Toggle sidebar

Virus(es) were found but cannot be removed, Löschen per SSH fehlgeschlagen

Status
Für weitere Antworten geschlossen.
T

talatro

Benutzer
Mitglied seit
18. Jul 2014
Beiträge
2
Punkte für Reaktionen
0
Punkte
1
Hallo,

mein Antivirus Essential hat mehrere Dateien als infiziert markiert und konnte zwei dieser Files nicht in den Quarantäne Ordner bewegen. Ich bekomme dort folgende Meldung:
2 virus(es) were found but cannot be removed. Click "Logs" on the left panel for detailed information.

Aus den Logs wird ersichtlich, dass es sich um folgende Dateien handelt:
/var/log/rm.log.1.xz
/var/log/rm.log.2.xz

Die Art der Bedrohung wird wie folgt eingestuft:
Heuristics.XZ.DiscSizeLimit

Nun habe ich versucht mittels SSH die Dateien manuell zu löschen. Das habe ich wie folgt gemacht:
1) SSH Verbindung hergestellt und login als admin
2) sudo -i (um als root Befehle auszuführen; Es steht auch "root" zu Beginn der Eingabezeile, was Bestätigt, dass ich root Rechte habe)
3) In den Ordner "/var/log/" wechseln mittels cd (mittels "ls -al" sehe ich die 2 betroffenen Dateien)
4) sudo rm rm.log.1.xz
==> Permission denied

Also kann ich auch nicht mittels SSH die Datei löschen. Ich habe schon diverse Foren durchstöbert und keine Lösung gefunden.

Ich habe eine DS214+ mit DSM 7.1.1-42962 Update 1.

Was sagt die Bedrohungskategorie "Heuristics.XZ.DiscSizeLimit" aus?
Ist der Fund evtl. ein false positive?
Wieso bekomme ich beim Versuch per SSH als root die Dateien zu löschen die Rückmeldung: Permission denied?
 
hi, schon mal von einem client aus einen av gestartet und die Freigaben / Dateien scannen lassen ? einen AV auf der DS ist eher kontraproduktiv, da dann der Virus normalerweise schon auf dem client ist. Daher clients vernünftig absichern und das AV Paket von der DS runter…
 
  • Like
Reaktionen: talatro und ottosykora
Der Grusel der frühen Computertage, ein Virus auf meiner heiligen Kiste. OK, Hirn einschalten:

Fast alle Viren sind Windows-Viren. Und wie alle Viren, brauchen sie den passenden Wirtsorganismus. Eine DS basiert auf Linux, und ist für diese Viren unfruchtbar wie eine Wüste. Da passiert nix.

Diese Schmalspur-AV-Lösung ist nur in ganz wenigen Anwendungsfällen sinnvoll, und auch da nur ein bisschen. Also DS als Fileserver für mehrere Benutzer, einer schiebt was verseuchtes drauf, und bevor es der nächste runter lädt und auf seinem PC öffnet (erst dann wäre es gefährlich), schreitet Antivirus ein. Nun gut (wobei das eigentlich schon auf dem PC hätte erkannt werden müssen).

Gegen moderne Schadsoftware ist diese AV-Lösung machtlos. Dagegen ist fast alles machtlos, was man sich als Normalanwender leisten kann und betreiben will. Also 1) gute allgemeine Sicherheit einrichten und einhalten, 2) das Heimnetzwerk möglichst nicht zum Internet hin öffnen, externer Zugang nur über VPN und 3) Backup, Backup, Backup.

Den AV habe ich schon lange deinstalliert.
 
  • Like
Reaktionen: talatro, ottosykora, Tuxnet und eine weitere Person
Danke für Euer Feedback.

schon mal von einem client aus einen av gestartet und die Freigaben / Dateien scannen lassen ?
Zum Vergrößern anklicken....
Habe gerade mal mit ClamAV die Shared Folder gescannt und kein Befund. Die angeblich infizierten Dateien befinden sich bei den Systemdateien (Linux Logdateien) unter "/var/log/" und da wüsste ich jetzt auf anhieb nicht wie ich die von einem Client aus scannen könnte.


@Synchrotron und @ottosykora
Danke für Eure Einordnung und die Hinweise. Das Antivirus Essential nicht gerade das gelbe vom Ei ist, habe ich schon gemerkt.


Unabhängig von der Sinnhaftigkeit des Antivirus Essential. Mir ist noch nicht ganz klar, wieso ich mittels SSH Zugriff als root diese Log-Dateien nicht löschen kann (permission denied).
 
Hi!

Zuallererst möchte ich anmerken, das ich es für sehr unwahrscheinlich halte, das sich im Systemordner /var/log/ ein Virus einnistet. Des Weiteren handelt es sich bei den beiden Dateien rm.log.1.xz und rm.log.2.xz um gepackte Archivdateien die durch das System mit dem Dateiattribut a gegen löschen geschützt wurden.

Bash: 
root@Fileserver:/var/log# lsattr -a rm.log.1.xz
-----a--------e--P rm.log.1.xz

Das -----a-…. bedeutet demnach…
Zitat aus dem Wiki von ubuntuusers.de
Dateien mit diesem Attribut können nur im append-Modus zum Schreiben geöffnet werden. Es kann also nur Inhalt an die Datei dran gehangen werden aber nicht gelöscht oder überschrieben werden. Dieses Attribut kann nur mit Root-Rechten gesetzt und entfernt werden.
Zum Vergrößern anklicken....

Als root kannst du demnach die Dateiattribute nach Belieben verändern und so die Datei nach dem entfernen des a Attributes löschen, jedoch halte ich das nicht für zielführend.

Auch erhältst du bei einem Löschversuch kein „permission denied" sondern ein „Operation not permitted“

Tommes
 
  • Like
Reaktionen: geimist, talatro, Mahoessen und 2 andere
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten