Virus(es) were found but cannot be removed, Löschen per SSH fehlgeschlagen

talatro

Benutzer
Mitglied seit
18. Jul 2014
Beiträge
2
Punkte für Reaktionen
0
Punkte
1
Hallo,

mein Antivirus Essential hat mehrere Dateien als infiziert markiert und konnte zwei dieser Files nicht in den Quarantäne Ordner bewegen. Ich bekomme dort folgende Meldung:
2 virus(es) were found but cannot be removed. Click "Logs" on the left panel for detailed information.

Aus den Logs wird ersichtlich, dass es sich um folgende Dateien handelt:
/var/log/rm.log.1.xz
/var/log/rm.log.2.xz


Die Art der Bedrohung wird wie folgt eingestuft:
Heuristics.XZ.DiscSizeLimit

Nun habe ich versucht mittels SSH die Dateien manuell zu löschen. Das habe ich wie folgt gemacht:
1) SSH Verbindung hergestellt und login als admin
2) sudo -i (um als root Befehle auszuführen; Es steht auch "root" zu Beginn der Eingabezeile, was Bestätigt, dass ich root Rechte habe)
3) In den Ordner "/var/log/" wechseln mittels cd (mittels "ls -al" sehe ich die 2 betroffenen Dateien)
4) sudo rm rm.log.1.xz
==> Permission denied

Also kann ich auch nicht mittels SSH die Datei löschen. Ich habe schon diverse Foren durchstöbert und keine Lösung gefunden.

Ich habe eine DS214+ mit DSM 7.1.1-42962 Update 1.

Was sagt die Bedrohungskategorie "Heuristics.XZ.DiscSizeLimit" aus?
Ist der Fund evtl. ein false positive?
Wieso bekomme ich beim Versuch per SSH als root die Dateien zu löschen die Rückmeldung: Permission denied?
 

Mahoessen

Benutzer
Mitglied seit
20. Jul 2016
Beiträge
964
Punkte für Reaktionen
176
Punkte
63
hi, schon mal von einem client aus einen av gestartet und die Freigaben / Dateien scannen lassen ? einen AV auf der DS ist eher kontraproduktiv, da dann der Virus normalerweise schon auf dem client ist. Daher clients vernünftig absichern und das AV Paket von der DS runter…
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
4.658
Punkte für Reaktionen
1.643
Punkte
214
Der Grusel der frühen Computertage, ein Virus auf meiner heiligen Kiste. OK, Hirn einschalten:

Fast alle Viren sind Windows-Viren. Und wie alle Viren, brauchen sie den passenden Wirtsorganismus. Eine DS basiert auf Linux, und ist für diese Viren unfruchtbar wie eine Wüste. Da passiert nix.

Diese Schmalspur-AV-Lösung ist nur in ganz wenigen Anwendungsfällen sinnvoll, und auch da nur ein bisschen. Also DS als Fileserver für mehrere Benutzer, einer schiebt was verseuchtes drauf, und bevor es der nächste runter lädt und auf seinem PC öffnet (erst dann wäre es gefährlich), schreitet Antivirus ein. Nun gut (wobei das eigentlich schon auf dem PC hätte erkannt werden müssen).

Gegen moderne Schadsoftware ist diese AV-Lösung machtlos. Dagegen ist fast alles machtlos, was man sich als Normalanwender leisten kann und betreiben will. Also 1) gute allgemeine Sicherheit einrichten und einhalten, 2) das Heimnetzwerk möglichst nicht zum Internet hin öffnen, externer Zugang nur über VPN und 3) Backup, Backup, Backup.

Den AV habe ich schon lange deinstalliert.
 

talatro

Benutzer
Mitglied seit
18. Jul 2014
Beiträge
2
Punkte für Reaktionen
0
Punkte
1
Danke für Euer Feedback.

schon mal von einem client aus einen av gestartet und die Freigaben / Dateien scannen lassen ?
Habe gerade mal mit ClamAV die Shared Folder gescannt und kein Befund. Die angeblich infizierten Dateien befinden sich bei den Systemdateien (Linux Logdateien) unter "/var/log/" und da wüsste ich jetzt auf anhieb nicht wie ich die von einem Client aus scannen könnte.


@Synchrotron und @ottosykora
Danke für Eure Einordnung und die Hinweise. Das Antivirus Essential nicht gerade das gelbe vom Ei ist, habe ich schon gemerkt.


Unabhängig von der Sinnhaftigkeit des Antivirus Essential. Mir ist noch nicht ganz klar, wieso ich mittels SSH Zugriff als root diese Log-Dateien nicht löschen kann (permission denied).
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.088
Punkte für Reaktionen
1.072
Punkte
314
Hi!

Zuallererst möchte ich anmerken, das ich es für sehr unwahrscheinlich halte, das sich im Systemordner /var/log/ ein Virus einnistet. Des Weiteren handelt es sich bei den beiden Dateien rm.log.1.xz und rm.log.2.xz um gepackte Archivdateien die durch das System mit dem Dateiattribut a gegen löschen geschützt wurden.

Bash:
root@Fileserver:/var/log# lsattr -a rm.log.1.xz
-----a--------e--P rm.log.1.xz

Das -----a-…. bedeutet demnach…
Zitat aus dem Wiki von ubuntuusers.de
Dateien mit diesem Attribut können nur im append-Modus zum Schreiben geöffnet werden. Es kann also nur Inhalt an die Datei dran gehangen werden aber nicht gelöscht oder überschrieben werden. Dieses Attribut kann nur mit Root-Rechten gesetzt und entfernt werden.

Als root kannst du demnach die Dateiattribute nach Belieben verändern und so die Datei nach dem entfernen des a Attributes löschen, jedoch halte ich das nicht für zielführend.

Auch erhältst du bei einem Löschversuch kein „permission denied" sondern ein „Operation not permitted“

Tommes
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat