiu.

Muito estranho não estão na lixeira do samba e nem estão na quarentena..onde foram parar? fui na pasta onde tenho o adobe flash e o adobe reader tem somente 2 arquivos de texto que não tinha antes com o nome "AdbeRdr920_pt_BR_iNOSSO_error" e dentro dele tem:


O arquivo já está sendo usado por outro processo.


File: C:/Users/dell/AppData/Local/Adobe/Reader 9.1/Setup Files/Data1.cab
Info ID: 32.372.03.2.20034
Please send the Info ID and file name to http://www.adobe.com/misc/bugreport.html


o outro a mesma coisa e nas outras pastas tudo fazio...só ficou arquivos que não são .exe.

Estou muito preocupado pois se fosse vírus era para estarem todos dentro de /home/quarentena mas sumiu tudo que é .exe do compartilhamento.

o log do clamav só mostra isso:


[root@backup ~]# tail /var/log/clamav/clamscan.log

----------- SCAN SUMMARY -----------
Known viruses: 851669
Engine version: 0.96.1
Scanned directories: 2947
Scanned files: 23108
Infected files: 0
Data scanned: 12062.63 MB
Data read: 38645.96 MB (ratio 0.31:1)
Time: 2456.762 sec (40 m 56 s)


o correto é enviarem para o /home/quarentena como mostra o crontab:


#00 2 * * * /usr/bin/clamscan -r --log=/var/log/clamav/clamscan.log --move=/home/quarentena /home > /dev/null 2>&1

tlaloc
(usa Gentoo)

Enviado em 24/11/2010 - 09:07h

Infected files: 0

Não foi teu AV quem deletou os arquivos.

fer4131
(usa Outra)

Enviado em 24/11/2010 - 09:10h

então o que pode ter ocorrido?porque o unico usuário que acessa esse servidor sou eu então não tem como algum usuário ter deletado os arquivos....agora que estou preocupado mesmo.

lembrando que só foi removido o que .exe pois os outros arquivos continuam la normal

Exemplo pasta office 2010: todos arquivo estão lá menos o setup.exe

tlaloc
(usa Gentoo)

Enviado em 24/11/2010 - 09:17h

Cara, o ClamAV tem algum gerenciador de quarentena? Se tiver, mande restaurar TODOS os arquivos sem exceção.
Depois de solucionado o emergencial a gente pode descobrir o que que fez os .exe serem jogados para a quarentena.

fer4131
(usa Outra)

Enviado em 24/11/2010 - 09:30h

então, agradeço a ajuda.

O clamav está rodando em modo texto pois esse servidor não tem interface.tudo que ele acha é para ele jogar dentro de /home/quarentena

só que os arquivos não estão lá...só tem arquivos mais antigos então não tenho o que restaurar....e acho que ele mostra detected 0 files porque scanneou e achou nada ou moveu para quarentena não?

tlaloc
(usa Gentoo)

Enviado em 24/11/2010 - 09:48h

Não, ele teria de mostrar quantos arquivos infectados ele encontrou E mandou para a quarentena, não quantos sobraram. :P

Cara, tenho a leve impressão que seu antivírus não teve nada a ver com isso.
Veja os logs de acesso do seu usuário e veja se não tem nenhum acesso que não lembres.

fer4131
(usa Outra)

Enviado em 24/11/2010 - 09:50h

acabei de ver...como só faço mais trocar a fitadat dele...acessei ontem e instalei o skype dele...depois isso não acessei mais.

O problema aconteceu hoje quando fui instalar o skype em minha máquina vi que o mesmo não estava mais lá.

tlaloc
(usa Gentoo)

Enviado em 24/11/2010 - 10:04h

Veja no seu log de acesso se não tem um acesso fora deste horário aí. Só por desencargo de consciência.

albfneto
(usa openSUSE)

Enviado em 24/11/2010 - 10:16h

Concordo com Tlaloc, seu servidor não foi acessado, não? alguém não aprontou para você?

Olha, se os arquivos alguns foram param na quarentena,tudo indica que um problema no Clamav causou isso.

depois que resolver, eu removeria o Clamav e re-instalava.

Uma coisa que pensei, seus EXEs não ficaram hidden,escondidos, porisso vc não está vendo?

Pense em outras possibilidades, e se realmente for um vírus e o clamav não pegou, não achou?

e se realmente alguem mexeu? Pense um pouco.alguém com conhecimento de Linux, com comando mv, seria fácil selecionar só os EXEs e jogar seus EXEs no /dev/null, não?

tlaloc
(usa Gentoo)

Enviado em 24/11/2010 - 10:32h

ALBFNeto, se o próprio ClamAV não detectou vírus nos arquivos, não tem nada no log dizendo que moveu para a quarentena, todos os arquivos de uma dada extensão estão na pasta da quarentena...

e a mesma situação não ocorreu em um servidor idêntico...

então, suspeito de uma sacanagem de alguém que tiver acessado o servidor fora das vistas do amigo.
qualquer move -R *.exe /seila/quarentena já faria este estrago aí.