Фильтрация PDF-/XLS-/Спама с Изображениями с помощью ClamAV (и ISPConfig) на Debian/Ubuntu

Версия 1.0
Автор: Тилл Брем

Сейчас существует много спама, где “информация” спама прикреплена в виде файлов .pdf или .xls, иногда также скрыта внутри файла .zip. Хотя эти спам-письма не легко поймать с помощью, например, SpamAssassin или фильтра Байеса, антивирусный сканер ClamAV может легко их поймать, если его снабдить правильными сигнатурами, так как ClamAV предназначен для сканирования вложений в письмах.

Сайт Sanesecurity ( http://sanesecurity.co.uk) предоставляет актуальные сигнатуры для этих типов писем, включая спам с изображениями. Следующее руководство покажет вам, как установить сигнатуры спама, фишинга, мошенничества и изображений из sanesecurity.co.uk и MSRBL в вашу установку ClamAV под управлением ISPConfig на Debian или Ubuntu Linux.

Если вы хотите использовать сигнатуры Sanesecurity без ISPConfig, ознакомьтесь с объяснениями в конце учебника.

Установка некоторых предварительных условий

apt-get install gzip curl rsync

Теперь загрузите скрипт обновления для сигнатур Sansecurity. Оригинальный скрипт был написан Биллом Лэндри и доступен здесь: http://www.sanesecurity.co.uk/clamav/usage.htm. Я изменил переменные пути, чтобы они соответствовали установке ISPConfig - измененный скрипт доступен здесь: http://www.ispconfig.org/downloads/scripts/sanesecurity_update.sh.

cd /usr/bin  
wget http://www.ispconfig.org/downloads/scripts/sanesecurity_update.sh  
chmod +x sanesecurity_update.sh

Теперь мы запускаем скрипт обновления, чтобы проверить, работает ли загрузка:

./sanesecurity_update.sh

Результат должен выглядеть примерно так:

-----------------------------------------------------------------------------  
=================================  
Обновление базы данных SCAM от SaneSecurity  
=================================

% Всего % Получено % Передано Средняя скорость Время Время Время Текущая  
Загрузка Загрузка Всего Затрачено Осталось Скорость  
100 116k 100 116k 0 0 65448 0 0:00:01 0:00:01 --:--:-- 139k

==================================  
Обновление базы данных PHISH от SaneSecurity  
==================================

% Всего % Получено % Передано Средняя скорость Время Время Время Текущая  
Загрузка Загрузка Всего Затрачено Осталось Скорость  
100 179k 100 179k 0 0 216k 0 --:--:-- --:--:-- --:--:-- 216k

==========================  
Обновление базы данных SPAM от MSRBL  
==========================

Количество файлов: 1  
Количество переданных файлов: 1  
Общий размер файла: 228436 байт  
Общий размер переданных файлов: 228436 байт  
Литеральные данные: 228436 байт  
Совпадающие данные: 0 байт  
Размер списка файлов: 33  
Время генерации списка файлов: 0.001 секунд  
Время передачи списка файлов: 0.000 секунд  
Всего отправлено байт: 101  
Всего получено байт: 228579

отправлено 101 байт получено 228579 байт 26903.53 байт/сек  
общий размер 228436 ускорение 1.00

===========================  
Обновление базы данных IMAGE от MSRBL  
===========================

Количество файлов: 1  
Количество переданных файлов: 1  
Общий размер файла: 550503 байт  
Общий размер переданных файлов: 550503 байт  
Литеральные данные: 550503 байт  
Совпадающие данные: 0 байт  
Размер списка файлов: 35  
Время генерации списка файлов: 0.001 секунд  
Время передачи списка файлов: 0.000 секунд  
Всего отправлено байт: 103  
Всего получено байт: 550688

отправлено 103 байт получено 550688 байт 157368.86 байт/сек  
общий размер 550503 ускорение 1.00

-----------------------------------------------------------------------------

Теперь мы добавим скрипт в корневой crontab, чтобы он выполнялся раз в день:

crontab -e

Добавьте следующую строку в конец корневого crontab:

53 04 * * * /usr/bin/sanesecurity_update.sh &> /dev/null

Скрипт выполняется в 04:53, пожалуйста, измените время немного в вашей конфигурации, чтобы снизить нагрузку на сервер загрузки.

Использование сигнатур Sanesecurity без ISPConfig

Если вы хотите использовать сигнатуры Sanesecurity без ISPConfig, вам нужно будет настроить скрипт загрузки, чтобы он соответствовал вашей установке ClamAV.

Скачайте оригинальный скрипт отсюда:

http://www.sanesecurity.co.uk/clamav/ss-msrbl.sh

Отредактируйте следующие переменные, чтобы они соответствовали вашей установке:

clam_sigs="/var/lib/clamav"

Переменная clam_sigs содержит путь к каталогу, где хранятся ваши сигнатуры ClamAV.

clam_user="clamav"

Переменная clam_user содержит имя пользователя, под которым выполняется ваш ClamAV или clamd.