Recuperar archivos con virus de [ebox-quarantine]

[Gonzalo]

Estimados
tengo un servidor que me ha puesto varios archivos con virus en la carpeta compartida [ebox-quarantine], todos con el formato "vir-xxxxxx", necesito saber el nombre original de dicho archivo, es esto posible ?
Saben si existe alguna herramienta para restaurarlos ?

gracias de antemano

Gonzalo

[acon]

Puedes buscarlo en mantenimiento, registro, virus en samba

[vivas99]

Tengo la solución, casualmente ayer me ocurrio lo mismo.

Tienes que mirar el syslog que esta en /var/log si no me equivoco.

Si lees el registro del dia en donde se te eliminaron los archivos verás que hay entradas donde dice la ruta vieja que tenia y la ruta nueva con formato vir-xxxxxx.

Un saludo!

[Gonzalo]

acon: gracias por contestar, eso fue lo primero que hice pero por alguna razón que ignoro no se logueo nada, ni en "Samba virus" ni en "Samba quarantine" incluso tenia configurado que me envíe un mail ante dichos eventos y tampoco funcionó.

vivas99: gracias por contestar, estuve viendo el  /var/log/clamav/clamav.log y si bien veo los archivos con el nombre original con la palabra "FOUND" en al misma línea, no veo en ningún lado la ruta nueva con el formato vir-xxxxxx, estoy viendo el log correcto?

saludos
y aclaro por las dudas, uso Zentyal 2.0.23

[vivas99]

No hay que leer ese log, el que hay que leer es el syslog que está ubicado en /var/log. Busca la fecha del dia que ocurrio, y si no esta en el primero, estará en los logs que estan comprimidos.

Espero que no haya pasado tanto tiempo y todavia tengas los logs!

Un saludo!

[vivas99]

Te adjunto un script hecho por mi para recuperar los archivos:

    IFS='
    '
    #esto hace que en el scripts los espacios se traten como un caracter mas, hace funcionar el script si en alguna ruta existe un espacio.

    directorio= /var/lib/ebox/quarantine
    # la variable directorio almacena la ruta donde tenemos los archivos con extension vir-xxxxxx
    numlineas=$(wc -l fichero.txt | awk '{print $1}')
    # numlineas almacena el numero de lineas que tiene fichero.txt.
    #fichero.txt es un fichero que contiene las entradas del registro "syslog" donde se indica el nombre anterior que tenia el archivo infectado y con que nombre
    # lo ha almacenado.

    contador=1


    while [ $contador -le $numlineas ]; do
       linea=$( sed -n "$contador"p fichero.txt )
    # la variable linea almacena en cada vuelta del bucle una linea diferente, es decir la primera vez almacena la primera linea y asi sucesivamente.
    #mientras que el contador sea menor que el numero de lineas se va a ejecutar el bucle, es decir recorrerá todo el fichero.
       original=$(echo $linea | grep -oE "/.+'\sto" | sed 's/....$//g')
    #en original almacena la ruta original del fichero antes de ser enviado a la cuarentena
       cambiada=$(echo $linea | grep -oE "vir.+'\s" | sed 's/..$//g')
    #en cambiada almacena la ruta actual del fichero dentro de la cuarentena
       
       if [ -f $directorio/$cambiada ]; then
       mv  $directorio/$cambiada /$original
    # si existe el fichero nuevo (de extension vir-xxxxxx) lo mueve a la ruta original que tenia antes de ser enviado a cuarentena
       
       fi

       let contador=$contador+1
    done

    ##IMPORTANTE, EN ALGUNOS SISTEMAS LINUX EL FUNCIONAMIENTO DE LAS EXPRESIONES REGULARES PUEDE CAMBIAR.

El script funciona con un fichero.txt que contiene la salida que te comentaba del syslog, seria como esto:

    May 11 16:01:15 srvoftec smbd_audit: INFO: quarantining file '/media/discoDatos/*********  ' to '/var/lib/ebox/quarantine//vir-OzBOTZ' was successful
    May 11 16:01:17 srvoftec smbd_audit: INFO: quarantining file '/media/discoDatos/********' to '/var/lib/ebox/quarantine//vir-JtWVA4' was successful
    May 11 16:02:00 srvoftec smbd_audit: INFO: quarantining file '/home/samba/shares/********' to '/var/lib/ebox/quarantine//vir-SaqKUZ' was successful
    May 11 16:02:01 srvoftec smbd_audit: INFO: quarantining file '/home/samba/shares/******** to '/var/lib/ebox/quarantine//vir-jyiOIV' was successful

Espero que te/os sirva de ayuda

[acon]

vivas99, veo que es algo que te afecta menudo 
Es curioso, yo apenas he tenido falsos positivos.
Por otra parte, con el script recuperas todo lo que se haya detectado, esté infectado o nó.
Si te dá tantos falsos positivos, ¿no es mejor quitar el chequeo del antivirus en los recursos compartidos?

[vivas99]

Que va, ha sido solo una unica vez, el problema fue con 2.000 archivos todos supuestamente infectados con el mismo virus. Por eso el script mueve todo lo que hay en cuarentena.

De todas formas para arreglarlo solo es coger las lineas del syslog de los ficheros que estas seguro que son falsos positivos xD.

Esta confirmado que fue un falso positivo, pero claro, no iba a renombrar 2.000 archivos a mano.

[acon]

Gracias vivas99, tendré en cuenta por si me ocurre.
Supongo que será un fallo de actualización del Clam.
Vaya tela....