Notícia publicada por brain em janeiro 29, 2004 09:55 AM
| TrackBack
O Gilberto Nunes mandou uma dica interessante que ele aplicou e garante que funciona, de autoria do Julio César Covolato. Ela serve basicamente para quem usa Postfix como MTA e não ativou nenhum antivírus ou filtro de anexos (como o amavis), e tem desempenho muito superior às dicas baseadas no procmail, já que filtra o e-mail no momento do recebimento, e não na entrega ao destino. Serve também para quem tem antivírus mas enfrenta uma carga de vírus superior à capacidade de processamento de seu sistema.
Segue o texto enviado pelo Gilberto Nunes, citando o Julio Cesar Covolato (julio@psi.com.br): "Depois de analizar os anexos de alguns virus, percebi que é possível bloqueá-los via body_checks antes de serem scaneados pelo antivirus, salvando recursos preciosos da cpu no servidor de email. Adicione no body_checks:
/^RSLxwtYBDB6FCv8ybBcS0zp9VU5of3K4BXuwyehTM0RI9IrSjVuwP94xfn0wgOjouKWzGXHVk3qg$/
REJECT VIRUS(sobig.f)
/^ZGUuDQ0KJAAAAAAAAAB\+i6hSOurGATrqxgE66sYBQfbKATvqxgG59sgBLerGAdL1zAEA6sYBWPXV$/
REJECT VIRUS (W32/Swen@MM)
/AAAAAAAAyAAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4g/
REJECT VIRUS (W32/Bagle@MM)
/^(UEsDBAoAAAAAA|ApIAUCZKAEAD\/bJpmiwQBPQl6AEAS85pmm7ZH8gqwAO4sKimaZqmoJiQiICapmmaeHBoYFhQzWCf)/
REJECT VIRUS (W32/Mydoom@MM)
Para configuar o postfix, faça assim:
Edite o /etc/postfix/main.cf, e acrescente um linha no final do arquivo, parecido com isso:
body_checks = regexp:/etc/postfix/body_checks
Salve o arquivo e saia.
Dentro do mesmo diretório, crie o arquivo body_checks, contendo as strings
da dica assim.
Dê um reload no postfix: service postfix reload.
Pronto. Agora qualquer mensagem com as strings acima no corpo da mensagem,
será rejeitado.
Existe também a opção de checar os headers (cabeçalhos) do e-mail, trocando
o comando body_checks por header_checks.
Antes de fazer esta alteração, meu serviço de e-mail estava com um load
average muito alto, por conta do bombardeio de mensagens infectadas, qie o
anti-virus (MCafee) pegava direto. Recebia cerca de mais de 1000 mensagens
diárias, relatando tentativas de infecção.
Depois destas alterações, o load average baixou drásticamente.
Espero que possa ser util.
Obrigado ao amigo Julio César Covolato, da lista de segurança da Conectiva."
Ótima dica...
Além da proteção das estações com os antivirus
atualizados diariamente, com essa dica também já elimino esses virus no servidor.
Grato pela dica!
Que legal ter ajuda você, Aridnei.
O único inconveniente desta configuração do postfix, é que qualquer mensagem que tenha no body as string passadas para o MTA, serão barradas também...
Tipo para mandar esta dica, tive que desabilitar o body_checks, de maneira a permitir a passagem da mensagem.
Se você souber alguma maneira de eliminar este problema, manda ver aí, falou??
Fui
Eu acho que o que pode estar te impedindo de mandar mensagens com o texto dessas regras é a ausência de uma âncora (aquele ^ no começo da expressão regular) na terceira regra.
Valeu Augusto...
Era isso mesmo.
Acho que comi um caracter.
Avisando a todos então:
Na terceira regra, falt um caracter ^, logo após o /.
Fui...
Muito legal sua dica deu certo.
Seguinte como faço para ver outros body de outros virus que sempre chegam no meu servidor.
Eu tenho usado o MailScanner (www.mailscanner.info) com o postfix e com o sendmail, e tem se mostrado bem útil para bloquar anexos em e-mails e outras características perigosas.
Com certeza elm.
Também uso o MailScannet, com postfix e ele tem se comportado muito bem, inclusive no controle de spam.
bom na minha caixa de correio eletrônico tem um monte de virus inclusive o mydoom,e eles vao continuar la, pois nao vou, nem pretendo apagalos, aqueles que usam o rwindos que se lasquem pra la ,com toda essa gama de virus e outras coisas mais,recebo muitas mensagens dizendo que eu estou enviando virus,mais fazer o que, nao esta me atrapalhando,pra quanto mais estrago fizer melhor,ainda bem que com o pinguin nao corro esse risco...hehehe!!! e viva o milagre da multiplicação!
Esse pensamento do al_qaeda é o tipo de pensamento que deveria ser abolido da sociedade. Vc acha mesmo que vale a pena essa enxurrada de virus? Eu, particularmente, nao aguento mais gente fazendo spam com aminha conta pra ficar passando virus pros outros.
Pense bem nisso.
Nao vai ser essa enxurrada de virus que vai convencer a sociedade a mudar pra Linux da noite pro dia (se é isso que vc esta realmente pensando que vai acontecr).
Abracos para todos, Icarus
Ps. Nada pessoal al_qaeda
Pra formar uma comunidade forte é preciso mostrar força. Se trabalharmos em prol de todos sem distinção de "plataforma" ao mostrarmos o que é melhor e mais seguro, devemos sim bloquear vírus , impedir ataques , etc ... temos que ter uma mentalidade construtiva e nobre ... concordam ? Bem nada contra nenhum comentário, esse é o meu ... belezza ? Um abraço, novo Linux-User
Srs... estou tendo um erro ao colocar essas regras... no log sai isso
warning: regexp map /etc/postfix/body_checks, line 3: using empty replacement string
o que pode ser???
Use somente a palavra "REJECT" no lugar de REJECT VIRUS, para mim só funcionou assim.
Funcionou... Muito obrigado... uma outra coisa... as assinaturas de virus como consigo mais??? ou melhor... como descubro as assinaturas de outros virus???
[]s
mydoom
esse eu agarancho,hehehe!!!!!!! esse é dos bons,mais não custa nada agente dar uma maozinha para ele para ficar pior ainda não é mesmo!! barrar o mydoom nos servidores pra que? vamos aguardar!!!
o futuro é aberto!!!!
tudo que atinja empresas que representam os interesses do país que é considerado o grande satan do mundo eu não me oponho!!!
jirad!!!!!!!!!!!!!!!!!!
Olá,
para min não funcionou este filtro.
Sera que estou fazendo algo errado????
Por favor me ajudem.
Oi... O seguinte erro está ocorrendo...
warning: regexp map /etc/postfix/body_checks, line 3: using empty replacement string.
Já testei usando somente a palavra "REJECT" no lugar de "REJECT VIRUS", mas, o erro continua ocorrendo. Alguém pode me ajudar?
sobre o assunto, adicionei as linhas q o brain postou, agora ha um porem alguns arquivos .zip eram barrados de forma errada entao como trabalho em uma faculdade e ha uma troca relativamente grande de e-mails com conteudo anexado/zipado e com esses bloqueios os arquivos nao passam e entaum pelo forum da postfix q me foi passado pelo Fabiann Freitas (badspirit at bad.spirit.nom.br) a seguinte configuracao eh a mais aceitavel para barrar o mydoom que ainda estah em acao:
em seu /etc/postfix/body_checks substitua a linha acima por essa:
/^UEsDBAoAAAAAA.....DKJx\+eAFgAAABYAA..AAAA/ HOLD VIRUS (W32/Mydoom@MM)
---------------
soh explicando o porque dessa troca o motivo eh simples o corpo "UEsDBAoAAAAAA" tb eh encontrado em arquivos .zip, fazendo esse bloqueio.
Olá pessoal,
Nao estou conseguindo barrar os arquivos com anexos, ele simplismente ignora a regra no body_checks, o que pode ser ? A linha está assim:
# Rejeitar attachments malignos (nao confiaveis):
/(name|filename)=.*\.(bat|com|lnk|asd|shb|vb|wsf|pif|scr|chm|hta|shs|vbs|vbe|js|jse)/
REJECT anexo com extensao duvidosa
que é até um filtro que já peguei pronto, como pode nao dar certo comigo ?
Obrigado pessoal!
Abraços.
Já Fiz o pattern para bloquear o Netsky, segue a url:
http://psi.com.br/~julio/postfix/body_checks
É pessoal. Não será a enxurada de vírus que motivaram a procura de um outro sistema operacional, mas sim quando as pessoas realmente descobrirem que o Ruindows não vale um copinho de groselha. Pagar tanto pra não ter nada, sendo que existe um gratis infinitamente melhor. Eu ainda não entendo porque tantas empresas ainda usam M$-Ruindows e seus "comparsas". Mas na minha opinião a comunidade Open está em seu auge. Pouca coisa pode melhorar, e para mim nem é preciso mais melhoras.
infelizmente nao consigo implementar essa dica, tenho certeza que fiz tudo o que manda o manual (inclusive as correções acima), mas não dá certo :(
Pois é pessoal, pra q tanta ira com quem nos forneceu "tecnologia" (M$) de graça quando da época que não se tinha Linux. Hoje graças aos nossos gurus temos A alternativa.
Deixem os mortos que enterrem os mortos...
"Postado por: Artur Corumba em fevereiro 11, 2004 03:15 PM, 200.242.96.:
em seu /etc/postfix/body_checks substitua a linha acima por essa:
/^UEsDBAoAAAAAA.....DKJx\+eAFgAAABYAA..AAAA/ HOLD VIRUS (W32/Mydoom@MM)"
Artur
Eu coloco o comando numa linha só ? Ou coloco conforma no Tópico principal onde primeiro entra a sintaxe dos vírus e depois na linha de baixo a descrição: REJECT VIRUS (W32/Mydoom@MM) ?
Tem como gerar log destes bloqueios? Se não, qual o melhor antivirus para o postfix, que gere log?
Por favor:
gostaria ke vcs me ajudassem a achar um antivirus ke procurasse o virus no meu computador porke o norton,mcafee, entre outros nao encontraram, pois meu computador esta lento,lento ate dimais, recebo emails de virus etc. gostaria de ajuda. seria possivel. agradeco
Por favor:
gostaria ke vcs me ajudassem a achar um antivirus ke procurasse o virus no meu computador porke o norton,mcafee, entre outros nao encontraram, pois meu computador esta lento,lento ate dimais, recebo emails de virus etc. gostaria de ajuda. seria possivel. agradeco
Comentários desativados: Esta discussão é antiga e foi arquivada, não é mais possível enviar comentários adicionais.