Filtraggio PDF-/XLS-/Spam Immagini Con ClamAV (E ISPConfig) Su Debian/Ubuntu

Versione 1.0
Autore: Till Brehm

Attualmente c’è molto spam in cui le “informazioni” spam sono allegate come file .pdf o .xls, a volte anche nascoste all’interno di un file .zip. Mentre queste email spam non sono facili da catturare con ad esempio SpamAssassin o un filtro Bayes, il scanner antivirus ClamAV può catturarle facilmente quando viene alimentato con le firme corrette poiché ClamAV è progettato per scansionare gli allegati delle email.

Il sito web Sanesecurity ( http://sanesecurity.co.uk) fornisce firme aggiornate per questi tipi di email, inclusi gli spam di immagini. La seguente guida ti mostrerà come installare le firme di spam, phishing, truffa e immagini da sanesecurity.co.uk e MSRBL nella tua installazione di ClamAV con ISPConfig su Debian o Ubuntu Linux.

Se desideri utilizzare le firme di Sanesecurity senza ISPConfig, dai un’occhiata alle spiegazioni alla fine del tutorial.

Installa Alcuni Prerequisiti

apt-get install gzip curl rsync

Ora scarica lo script di aggiornamento per le firme di Sansecurity. Lo script originale è stato scritto da Bill Landry ed è disponibile qui: http://www.sanesecurity.co.uk/clamav/usage.htm. Ho modificato le variabili di percorso per adattarle a un’installazione di ISPConfig - lo script modificato è disponibile qui: http://www.ispconfig.org/downloads/scripts/sanesecurity_update.sh.

cd /usr/bin  
wget http://www.ispconfig.org/downloads/scripts/sanesecurity_update.sh  
chmod +x sanesecurity_update.sh

Ora eseguiamo lo script di aggiornamento per controllare se il download funziona:

./sanesecurity_update.sh

Il risultato dovrebbe apparire simile a questo:

-----------------------------------------------------------------------------  
=================================  
Aggiornamento del Database SCAM di SaneSecurity  
=================================

% Totale % Ricevuto % Xferd Velocità Media Tempo Tempo Tempo Corrente  
Dload Upload Totale Speso Rimasto Velocità  
100 116k 100 116k 0 0 65448 0 0:00:01 0:00:01 --:--:-- 139k

==================================  
Aggiornamento del Database PHISH di SaneSecurity  
==================================

% Totale % Ricevuto % Xferd Velocità Media Tempo Tempo Tempo Corrente  
Dload Upload Totale Speso Rimasto Velocità  
100 179k 100 179k 0 0 216k 0 --:--:-- --:--:-- --:--:-- 216k

==========================  
Aggiornamento del Database SPAM di MSRBL  
==========================

Numero di file: 1  
Numero di file trasferiti: 1  
Dimensione totale del file: 228436 byte  
Dimensione totale del file trasferito: 228436 byte  
Dati letterali: 228436 byte  
Dati corrispondenti: 0 byte  
Dimensione della lista dei file: 33  
Tempo di generazione della lista dei file: 0.001 secondi  
Tempo di trasferimento della lista dei file: 0.000 secondi  
Totale byte inviati: 101  
Totale byte ricevuti: 228579

inviati 101 byte ricevuti 228579 byte 26903.53 byte/sec  
dimensione totale è 228436 velocità di trasferimento è 1.00

===========================  
Aggiornamento del Database IMMAGINI di MSRBL  
===========================

Numero di file: 1  
Numero di file trasferiti: 1  
Dimensione totale del file: 550503 byte  
Dimensione totale del file trasferito: 550503 byte  
Dati letterali: 550503 byte  
Dati corrispondenti: 0 byte  
Dimensione della lista dei file: 35  
Tempo di generazione della lista dei file: 0.001 secondi  
Tempo di trasferimento della lista dei file: 0.000 secondi  
Totale byte inviati: 103  
Totale byte ricevuti: 550688

inviati 103 byte ricevuti 550688 byte 157368.86 byte/sec  
dimensione totale è 550503 velocità di trasferimento è 1.00

-----------------------------------------------------------------------------

Ora aggiungiamo lo script al crontab di root per essere eseguito una volta al giorno:

crontab -e

Aggiungi la seguente riga alla fine del crontab di root:

53 04 * * * /usr/bin/sanesecurity_update.sh &> /dev/null

Lo script viene eseguito alle 04:53 AM, ti preghiamo di modificare un po’ l’orario nella tua configurazione per mantenere il carico basso sul server di download.

Utilizzo delle Firme di Sanesecurity Senza ISPConfig

Se desideri utilizzare le firme di Sanesecurity senza ISPConfig, dovrai personalizzare lo script di download per adattarlo alla tua installazione di ClamAV.

Scarica lo script originale da qui:

http://www.sanesecurity.co.uk/clamav/ss-msrbl.sh

Modifica le seguenti variabili per adattarle alla tua installazione:

clam_sigs="/var/lib/clamav"

La variabile clamav_sigs contiene il percorso della directory in cui sono memorizzate le tue firme ClamAV.

clam_user="clamav"

La variabile clam_user contiene il nome utente sotto il quale viene eseguito il tuo ClamAV o clamd.