Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: Automatische detectie bestands wijzigingen  (gelezen 311 keer)

Offline Erik Krom

  • Lid
  • Steunpunt: Nee
Automatische detectie bestands wijzigingen
« Gepost op: 2014/02/09, 10:31:40 »
Hee forumleden,

Weer eens een vraagje van mij uit. Ik probeer weer eens een niveautje hoger te gaan.  ;)
Ik zoek een programma (deamon) dat aangeeft als er een bestand wijzigt of word toegevoegd.
Het gaat erom dat automatisch een bepaald commando wordt uitgevoerd als er op bepaalde plaatsen een bestand  veranderd of toegevoegd.

Bijv. Clam scant automatisch als er een nieuw bestand is binnen gekomen.

Ik kwam iets tegen als 'fschange', maar deze zit niet standaard in de repertoires.

Heeft iemand ideeën om mij op weg te helpen??
« Laatst bewerkt op: 2014/02/10, 18:37:51 door Erik Krom »

Offline HarzG

  • Lid
  • Steunpunt: Nee
Re: Automatische detectie bestans wijzigingen
« Reactie #1 Gepost op: 2014/02/09, 11:22:28 »
De vraagstelling is m.i. nog niet concreet genoeg.

Voorbeeld:
Je hebt een map met documenten en daar staat een LibreOffice.odt in. Als je dat bestand opent, wordt automatisch een lock-file aangemaakt. Deze zie je als je de verborgen bestanden laat tonen (stel dat bestan heet 1234.odt, zie je een .~lock.1234.odt#).
Als een daemon daarop reageert, wordt je niet vrolijk want je ziet bij elke minieme wijziging een actie. … en telkens weer om de x minuten als je automatisch opslaan op x minuten hebt staan.

Andere acties zijn bijv. het downloaden van een bestand. Die staan even in de map /tmp, nadien in je map Downloads  totdat je opdracht geeft het bestand te verplaatsen naar een andere locatie. De hele map /tmp moet je dus m.i. niet willen loggen.

Verder zijn er ook de user-date-mappen van Firefox/Thunderbird waarin heel veel mutaties plaatsvinden (automatische upgrade van add-ons, mails, cache ...).

Wat voor datamappen wil je monitoren?
Xubuntu 16.04; siduction-15.1.0 Xfce

Offline daniel

  • Lid
  • Steunpunt: Nee
Re: Automatische detectie bestans wijzigingen
« Reactie #2 Gepost op: 2014/02/09, 13:01:12 »
Je kan ook een journaal app instaleren om te zien wat je de afgelopen dagen hebt gedaan, maar om gewijzigde software en veranderingen in je systeem te kunnen zien moet je echt kijken in de map..... /var/log

Offline Erik Krom

  • Lid
  • Steunpunt: Nee
Re: Automatische detectie bestans wijzigingen
« Reactie #3 Gepost op: 2014/02/09, 13:12:58 »
Alle ins en outs heb ik in detail natuurlijk nog niet allemaal tegen te komen.  (Dat is het leerproces ;))
Het is natuurlijk niet de bedoeling dat elk bestand waar dan ook wordt bijgehouden.
Dit filteren is een volgende stap.

Waarom het Clam verhaal:
De laatste paar maanden ben ik een paar computersystemen van vrienden en familie (met verschillende Windows versies) tegen gekomen die waren (zwaar) besmet terwijl de virus scanner op de betreffende systemen aangaven dat er niets aan de hand was.

Het uiteindelijke doel is om bestanden die ik van dergelijke systemen binnen krijg via automatisch te scannen en bericht te krijgen als er wat is gevonden.
Niet dat ik er zelf last van zou hebben, maar meer dat ik het niet door stuur en daardoor andere Windows systemen besmet.

Offline HarzG

  • Lid
  • Steunpunt: Nee
Re: Automatische detectie bestandswijzigingen
« Reactie #4 Gepost op: 2014/02/09, 15:29:35 »
In het verleden heb ik door clamav meldingen gezien die een virusbesmetting  meenden te moeten melden. Dat waren oude setup123.exe bestanden van Microsoft die in installatiemappen op de Linux-fileserver stonden om e.e.a. op Windows-clients te kunnen installeren. Na 2 dagen (met elke avond een scan) verdwenen de meldingen vanzelf. Op het moment van de vermeende besmetting heb ik een scan met een andere virusscanner uitgevoerd en daarmee werd niets gevonden (desnoods kan dat ook met een online-scanner bekeken worden). Dat betekent m.i. dat clamav een zogenaamde "false positive" had gemeld.

Voor clamav of een andere virusscanner in een realtime-modus in combinatie met Thunderbird wil ik op een complicatie wijzen. De applicatie Thunderbird zet de mails in 1 groot bestand. Het maakt daarbij niet uit of het om een Windows of een Linux-pc gaat.
De mailboxen staan dus daar:
/home/<username>/.thunderbird/<profile123.default>/Mail/Local Folders/Inbox
/home/<username>/.thunderbird/<profile123.default>/Mail/Local Folders/Sent
Als in een mail een virus zit en je geeft de opdracht om "de mail" automatisch in quarantaine te zetten bij "virus verdacht of gevonden", dan gaat je complete PostvakIN in quarantaine. Hierna kan je geen enkele mail meer benaderen ook niet "de schone" totdat de virus is verwijderd.

Om je doel "ik wil anderen niet besmetten" te bereiken, kan je de scan van bestanden die je per mail ontvangt/verstuurt bij de provider laten scannen. Deze functie moet bij sommige providers worden betaald, bij anderen zit dat in het pakket - voorbeeld:
Citaat
De e-mailberichten die onze abonnees via de standaard mailserver (smtp.xs4all.nl) verzenden, wordt gecontroleerd op virussen. Bevat een uitgaand e-mailbericht een virus, dan wordt deze geblokkeerd.
Xubuntu 16.04; siduction-15.1.0 Xfce

Offline Erik Krom

  • Lid
  • Steunpunt: Nee
Re: Automatische detectie bestans wijzigingen
« Reactie #5 Gepost op: 2014/02/09, 16:21:04 »
Ik ben bekend met de mogelijkheid tot de 'valse-positieven'. (Daar was ik de harde manier al achter gekomen.  :angel:)
Ik laat Clam de bestanden ook niet vanzelf in quarantaine zetten of verwijderen.

E-mail heb ik (nog) alleen een webmail.
De bestanden die ik krijg bedoel ik via download, het thuisnetwerk, USB-stick, cloud enz.

Ik bedenk mij net. Ik kan natuurlijk ook gewoon zoeken naar een daemon van Clam zelf.
Echter het automatisch een commando laten uitvoeren als een bestand wijzigt kan voor meer redenen interessant zijn.
Bijv. Een thuis server waar wat gebeurd waar root rechten voor nodig zijn. Als dat gebeurd zonder dat jij daar toestemming hebt gegeven weet je dat er iets niet in de haak is.