Gestern hat bei uns der Symantec Endpoint Protection auf allen Server das C:\ProgramData\checkmk\agent\plugins\cmk-update-agent.exe gelöscht.
Also scheint der neuste Virenpattern Update davon auszugehen, das der cmk-update-agent.exe böse ist.
Wir sind nun am Restoren des cmk-update-agent.exe und stellen uns dabei die Frage, welche Pfade oder Files wir in unserer Virenscann Regel ausnehmen sollen.
Hallo Norm
Danke für dein Feedback.
Ja die Pfade kenne ich, aber ich vermisse eine Empfehlung des Herstellers, einfach die ganze Pfade auszuklammern sehe ich doch etwas zu grosszügige Ausnahmen.
In der Regel gibt der SW Hersteller eine Empfehlung in Form eines KB Artikel oder ähnliches, welches ich den AV Jungs zur Verfügung stellen kann.
Also formuliere ich meine Frage um, gibt es eine offizielle Empfehlungen von checkmk/tribe29?
Es ist vermutlich der in 1.6 verwendete pyinstaller in cmk-update-agent.exe. Damit hatten wir (und nicht nur wir) bereits mehrfach false-positive Spaß, u.a. in Web-Proxys mit AV Funktionalität. Ab er nächsten Version wird das nicht mehr passieren, da der pyinstaller rausfliegt.
Stand jetzt: Was Norm sagt. Ist auch nicht “zu großzügig”, da die Plugins und damit auch der Updater an 2 Stellen liegt und das MSI bzw. der Updater während eines Updates temporär umkopiert werden muss.
Wie gesagt, es ist der pyinstaller in der exe der “erkannt” wird, da anscheinend vor Jahren böse Buben den pyinstaller für Ihre Projekte benutzt haben.