Filtrando Spam de PDF-/XLS-/Imágenes Con ClamAV (Y ISPConfig) En Debian/Ubuntu

Versión 1.0
Autor: Till Brehm

Actualmente hay mucho spam donde la “información” de spam se adjunta como archivos .pdf o .xls, a veces también ocultos dentro de un archivo .zip. Mientras que estos correos de spam no son fáciles de atrapar con, por ejemplo, SpamAssassin o un filtro Bayes, el escáner de virus ClamAV puede atraparlos fácilmente cuando se le alimenta con las firmas correctas, ya que ClamAV está diseñado para escanear archivos adjuntos de correo.

El sitio web Sanesecurity ( http://sanesecurity.co.uk) proporciona firmas actualizadas para estos tipos de correos electrónicos, incluyendo spam de imágenes. La siguiente guía te mostrará cómo instalar las firmas de spam, phishing, estafa y de imágenes de sanesecurity.co.uk y MSRBL en tu instalación de ClamAV con ISPConfig en Debian o Ubuntu Linux.

Si deseas usar las firmas de Sanesecurity sin ISPConfig, echa un vistazo a las explicaciones al final del tutorial.

Instalar Algunos Requisitos Previos

apt-get install gzip curl rsync

Ahora descarga el script de actualización para las firmas de Sansecurity. El script original fue escrito por Bill Landry y está disponible aquí: http://www.sanesecurity.co.uk/clamav/usage.htm. He modificado las variables de ruta para adaptarlas a una instalación de ISPConfig - el script modificado está disponible aquí: http://www.ispconfig.org/downloads/scripts/sanesecurity_update.sh.

cd /usr/bin  
wget http://www.ispconfig.org/downloads/scripts/sanesecurity_update.sh  
chmod +x sanesecurity_update.sh

Ahora ejecutamos el script de actualización para verificar si la descarga funciona:

./sanesecurity_update.sh

El resultado debería verse similar a esto:

-----------------------------------------------------------------------------  
=================================  
Actualización de la Base de Datos SCAM de SaneSecurity  
=================================

% Total % Recibido % Xferd Velocidad Promedio Tiempo Tiempo Tiempo Actual  
Dload Upload Total Gastado Queda Velocidad  
100 116k 100 116k 0 0 65448 0 0:00:01 0:00:01 --:--:-- 139k

==================================  
Actualización de la Base de Datos PHISH de SaneSecurity  
==================================

% Total % Recibido % Xferd Velocidad Promedio Tiempo Tiempo Tiempo Actual  
Dload Upload Total Gastado Queda Velocidad  
100 179k 100 179k 0 0 216k 0 --:--:-- --:--:-- --:--:-- 216k

==========================  
Actualización de la Base de Datos SPAM de MSRBL  
==========================

Número de archivos: 1  
Número de archivos transferidos: 1  
Tamaño total del archivo: 228436 bytes  
Tamaño total del archivo transferido: 228436 bytes  
Datos literales: 228436 bytes  
Datos coincidentes: 0 bytes  
Tamaño de la lista de archivos: 33  
Tiempo de generación de la lista de archivos: 0.001 segundos  
Tiempo de transferencia de la lista de archivos: 0.000 segundos  
Total de bytes enviados: 101  
Total de bytes recibidos: 228579

sent 101 bytes received 228579 bytes 26903.53 bytes/sec  
total size is 228436 speedup is 1.00

===========================  
Actualización de la Base de Datos IMAGEN de MSRBL  
===========================

Número de archivos: 1  
Número de archivos transferidos: 1  
Tamaño total del archivo: 550503 bytes  
Tamaño total del archivo transferido: 550503 bytes  
Datos literales: 550503 bytes  
Datos coincidentes: 0 bytes  
Tamaño de la lista de archivos: 35  
Tiempo de generación de la lista de archivos: 0.001 segundos  
Tiempo de transferencia de la lista de archivos: 0.000 segundos  
Total de bytes enviados: 103  
Total de bytes recibidos: 550688

sent 103 bytes received 550688 bytes 157368.86 bytes/sec  
total size is 550503 speedup is 1.00

-----------------------------------------------------------------------------

Ahora añadimos el script al crontab de root para que se ejecute una vez al día:

crontab -e

Agrega la siguiente línea al final del crontab de root:

53 04 * * * /usr/bin/sanesecurity_update.sh &> /dev/null

El script se ejecuta a las 04:53 AM, por favor modifica la hora un poco en tu configuración para mantener la carga baja en el servidor de descarga.

Usando Firmas de Sanesecurity Sin ISPConfig

Si deseas usar las firmas de Sanesecurity sin ISPConfig, tendrás que personalizar el script de descarga para que coincida con tu instalación de ClamAV.

Descarga el script original desde aquí:

http://www.sanesecurity.co.uk/clamav/ss-msrbl.sh

Edita las siguientes variables para que coincidan con tu instalación:

clam_sigs="/var/lib/clamav"

La variable clam_sigs contiene la ruta al directorio donde se almacenan tus firmas de ClamAV.

clam_user="clamav"

La variable clam_user contiene el nombre de usuario bajo el cual se ejecuta tu ClamAV o clamd.