[alg] Virussen voorkomen bij uploaden documenten door users?

Virussen worden alleen geactiveerd als het bestand geopend wordt of de exe wordt gerund.
Als het bestand / document alleen maar op de server staat gebeurt er daar niets. Het enige wat zou kunnen gebeuren is dat iemand een geinfecteerd document download en dan geinfecteerd raakt.
Een disclaimer [let op docu's zijn niet gesjekt op virii] kan dan voldoende zijn.

[ Voor 5% gewijzigd door BlaTieBla op 16-10-2003 16:17 ]

Dan moet je ze gewoon scannen met een virusscanner, simple as that. Als je baas moeite heeft met de kosten moet ie ook niet zeuren over virussen die mogelijk binnen kunnen komen (en hij kan ook gewoon z'n macro's uitzetten)

Een standaard virusscanner (bijvoorbeeld Symantec Norton Antivirus) houdt automatisch al virussen tegen als ze worden geüpload. Ik zou maar eens proberen of dit werkt. Gewoon een geïnfecteerde exe en een Office-bestand met virus uploaden en kijken of de virusscanner alarm slaat.

PanMan schreef op 16 October 2003 @ 16:18:
dat is waar, maar het is een systeem waar gebruikers documenten uploaden, en vervolgens de medewerkers van een kantoor die documenten bekijken. En mijn klant (de baas van het kantoor) wil dus eigenlijk voorkomen dat zijn kantoor op deze manier besmet raakt met eoa. virus.

Zoals oisyn ook al aangeeft, gewoon scannen, maar, ik neem aan dat elke medewerker op het betreffende kantoor een virusscanner op zijn eigen pc heeft staan. Wanneer een document dan wordt binnengehaald, wordt deze automagisch door de virusscanner gecontroleerd. En de kosten van AVsoftware voor een werkstation zijn heel laag...

http://www.trendmicro.com
of geen word doc's toestaan

tomatoman schreef op 16 October 2003 @ 16:37:
Een standaard virusscanner (bijvoorbeeld Symantec Norton Antivirus) houdt automatisch al virussen tegen als ze worden geüpload. Ik zou maar eens proberen of dit werkt. Gewoon een geïnfecteerde exe en een Office-bestand met virus uploaden en kijken of de virusscanner alarm slaat.

Moet je er wel een hebben met realtime filesystem protection en die niet vergeten aan te zetten.

Handiger is wellicht dat de meeste virusscanners commandline opties hebben om 1 enkel bestand te checken.

Je draait een LAMP-systeem, voor Linux zijn een aantal gratis virusscanners, probeer daar eens wat geïnfecteerde documenten mee te scannen.

Ey PanMan!

Uhm, wellicht kun je zelf eens de source bekijken van Word-bestanden met macro's, om te kijken of je die met een mooie regex weer richting de eeuwige jachtvelden te sturen?

Ik werk aan een systeem, waar straks gebruikers zelf documenten kunnen uploaden. Dat is technisch niet zo lastig. Nu kwam de klant echter met een nieuw probleem: Wat als een gebruiker een document upload met een virus erin (bij word documenten behoort dat tot de mogelijkheden).
Hoe kan ik dit het beste voorkomen? Ik zou een virusscanner kunnen draaien op de server, maar de licentie waarnaar ik daarvoor heb geinformeerd kost E814,- per jaar; een beetje veel voor het 'beveiligen' van 1 formpje.
Iemand een andere suggestie? Kan ik b.v. op de server alle macro's uitschakelen, oid? Ben benieuwd!
De server draait LAMP.

Beetje belegen topic, maar wij hebben hier laatst een CMS in elkaar gezet waar deze eis ook aan werd gesteld. Het was achteraf helemaal niet zo moeilijk. Na een fileupload wordt de file met een exec() call gescand met een AV binary. Zit er geen virus in dan geeft ie geen output en gaat het script door, zit er wel een virus in dan krijg je netjes terug in je form: Your file contains the Netsky/W32 blah virus.
Om ervoor te zorgen dat er alleen maar DOC's en PDF's worden ge-upload hadden we eerst een check op het mimetype dat door de browser wordt gestuurd, maar later is dit vervangen door een exec() shell die het "file" commando uitvoert, zodat het veranderen van extensie door de user om zo het omzeilen van de mimetype restrictie niet meer mogelijk is.

De laatste check zorgt er eigenlijk al voor dat je geen win32 binaries meer binnen kunt krijgen, de eerste check is dus eigenlijk alleen nog nodig voor macro virussen e.d. Dat kon ik toendertijd niet testen omdat mijn topic met request voor een macrovirus gelijk gesloten werd

Om ervoor te zorgen dat er alleen maar DOC's en PDF's worden ge-upload hadden we eerst een check op het mimetype dat door de browser wordt gestuurd, maar later is dit vervangen door een exec() shell die het "file" commando uitvoert, zodat het veranderen van extensie door de user om zo het omzeilen van de mimetype restrictie niet meer mogelijk is.

Ik dacht dat een mime type net ofanfhankelijk van de extensie werkte?

mimtype wordt door de browser bepaald. Sommige wat mindere browsers ( ) bepalen dit aan de hand van de extensie.

De HTTP client kan in principe zelf bepalen hoe 'ie de MIME-type bepaalt; in sommige gevallen weet het besturingssysteem het (MacOS-X, geloof ik) soms kijkt de client naar de extentie (Mozilla) en soms kijkt de client (ook) naar de inhoud (Internet Explorer). Hoe dan ook, de informatie komt van de client en is dus onbetrouwbaar. De controle met 'file' is misschien ook niet waterdicht, maar het is tenminste een controle op de server.

Dit bedoel ik: http://nl2.php.net/manual/en/function.mime-content-type.php komt toch geen browser aan te pas? Of veranderd een browser de bestanden? Mag hopen dat dit niet het geval is.

[ Voor 26% gewijzigd door djluc op 07-04-2004 17:21 ]