Защита от скрипт-вирусов

skylevels, 10/03/2015 - 15:51
У нас уже раз в месяц стабильно кто-то ловит скрипт-вирус, который шифрует документы на компьютере и сетевых дисках.
Пользователь получает архив, в нем файл с длинным именем: "Счет на оплату траляля тополя.cmd".
Отучить секретарей и бухгалтерию открывать такие файлы не смогли даже штрафы!

В голову пришла идея, обучить антивирус clamav, который работает в связке с зимброй, не пропускать файлы ВНУТРИ АРХИВОВ: cmd, js, bat, exe и проч.
ведь антивирус всеравно распаковывает все архивы для проверки, и его достаточно просто поднастроить

Помогите, что можно почитать/покрутить?

Форумы »

Комментарии

DNMit
11/03/2015 - 08:17
Очень актуальная тема. Сам не раз нарывался на подобный вирус. Правда в моём случае пользователи оказались лояльней и теперь по каждому не известному письму то и дело дёргают, мол "посмотри, можно его открыть?".
skylevels аватар
skylevels
12/03/2015 - 16:28
Оказывается в веб-консоли: Настройка - Глобальные настройки - Вложения можно фильтровать вложенные файлы по расширению!
Накидал туда всяких com, exe, cmd и т.п.

Что интересно! Фильтр работает даже по архивам, т..е разжимает архив, и если там есть запрещенный файл, то банит письмо!


К сожалению не все архивы она открывает. По умолчанию работает с .zip

После установки sudo apt-get install p7zip-full и перезагрузки zimbra, заработал "перехват" файлов внутри 7z

Может кто подскажет, что установить, чтобы rar тоже разжимался и анализировался?
 

skylevels аватар
skylevels
12/03/2015 - 17:03
При установки unrar, rar, unrar-free, при получении письма с rar архивом, оно помечается: ***UNCHECKED***
если unrar, rar, unrar-free удалить, то письмо с rar архивом приходит без всяких пометок

в обоих случаях, если в rar архиве содержиться запрещеный файл (exe,com итд) файл приходит без проблем!

adm.sergei
18/03/2015 - 10:35
Минутка оффтопа: У нас баба есть, которая уже 3 раза за год ловила подобное. Последний раз она сказала: "я открыла вложение, а оно не открылось. Я его в бухгалтерию отправила, что б там открыть попробовали". Занавес.

Теперь по делу:
Как я был доволен включением этих проверок, но пришлось в срочном порядке убирать, когда нагрузка подпрыгнула до 100% (что довольно интересно для Xeon X3430 2.4GHz с 12Gb RAM).
Пока спасаюсь тем, что юзеры рискуют больше своим добром, на файлопомойке каждые 20 минут проходит проверка на наличие у файлов дополнительных расширений с алертом в джаббер.
По поводу RAR архивов накопал, что надо заменить строчку $unrar = ['unrar-free']; на $unrar = ['rar', 'unrar'];
Разумеется, от пакета unrar-free можно смело избавляться и ставить rar unrar.
В нашем случае конфиг лежит по адресу /opt/zimbra/conf/amavisd.conf, нужная строка в decoders. Сам не проверял.
DNMit
15/03/2015 - 08:21
Спасибо за информацию. Но я так понимаю, что всё это не актуально если работать с zimbra по POP3 протоколу ? Т.е. никакие письма блокироваться не будут ?
skylevels аватар
skylevels
16/03/2015 - 11:30
Если это настройки mta сервера, то для pop3 актуально.
Askor
19/05/2015 - 17:50
Для проверки rar архивов ставите пакеты apt-get install p7zip-full p7zip-rar, после в конфиге
/opt/zimbra/conf/amavisd.conf правите секцию @decoders = (
относящуюся к  rar строку:
  ['rar',  \&do_7zip, ['7za', '7z'] ],

и от zimbra перезапускаете сервер zmcontrol restart
будет распаковывать rar арххивы...в том числе и v3....а что внутри уже режете по расширению (настройка через web)
skylevels аватар
skylevels
21/05/2015 - 14:21
После перезагрузки сервера файл  /opt/zimbra/conf/amavisd.conf перезаписывается на типовой =(
adm.sergei
26/05/2015 - 13:16
 Я разобрался у себя с этим. В amavisd.conf.in ничего не менял. Достаточно было подсмотреть в конфиге, чем он пытался распаковать: unrar или unrar-free. В моем случае cat /opt/zimbra/conf/amavisd.conf.in | grep rar показывает:
>>  ['rar',  \&do_unrar, ['unrar', 'rar'] ],
Тупо установил пакеты unrar и rar, добавил в админке проверку расширений. Месяца два полет нормальный, архивы вскрывает, вредоноску из раров отбрасывает.
Аналогично для zip поставил gunzip, а для 7z - 7za.
skylevels аватар
skylevels
26/05/2015 - 18:30
Дело в том, что unrar и rar не все файлы разжимают.
Попробуйте последним WinRARом запаковать, отправить по почте и увидите тему письма: ***UNCHECKED***
надо именно p7zip-rar ставить и им пытаться открыть.
Только вот неизвестно как победить автозамену конфигурации amavisd
vinc11
30/06/2015 - 13:14
su zimbra /opt/zimbra/conf/amavisd.conf.in
меняешь сохраняешь. перезагружаешь. изменения на месте.

vinc11
30/06/2015 - 13:12
И так проблема RAR архивов (UNCHECKED) исправлена в версии amavisd 2.9.1. В Zimbra же стоит версия 2.8.0. Будем патчить в ручную!
1.ставим unrar (yum install unrar )
2.скачиваем Amavisd версию 2.9.1
3.Открываем редактром (vim) Amavisd версии 2.9.1 .Ищем кусок кода
от начала
#use external program to expand RAR archives
#
sub_dounrar
....
.....
#use external program to expand LHA archives
до конца. выделяем и копируем

4.su zimbra zmcontrol stop
5.заменяем  на новый код в /opt/zimbra/amavisd/sbin/amavisd
6.проверяем права должны быть от имени Zimbra или выставляем по новой.
7.ребут системы.
8.Архивы чекаются.зловреды отсекаются
HorekRediskovich
13/08/2015 - 11:55
так ну теперь банит rar а вот 7zip не банит
HorekRediskovich
13/08/2015 - 12:13
Для CentOS просто поставил пакет p7zip
vinc11
24/08/2015 - 08:17
А теперь запакуй последним винраром версии V3. И пошли для проверки запакованный exe.
HorekRediskovich
24/08/2015 - 15:08
о каком v3 идет речь и что значит v3? если версия то последняя стабильная версия 5.23
vinc11
08/09/2015 - 14:43
Открываешь винрар 5. Добавляешь архив . Выбираешь формат архива версии RAR(v3-v4) или RAR5(v5). Отошли запакованный .exe разными версиями в отдельных письмах. и узнаешь какой Zimbra пропустит.
Thread
27/07/2015 - 09:37
 А как быть с русскими названиями зловредов? Недавно пришёл архив, в нём файлик - Новая папка.exe. Этот архив вообще не обработался. Проверил на паре вариантов - действительно, архивы с вложениями, название которых русское, не обрабатываются. Или надо где-то подкрутить?
vinc11
08/09/2015 - 15:08
По умолчанию отсекаются .exe, с любыми названиями. Посмотри Глобальные настройки-Вложения- Вложения которые блокирует MTA.
Добавить комментарий