Malware

如何將萬用字元添加到 Linux 惡意軟體檢測 ignore_paths

  • August 24, 2014

我正在使用 Linux Malware Detect 來掃描和報告惡意軟體,但我每天都會在使用者電子郵件(主要是垃圾郵件文件夾)中收到惡意軟體警報。我不想為此發出警報,垃圾郵件文件夾經常被清理,使用者也可以清理它。

我嘗試將萬用字元添加到 /usr/local/maldetect/ignore_paths 中,如下所示,但它們不會被忽略:

/home/*/homes/*/Maildir
/home/?/homes/?/Maildir

有誰知道如何使用萬用字元排除文件夾,因為添加每個使用者郵件目錄的完整路徑是不切實際的。

謝謝

我發現只有

/usr/local/maldetect/ignore_inotify
A line spaced file for regexp paths that are excluded from inotify monitoring
Sample ignore entry:
^/home/user$
^/var/tmp/#sql_.*\.MYD$

http://www.rfxn.com/appdocs/README.maldetect

如果您使用 inotify(flag -m) 監視文件,那麼它可以幫助您。

基於這個maldet程式碼:

if [ "$days" == "all" ]; then
 if [ -z "$setmodsec" ]; then
         eout "{scan} building file list for $spath, this might take awhile..." 1
 fi
 $find $spath $tmpdir_paths -maxdepth $maxdepth -type f -size +${minfilesize}c -size -$maxfilesize $ignore_fext | grep -vf $ignore_paths > $find_results
else
 if [ -z "$setmodsec" ]; then
         eout "{scan} building file list for $spath of new/modified files from last $days days, this might take awhile..." 1
 fi
 $find $spath $tmpdir_paths -maxdepth $maxdepth -type f -mtime -$days -size +${minfilesize}c -size -$maxfilesize $ignore_fext | grep -vf $ignore_paths > $find_results
fi

我可以說您可以使用與通常在 grep 中相同的萬用字元。

但是,我已經在我的 maldet 版本上對其進行了測試,並且只有當我像這樣指定它時它才有效:

/home/.*/homes/.*/Maildir

嘗試在路徑表達式中使用點。

引用自:https://serverfault.com/questions/623633