PDF, XLS, Image spam szűrése a ClamAV segítségével

Spam

Az utóbbi időben a spammerek újabb harci eszközzel rukkoltak elő: a kéretlen "információjukat" PDF, vagy XLS formátumú állományokban küldik el. (Emellett már régebben valamilyen csatolt képformátumként.) A csatolt képformátumokkat a SpamAssassin is könnyedén elbánik, de a PDF-ekkel, vagy az XLS formátumokkal már nem, vagy legalábbis nehezen boldogul(na).

A Sanesecurity módszerében a ClamAV-ot hívja segítségül az ilyen levelekben megbúvó kéretlen levelek tartalmi elemzésére és szűrésére. A Howto Forge oldalán bukkantam rá a cikkre, melyben a szerzője eredetileg Ubuntu környezethez igazítva leírja, hogyan lehet a ClamAV-ot rávenni az ilyetén SPAM-szűrésre. (Nagyon nem kell igazítani.)

A pár perc alatt elvégezhető művelet valóban eredményes!

1. Néhány program megléte szükséges a rendszeren. (Ubuntu telepítési minta): 


sudo apt-get install gzip curl rsync

2. Be kell szerezni azt a szkriptet, ami a Sanesecurity oldaláról letölti a ClamAV által értelmezhető definíciós állományokat. A cikk szerzője az eredeti szkriptet módosította. Én ezt használtam. (Aztán módosítottam a saját elérési útvonalaimra.): 


cd /usr/bin
wget http://www.ispconfig.org/downloads/scripts/sanesecurity_update.sh
chmod +x sanesecurity_update.sh

3. A kedvenc szerkesztőmmel három sort módosítottam a sanesecurity_update.sh fájlban az alábbi módon:

clamscan="/usr/local/bin/clamscan"

clam_sigs="/usr/local/share/clamav"

clam_user="clamav"

4. Ezek után futtassuk le a ./sanesecurity_update.sh szkriptet, mely letölti és a ClamAV definíciós állományai közé teszi a SPAM-szűréshez használatos adatokat. 


./sanesecurity_update.sh

A futás során megjelenő kimenet valami ilyesmi lesz: 


=================================
SaneSecurity SCAM Database Update
=================================

% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 116k 100 116k 0 0 65448 0 0:00:01 0:00:01 --:--:-- 139k

==================================
SaneSecurity PHISH Database Update
==================================

% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 179k 100 179k 0 0 216k 0 --:--:-- --:--:-- --:--:-- 216k

==========================
MSRBL SPAM Database Update
==========================

Number of files: 1
Number of files transferred: 1
Total file size: 228436 bytes
Total transferred file size: 228436 bytes
Literal data: 228436 bytes
Matched data: 0 bytes
File list size: 33
File list generation time: 0.001 seconds
File list transfer time: 0.000 seconds
Total bytes sent: 101
Total bytes received: 228579

sent 101 bytes received 228579 bytes 26903.53 bytes/sec
total size is 228436 speedup is 1.00

===========================
MSRBL IMAGE Database Update
===========================

Number of files: 1
Number of files transferred: 1
Total file size: 550503 bytes
Total transferred file size: 550503 bytes
Literal data: 550503 bytes
Matched data: 0 bytes
File list size: 35
File list generation time: 0.001 seconds
File list transfer time: 0.000 seconds
Total bytes sent: 103
Total bytes received: 550688

sent 103 bytes received 550688 bytes 157368.86 bytes/sec
total size is 550503 speedup is 1.00

5. A SPAM-szűrés máris működik, a ClamAV beállításain nem kell semmit módosítani!

Próbaképpen elküldtem magamnak a most beállított szerverre egy olyan SPAM-et, amit a napokban kaptam egy freemail-es címemre, és PDF csatolmány volt a SPAM. Hogy ki lehessen próbálni innen le lehet tölteni: http://www.gprsec.hu/downloads/new_account-39420.pdf

Az eredmény (az amavisd-new kiértesítése): 


A virus was found: Email.Stk.Gen606.Sanesecurity.07080101.pdf

Scanner detecting a virus: ClamAV-clamscan

Content type: Virus (9,0)
Internal reference code for the message is 24973-10/9hwsYQhCcOVn

First upstream SMTP client IP address: [209.85.128.191] fk-out-0910.google.com
According to a 'Received:' trace, the message originated at:
  [213.222.130.xxx], amd.local  ( [213.222.130.xxx])

Return-Path: <xxxxx@gmail.com>
Message-ID: <200708030424.36723.xxxxxx@gmail.com>
Subject: sdasd
The message has been quarantined as: virus-9hwsYQhCcOVn

Notification to sender will not be mailed.

The message WAS NOT relayed to:
<yyyyy@mail.xxxxxx.hu>:
   254 2.7.1 Ok, discarded, id=24973-10 - VIRUS: Email.Stk.Gen606.Sanesecurity.07080101.pdf

Vagyis, vírusüzenettel látja el a ClamAV, de ez legyen a legnagyobb probléma!

6. Biztos, ami biztos alapon kipróbáltam egy másik, nem SPAM csatolmányú pdf fájllal is a Sanesecurity signatures működését, de nem tapasztaltam hibát, vagyis a levelet rendre megkaptam.

7. A cikk szerzője javasolja továbbá, hogy ütemezéssel naponta frissítsük a definíciós állományt: 


crontab -e

53 04 * * * /usr/bin/sanesecurity_update.sh &> /dev/null

Ő minden nap 04:53-ra állította be a példában a frissítési időpontot.

Ezzel beállításra került az új szűrési módszer. A hatékonysága és pontossága pedig a jövőben fog csak kiderülni.

Eredeti cikk itt, a Sanesecurity honlapja itt található.

( gna | 2007. 08. 03., p – 14:58 )

Nálam ez tegnap óta megy, csak egy kicsi csavarral:

postfix -> (clamsmtp + proxsmtp-spamassassin) -> postfix -> maildrop-ban pedig x-filterként egy "clamscan --database=/.../sane-sigs/" script refomailllel TAGGEL

Így a simán vírusos dolgokat már nem dolgozza fel semmi, a spamjelölésen túl pedig a SANE szignatúrák még egy utolsó pofont adnak a SPAM-eknek ha kell.

Engem is bosszantott a dolog, így akadtam rá erre az oldalra. Igencsak jóleső érzés volt megtapasztalni, hogy milyen gyorsan reagál a spemmerek tevékenységére a nyílt forráskód világa.
Kb. 15 órája megy ez a hozzaadott szűrés, és igen jó hatkékonysággal növelte az elkapott spam-ek számát. (Kb. 7-8%-kal több.)

( sj | 2007. 08. 03., p – 17:58 )

Ugy tunik az image spameket md5 hash alapjan ismeri fel. Kivancsi vagyok hanyat sikerul majd, mert a spammerek ha csak 1 pixelt megvaltoztatnak, akkor at fog csuszni. De a puding probaja az eves....

ASK Me No Questions, I'll Tell You No Lies

( zwei | 2007. 08. 03., p – 18:14 )

Azon csodálkozom, hogy a spammerek nem álltak rá már hamarabb a pdf-es spammelésre. Pedig mekkora ötlet, nem? :)

( vinnui | 2007. 08. 03., p – 18:45 )

Csak nekem nem jon be a sanesecurity-s honlap, vagy slashdotted?

( pero | 2007. 08. 03., p – 20:27 )

ez hasznos volt! koszonom!
Mar csak az utobbi idoben felgyulemlo nemet nyelvu spamek ellen kene valami megoldas...

( arpi_esp v | 2007. 08. 04., szo – 14:53 )

Par napja gondoltam en is ilyesmire, mikor megjott az elso. ZIP-el tomoritett XLS-be irt spam. Azota amugy jott RAR-ozott .TXT is... kezd elszabadulni a fantaziajuk, es a sima PDF utan most elkezdtek varialni a kulonbozo dokumentum formatumokat es tomoritoket :(

Ezekkel mar a Spamassassin se nagyon tud mit kezdeni, nincs felkeszitve tomoritmenyek kibontasara, sem DOC/XLS parseolasara. A clamav viszont igen, igy logikus abba rakni a szurest...

A'rpi