você está aqui: Home  → Arquivo de Mensagens

Atualizando o clamav contra url de vírus (malware)

Colaboração: Geisler Alves Dias

Data de Publicação: 29 de Julho de 2007

Sou administrador de um servidor de e-mail e outro dia um usuário me reclamou sobre um e-mail que recebeu dizendo que seu CPF estava sendo cancelado e quando clicou na mensagem a pagina estava bloqueada por nós (equipe técnica).

Fiquei encucado. Como poderia barrar isso? Fazer uma regra no spamassasin para cada mensagem que chegar? Bloquear remetente? Isso não resolveria muito, pois cada hora chega um e-mail de usuário diferente com um novo conteúdo e um novo link. Conversando com um amigo meu (Grande Marcio D´ahvila) e o mesmo me indicou um caminho para as pedras, onde não resolvi 100%, mas ajuda muito e pode ficar melhor se a comunidade contribuir.

O Marcio D´ahvila me indicou o site http://www.malware.com.br/ para verificar os links suspeitos de vírus. Este site procura com 21 antivírus diferentes, entre eles o clamav, nod32, bitdefender, avast, kaspersky, avg entre outros. Na pagina inicial tem um item chamado contribute onde todos podem postar um link. É necessário um e-mail para a confirmação (isso é usado para evitar ataque ao site).

Após enviar o link, o site te manda um e-mail para confirmar. Após a confirmação o link será examinado e, em caso de positivo, ele te retorna um e-mail agradecendo a contribuição e dizendo que o site está sendo cadastrado. Caso o site já esteja cadastrado, na confirmação ele já te avisa que o site já está cadastrado.

Até agora tudo bem, só cadastramos o link no site, agora como utilizo a blacklist? Simples o site disponibiliza a blacklist para vários formatos: spamassasin, postifix, squid, entre outros. Fiz um script para automatizar a atualização e notificar sobre as atualizações. Segue abaixo:

  #!/bin/bash
  #arquivo onde vai ficar a atualização, levando em conta que os arquivos de
  #definição estejam no /usr/local/share/clamav
  ARQANTIGO="/usr/local/share/clamav/mbl.db"
  wget -O - http://www.malware.com.br/cgi/submit?action=list_clamav > ~/mbl.db
  mail -s "Atualização do malware acrescentado `diff ~/mbl.db /usr/local/share/clamav/mbl.db|grep '^<'|wc -l` retirando `diff ~/mbl.db /usr/local/share/clamav/mbl.db|grep '^>'|wc -l`" geisler
  #agora colocando o arquivo no devido lugar.
  mv ~/mbl.db $ARQANTIGO

Conclusão

Para que este script e qualquer outro software livre funcione bem, tem que ter a contribuição da comunidade, quanto mais pessoas portarem link com vírus, menos e-mails com links infectados teremos nos e-mails, porém para quem utiliza o clamav como solução de antivírus no servidor de e-mail.

Fonte:http://geisler.eti.br/geisler/index.php?option=com_content&task=view&id=21&Itemid=1



 

 

Veja a relação completa dos artigos de Geisler Alves Dias

Opinião dos Leitores

Seja o primeiro a comentar este artigo
*Nome:
Email:
Me notifique sobre novos comentários nessa página
Oculte meu email
*Texto:
 
  Para publicar seu comentário, digite o código contido na imagem acima
 


Powered by Scriptsmill Comments Script