PDF-/XLS-/Image-Spam mit ClamAV (und ISPConfig) auf Debian/Ubuntu filtern

Version 1.0
Author: Till Brehm <t [dot] brehm [at] projektfarm [dot] com>


In letzter Zeit ist sehr viel Spam im Umlauf, bei dem die Spam "Information" als .pdf oder .xls Datei angehängt ist. Manchmal wird sie auch in einer .zip Datei versteckt. Während diese Spam Mails mit zum Beispiel SpamAssassin oder einem Bayes Filter nicht einfach abzufangen sind, kann der ClamAV Virus Scanner sie sehr leicht abfangen, wenn es die richtigen Signaturen kennt, da ClamAV gebaut wurde, um Mail-Anhänge zu scannen.

Die Webseite Sanesecurity (http://sanesecurity.co.uk) stellt aktuelle Signaturen für diese Arten von E-Mails bereit, inklusive Image Spam. Die folgende Anleitung veranschaulicht, wie Du die spam, phising, scam and image Signaturen von sanesecurity.co.uk und MSRBL in Deiner ISPConfig ClamAV Installation unter Debian oder Ubuntu Linux installierst.

Wenn Du die Sanesecurity Signaturen ohne ISPConfig verwenden möchtest, dann sieh Dir die Erklärungen am Ende dieser Anleitung an.

Installation einiger Voraussetzungen

apt-get install gzip curl rsync

Lade nun das Update Skript für die Sansecurity Signaturen runter. Das originale Skript wurde von Bill Landry geschrieben und ist hier verfügbar: http://www.sanesecurity.co.uk/clamav/usage.htm. Ich habe die Pfad Variablen modifiziert, damit sie für die ISPConfig Installation geeignet sind - das veränderte Skript ist hier erhältlich: http://www.ispconfig.org/downloads/scripts/sanesecurity_update.sh.

cd /usr/bin
wget http://www.ispconfig.org/downloads/scripts/sanesecurity_update.sh
chmod +x sanesecurity_update.sh

Nun führen wir das Update Skript aus um zu überprüfen, ob der Download funktioniert:

./sanesecurity_update.sh

Das Ergebnis sollte ähnlich wie dieses aussehen:

-----------------------------------------------------------------------------
=================================
SaneSecurity SCAM Database Update
=================================

% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 116k 100 116k 0 0 65448 0 0:00:01 0:00:01 --:--:-- 139k

==================================
SaneSecurity PHISH Database Update
==================================

% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 179k 100 179k 0 0 216k 0 --:--:-- --:--:-- --:--:-- 216k

==========================
MSRBL SPAM Database Update
==========================

Number of files: 1
Number of files transferred: 1
Total file size: 228436 bytes
Total transferred file size: 228436 bytes
Literal data: 228436 bytes
Matched data: 0 bytes
File list size: 33
File list generation time: 0.001 seconds
File list transfer time: 0.000 seconds
Total bytes sent: 101
Total bytes received: 228579

sent 101 bytes received 228579 bytes 26903.53 bytes/sec
total size is 228436 speedup is 1.00

===========================
MSRBL IMAGE Database Update
===========================

Number of files: 1
Number of files transferred: 1
Total file size: 550503 bytes
Total transferred file size: 550503 bytes
Literal data: 550503 bytes
Matched data: 0 bytes
File list size: 35
File list generation time: 0.001 seconds
File list transfer time: 0.000 seconds
Total bytes sent: 103
Total bytes received: 550688

sent 103 bytes received 550688 bytes 157368.86 bytes/sec
total size is 550503 speedup is 1.00

-----------------------------------------------------------------------------

Nun fügen wir das Skript dem Root crontab hinzu, damit es einmal am Tag ausgeführt wird:

crontab -e

Füge folgende Zeile am Ende der Root crontab hinzu:
53 04 * * * /usr/bin/sanesecurity_update.sh &> /dev/null
Das Skript wird um 04:53 Uhr ausgeführt. Bitte verändere die Zeit in Deiner Konfiguration ein wenig, damit die Auslastung Deines Servers gering bleibt.

Sanesecurity Signaturen ohne ISPConfig verwenden

Wenn Du die Sanesecurity Signaturen ohne ISPConfig verwenden möchtest, musst Du das Download Skript anpassen, damit es mit Deiner ClamAV Installation übereinstimmt.

Lade das originale Skript von hier runter:

http://www.sanesecurity.co.uk/clamav/ss-msrbl.sh
Bearbeite folgende Variablen damit sie zu Deiner Installation passen:

clam_sigs="/var/lib/clamav"

Die Variable clamav_sigs beinhaltet den Pfad zu dem Verzeichnis, in dem Deine ClamAV Signaturen abgelegt sind.

clam_user="clamav"

Die Variable clam_user beinhaltet den Benutzernamen, unter dem Dein ClamAV oder clamd ausgeführt wird.

3 Kommentar(e)

Zum Posten von Kommentaren bitte

Kommentare

Von: hunter999

Hallo Till, ist das noch aktuell nach dieser Meldung?
http://sanesecurity.co.uk/index.htm


Von: ronwaste

Danke!


Von: Burge

LibClamAV Error: Problem parsing database at line 1
LibClamAV Error: Can't load /var/tmp/clamdb/phish.ndb: Malformed database
ERROR: Malformed database

wo koennte der fehler liegen? Sever Debian 4.0 Isponcig 2 aktuelles Patchlevel