Weniger Spam & Phishing durch Sanesecurity & MSRBL-SPAM für ClamAV

von

Trotz Amavis & Spamassassin und sehr restriktiver Regeln im Postfix kommen immernoch viele Phishing und Bilder/PDF Spams durch. Ich habe nach einer bequemen Lösung gesucht und bin auf Sanesecurity und MSRBL-SPAM gestoßen. Beide bieten Signaturenfiles für ClamAV an die Spams & Phishings erkennen können. Auf der Webseite von Sanesecurity werden mehrere Scripts angeboten die die Signaturen runterladen und ClamAV reloaden. Diese haben mir aber nicht gefallen deshalb habe ich ein kleineres und einfacheres geschieben das täglich als Cronjob ausgeführt wird.

Lösung

Benötigt wird rsync, gunzip und clamav.

Die Signaturen von ClamAV liegen bei Debian,Ubuntu,Gentoo,etc. in

/var/lib/clamav

Folgendes Script liegt in /etc/cron.daily und heisst get_sane:

cd /tmp
wget http://www.sanesecurity.co.uk/clamav/scamsigs/scam.ndb.gz
wget http://www.sanesecurity.co.uk/clamav/phishsigs/phish.ndb.gz

rsync rsync://rsync.mirror.msrbl.com/msrbl/MSRBL-Images.hdb /tmp/MSRBL-Images.hdb
rsync rsync://rsync.mirror.msrbl.com/msrbl/MSRBL-SPAM.ndb /tmp/MSRBL-SPAM.ndb

gunzip -f scam.ndb.gz
gunzip -f phish.ndb.gz
cp -f scam.ndb /var/lib/clamav
cp -f phish.ndb /var/lib/clamav
cp -f MSRBL-Images.hdb /var/lib/clamav
cp -f MSRBL-SPAM.ndb /var/lib/clamav

chown clamav:clamav /var/lib/clamav/scam.ndb
chown clamav:clamav /var/lib/clamav/phish.ndb
chown clamav:clamav /var/lib/clamav/MSRBL-Images.hdb
chown clamav:clamav /var/lib/clamav/MSRBL-SPAM.ndb

/etc/init.d/clamav-daemon reload-database

Script noch ausführbar für root machen.

chmod 700 /etc/cron.daily/get_sane

Test

Da der Cronjob nur Täglich ausgeführt wird muss man es einmal manuell machen damit man es gleich testen kann.

Folgende Datei ausführen:

/etc/cron.daily/get_sane

Danach sollte ein ls -la /var/lib/clamav folgendes ausgeben:

sys@monster /tmp # ls -la /var/lib/clamav
insgesamt 14276
drwxr-xr-x  3 clamav clamav     4096 2008-03-26 11:35 .
drwxr-xr-x 33 root   root       4096 2008-03-02 11:23 ..
drwxr-xr-x  2 clamav clamav     4096 2008-03-26 11:35 daily.inc
-rw-r--r--  1 clamav clamav 11347852 2008-03-02 11:47 main.cvd
-rw-------  1 clamav clamav      572 2008-03-26 11:28 mirrors.dat
-rw-r--r--  1 clamav clamav      24670 2008-03-26 06:27 MSRBL-Images.hdb
-rw-r--r--  1 clamav clamav     235227 2008-03-26 06:27 MSRBL-SPAM.ndb
-rw-r--r--  1 clamav clamav    1450465 2008-03-26 06:27 phish.ndb
-rw-r--r--  1 clamav clamav    1500415 2008-03-26 06:27 scam.ndb
sys@monster /tmp #

Sanesecurity bietet Testfiles an um die Signaturen zu Testen.

Testdateien herunterladen und testen:

sys@monster ~ # cd /tmp
sys@monster /tmp # wget http://www.sanesecurity.com/clamav/phish_sigtest.txt
...
sys@monster /tmp # wget http://www.sanesecurity.com/clamav/scam_sigtest.txt
...
sys@monster /tmp # clamscan phish_sigtest.txt
phish_sigtest.txt: Html.Phishing.Sanesecurity.TestSig FOUND

----------- SCAN SUMMARY -----------
Known viruses: 253652
Engine version: 0.92.1
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 0.00 MB
Time: 4.394 sec (0 m 4 s)

sys@monster /tmp # clamscan scam_sigtest.txt
scam_sigtest.txt: Html.Scam.Sanesecurity.TestSig FOUND

----------- SCAN SUMMARY -----------
Known viruses: 253652
Engine version: 0.92.1
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 0.00 MB
Time: 4.462 sec (0 m 4 s)

sys@monster /tmp #

Fertig! Viel Spaß ….



Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.