Az utóbbi időben a spammerek újabb harci eszközzel rukkoltak elő: a kéretlen „információjukat” PDF, vagy XLS formátumú állományokban küldik el. (Emellett már régebben valamilyen csatolt képformátumként.) A csatolt képformátumokkat a SpamAssassin is könnyedén elbánik, de a PDF-ekkel, vagy az XLS formátumokkal már nem, vagy legalábbis nehezen boldogul(na).
A Sanesecurity módszerében a ClamAV-ot hívja segítségül az ilyen levelekben megbúvó kéretlen levelek tartalmi elemzésére és szűrésére. A Howto Forge oldalán bukkantam rá a cikkre, melyben a szerzője eredetileg Ubuntu környezethez igazítva leírja, hogyan lehet a ClamAV-ot rávenni az ilyetén SPAM-szűrésre. (Nagyon nem kell igazítani.)
A pár perc alatt elvégezhető művelet valóban eredményes!
1. Néhány program megléte szükséges a rendszeren. (Ubuntu telepítési minta):
sudo apt-get install gzip curl rsync
2. Be kell szerezni azt a szkriptet, ami a Sanesecurity oldaláról letölti a ClamAV által értelmezhető definíciós állományokat. A cikk szerzője az eredeti szkriptet módosította. Én ezt használtam. (Aztán módosítottam a saját elérési útvonalaimra.):
cd /usr/bin wget http://www.ispconfig.org/downloads/scripts/sanesecurity_update.sh chmod +x sanesecurity_update.sh
3. A kedvenc szerkesztőmmel három sort módosítottam a sanesecurity_update.sh fájlban az alábbi módon:
clamscan=”/usr/local/bin/clamscan”
clam_sigs=”/usr/local/share/clamav”
clam_user=”clamav”
4. Ezek után futtassuk le a ./sanesecurity_update.sh szkriptet, mely letölti és a ClamAV definíciós állományai közé teszi a SPAM-szűréshez használatos adatokat.
./sanesecurity_update.sh
A futás során megjelenő kimenet valami ilyesmi lesz:
================================= SaneSecurity SCAM Database Update ================================= % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 116k 100 116k 0 0 65448 0 0:00:01 0:00:01 --:--:-- 139k ================================== SaneSecurity PHISH Database Update ================================== % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 179k 100 179k 0 0 216k 0 --:--:-- --:--:-- --:--:-- 216k ========================== MSRBL SPAM Database Update ========================== Number of files: 1 Number of files transferred: 1 Total file size: 228436 bytes Total transferred file size: 228436 bytes Literal data: 228436 bytes Matched data: 0 bytes File list size: 33 File list generation time: 0.001 seconds File list transfer time: 0.000 seconds Total bytes sent: 101 Total bytes received: 228579 sent 101 bytes received 228579 bytes 26903.53 bytes/sec total size is 228436 speedup is 1.00 =========================== MSRBL IMAGE Database Update =========================== Number of files: 1 Number of files transferred: 1 Total file size: 550503 bytes Total transferred file size: 550503 bytes Literal data: 550503 bytes Matched data: 0 bytes File list size: 35 File list generation time: 0.001 seconds File list transfer time: 0.000 seconds Total bytes sent: 103 Total bytes received: 550688 sent 103 bytes received 550688 bytes 157368.86 bytes/sec total size is 550503 speedup is 1.00
5. A SPAM-szűrés máris működik, a ClamAV beállításain nem kell semmit módosítani!
Próbaképpen elküldtem magamnak a most beállított szerverre egy olyan SPAM-et, amit a napokban kaptam egy freemail-es címemre, és PDF csatolmány volt a SPAM. Hogy ki lehessen próbálni innen le lehet tölteni: http://www.gprsec.hu/downloads/new_account-39420.pdf
Az eredmény (az amavisd-new kiértesítése):
A virus was found: Email.Stk.Gen606.Sanesecurity.07080101.pdf Scanner detecting a virus: ClamAV-clamscan Content type: Virus (9,0) Internal reference code for the message is 24973-10/9hwsYQhCcOVn First upstream SMTP client IP address: [209.85.128.191] fk-out-0910.google.com According to a 'Received:' trace, the message originated at: [213.222.130.xxx], amd.local ( [213.222.130.xxx]) Return-Path: <xxxxx@gmail.com> Message-ID: <200708030424.36723.xxxxxx@gmail.com> Subject: sdasd The message has been quarantined as: virus-9hwsYQhCcOVn Notification to sender will not be mailed. The message WAS NOT relayed to: <yyyyy@mail.xxxxxx.hu>: 254 2.7.1 Ok, discarded, id=24973-10 - VIRUS: Email.Stk.Gen606.Sanesecurity.07080101.pdf
Vagyis, vírusüzenettel látja el a ClamAV, de ez legyen a legnagyobb probléma!
6. Biztos, ami biztos alapon kipróbáltam egy másik, nem SPAM csatolmányú pdf fájllal is a Sanesecurity signatures működését, de nem tapasztaltam hibát, vagyis a levelet rendre megkaptam.
7. A cikk szerzője javasolja továbbá, hogy ütemezéssel naponta frissítsük a definíciós állományt:
crontab -e 53 04 * * * /usr/bin/sanesecurity_update.sh &> /dev/null
Ő minden nap 04:53-ra állította be a példában a frissítési időpontot.
Ezzel beállításra került az új szűrési módszer. A hatékonysága és pontossága pedig a jövőben fog csak kiderülni.
Eredeti cikk itt, a Sanesecurity honlapja itt található.
Eredeti: HUP
“PDF, XLS, Image spam szűrése a ClamAV segítségével” bejegyzéshez egy hozzászólás