Использование неофициальных баз сигнатур для антивируса clamav

()

Не все знают, но для свободного антивируса ClamAV доступно достаточно большое количество альтернативных источников сигнатур. Например наборы сигнатур от Sanesecurity, MSRBL, SecuriteInfo, MalwarePatrol и OITC.

Большинство этих сигнатур предназначены в первую очередь для проверки почты и содержит данные о популярных вариантах фишинговых писем и писем с подозрительным ПО. Так же в некоторых случаях сигнатуры могут помочь избежать установки MalWare при посещении сомнительных сайтов.

Для удобного автоматического обновления сигнатур из этих источников существует скрипт clamav-unofficial-sigs, доступный в репозиториях Ubuntu как clamav-unofficial-sigs, а в портах FreeBSD как security/clamav-unofficial-sigs. Далее будет показано как можно использовать этот скрипт в дистрибутиве Debian/Ubuntu.

На самом деле установка настолько проста, что даже и писать особо не о чем:) При наличи установленного clamav и/или clamd установка сводится к вводу команды:

apt-get install clamav-unofficial-sigs

На этом установка закончится. Теперь скрипт периодически будет получать обновления неофициальных сигнатур. Частотой обновления можно управлять редактируя файл "/etc/cron.d/clamav-unofficial-sigs". По умолчанию обновление происходит каждый час.

Дополнительные опции можно указать в файле "/etc/clamav-unofficial-sigs.conf", переопределив опции, которые указаны в файлах "*.conf" в директории "/usr/share/clamav-unofficial-sigs/conf.d".

Дополнительные базы у нас есть. Приступаем к их использованию. Например мы можем поднять прокси-сервер с антивирусом, и защитить пользователей не только от вирусов, но и от сомнительного ПО, вирусами не являющегося (таких сигнатур очень много в базах от MalwarePatrol).

Так же мы можем установить почтовый сервер с антивирусной проверкой почты, который так же кроме вредоносного ПО будет отсеивать ещё и фишинговые письма. Отслеживать результаты работы фильтра можно командой:

grep UNOFFICIAL\ FOUND /var/log/clamav/clamav.log

Вывод будет выглядеть примерно вот так:

Wed Apr 21 03:12:00 2010 -> /var/spool/exim4/scan/1O4Mbm-0001Ov-CB/1O4Mbm-0001Ov-CB.eml: Sanesecurity.Junk.9719.UNOFFICIAL FOUND
Wed Apr 21 04:40:00 2010 -> /var/spool/exim4/scan/1O4Nyx-0002An-1a/1O4Nyx-0002An-1a.eml: Sanesecurity.Junk.22048.UNOFFICIAL FOUND
Wed Apr 21 04:53:19 2010 -> /var/spool/exim4/scan/1O4OBp-0002KH-J6/1O4OBp-0002KH-J6.eml: Sanesecurity.Junk.4323.UNOFFICIAL FOUND
Wed Apr 21 20:48:55 2010 -> /var/spool/exim4/scan/1O4d6c-00024x-6T/1O4d6c-00024x-6T.eml: Sanesecurity.Junk.17843.UNOFFICIAL FOUND
Wed Apr 21 21:54:22 2010 -> /var/spool/exim4/scan/1O4e6w-0002gO-97/1O4e6w-0002gO-97.eml: Sanesecurity.Jurlbl.Auto.d472ad7ad06f31a343716d9aead81554.UNOFFICIAL FOUND
Wed Apr 21 21:54:32 2010 -> /var/spool/exim4/scan/1O4e87-0002gm-4O/1O4e87-0002gm-4O.eml: Sanesecurity.Junk.27343.UNOFFICIAL FOUND

Для почтового сервера, обслуживающего всего три ящика результат весьма неплохой:)

На этом всё. Приятной и безопасной работы!

Ключевые слова: clamav, clamav-unofficial-sigs.

Комментарии:

Новый комментарий



© 2006-2016 Вадим Калинников aka MooSE