Virenalarm am Leibniz
Gestern Abend haben wir festgestellt, dass ein ungeschützter Rechner im pädagogischen Netzwerk anscheinend einen Virus eingeschleust hat. Ein großer Teil der auf den Server-Shares gelagerten EXE-Dateien war mit einer Variante des Virus W32.Parite infiziert.
Obwohl dieser Virus anscheinend keinen größeren Schaden anrichtet (er befällt auf infizierten Windows-Systemen alles .exe und .scr-Dateien und freut sich seines Lebens), haben wir eine Großkontrolle aller Systeme durchgeführt und Präventivmaßnahmen eingeführt.
Da sämtliche Rechenr bis auf wenige Ausnahmen mit Sheriff-Karten oder HDGUARD arbeiten, sehen wir den Virenschutz dieser Systeme nicht als maßgeblich an. Ein Virus kann das System zwar befallen, sollte nach dem Shutdown aber wieder Richtung /dev/null wandern. Andere Windows-Systeme im Netz haben keine Freigaben, nur der Server stellt Dateien bereit. Dass dies ein Fallstrick ist, haben wir übersehen – ein Virus kann Dateien auf diesen Shares infizieren und andere Systeme zur Laufzeit befallen.
Deshalb haben wir nach Vernichtung sämtlicher ausführbarer Dateien auf den Servershares alle Rechenr ohne Festplattenschutz mit einer minimalen Antivirus-Lösung in Form von AVIRA versehen. Die mit HDGUARD oder Sheriff-Karten ausgestatteten Rechner bleiben weiterhin ungeschützt, lediglich der Server wird mit einem Schutz versehen.
Mit Hilfe der Pakete squid-clamav und samba-vscan sollte wieder eine annehmbar sichere Situation geschaffen sein. Samba-Vscan muss unter Gentoo zwar per Hand gegen die Samba-Quellen kompiliert werden, aber danach läuft es einwandfrei. Und am Ende sieht das dann so aus:
Squid-ClamAV blockt den Download des Eicar-Testvirus
Samba-Vscan blockt den Zugriff auf den Eicar-Testvirus
