Clamtk сообщает об этих файлах LibreOffice как о возможных угрозах. Они в безопасности? [закрыто]
/usr/share/doc/libusb-1.0-doc/html/jquery.js PUA.Html.Exploit.CVE_2014_0322-1
/usr/lib/libreoffice/presets/basic/Standard/Module1.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/ImportWizard/Language.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/ImportWizard/Main.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/ImportWizard/FilesModul.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Template/Autotext.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Template/ModuleAgenda.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Template/Correspondence.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Template/Samples.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Gimmicks/GetTexts.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Gimmicks/ReadDir.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Gimmicks/ChangeAllChars.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Tutorials/TutorialCreator.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Gimmicks/AutoText.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Gimmicks/Userfields.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/FormWizard/Layouter.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/FormWizard/tools.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/FormWizard/DBMeta.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/FormWizard/FormWizard.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/FormWizard/develop.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/FormWizard/Language.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Depot/Lang_it.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Depot/Internet.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Tutorials/TutorialClose.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Depot/tools.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Depot/Depot.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Depot/Lang_de.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Depot/Lang_ja.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Depot/Lang_ko.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Depot/Lang_zh.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Depot/CommonLang.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Depot/Lang_en.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Depot/Currency.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Depot/Lang_sv.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Tutorials/Functions.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Depot/Lang_tw.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Depot/Lang_fr.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Depot/Lang_es.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Euro/Common.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Euro/AutoPilotRun.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Euro/Init.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Euro/Hard.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Euro/Protect.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Euro/Soft.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Euro/Writer.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Tutorials/TutorialOpen.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Euro/ConvertRun.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Tools/ModuleControls.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Tools/Listbox.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Tools/Strings.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Tools/UCB.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Tools/Debug.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Tools/Misc.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Tutorials/RoadMap.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/Tutorials/ShowInfoDialog.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/ImportWizard/DialogModul.xba PUA.Doc.Tool.LibreOfficeMacro-2
/usr/lib/libreoffice/share/basic/ImportWizard/API.xba PUA.Doc.Tool.LibreOfficeMacro-2
2 ответа
Да. Они обнаружены как макросы LibreOffice. Макросы могут представлять угрозу безопасности, как и все другие программы, но они распространяются как часть установки и проверяются создателями LibreOffice.
Хорошая вещь, которую нужно сделать при поиске файла, выделенного clamav (или любого другого AV), - это найти в Google то, что AV движок находит.
Вам действительно нужна какая-то система HIDS, чтобы работать вместе с clamav.
clamav печально известен своими «ложными срабатываниями», вы можете легко найти множество постов в Интернете, свидетельствующих о том, что эти ложные срабатывания можно игнорировать ....
НО ...
Clamav имеет механизм для сообщения о ложных срабатываниях, если вы считаете, что у вас ложные срабатывания - https://www.clamav.net/reports/fp
Хотя игнорирование ложных срабатываний Это обычная практика, я просто добавлю немного деталей / предостережения / предложения ...
Вам нужно начать с хорошо известной системы, например, с новой установки. Затем вы устанавливаете и настраиваете какой-то тип HIDS (OSSEC, AIDE, ...).
См. http://opensourceforu.com/2017/04/best-open-source-network-intrusion. -detection-tools / или поиск параметров в Google.
Затем вы запускаете clamv и исследуете ложные срабатывания.
Вы можете определить, установил ли пакет файл, при новой установке вы должны предположить, что такие файлы чистые. Вам не нужно делать такое предположение, но затем вы попадаете в глубокую темную дыру паранойи, и если вы не доверяете репозиториям Ubuntu, вы как бы много проделываете из ворот.
Вы проверяете файл с помощью debsums
sudo debsums -ac
См. Или справочную страницу debsums https://blog.sleeplessbeastie.eu/2015/03/02/how-to-verify-installed -пакеты / для более подробной информации.
Затем вы начинаете с известной хорошей системы и знаете, что сообщает clamav с чистой, свежей установкой.
Когда вы запускаете clamav, вы можете сравнить его с вашей новой установкой через debsums и HIDS.
Вы обновляете список известных ложных срабатываний HIDS и вашего clamav после каждого обновления и установки пакета, подтверждая отчисления.
Если вы получили предупреждение от clamav, вы просматриваете историю файлов в HIDS и отсеиваете, чтобы определить, является ли файл (все еще) нетронутым / ложно-положительным или произошло непредвиденное изменение файлов.
Я полностью понимаю, что то, что я предлагаю, очень громоздко, и многие люди не делают все эти шаги, но ...
Если вы не собираетесь исследовать, что Кламав направляет вас расследовать, зачем вообще запускать Кламав?