Script anti Malware Atualizando 1 em 1 hr



  • Boa noite pessoal, sou usuario Debian e estou migrando para o freebsd, mais especifico pro PFSENSE

    Enfim, tenho um Debian com squid instalado e nele tenho um script que faz checagem em um determinado site e faz download de toda sua lista e joga na minha acl do squid, bloqueando todos os sites que contenham malware.

    Vou postar para voces como faz esse script e a acl

    Considerando que a internet é um terreno fecundo de fraudes e ainda sim, acreditem, sem lei, é extremamente importante que, nós como usuários avançados, possamos proteger a nossa estrutura e por consequência os que a usam.

    Garimpando pela internet encontrei o Malware Patrol. Essa "blacklist" é atualizada a cada hora e verifica a presença de malwares em milhares de sites. Esta lista já está pronta em formato txt e disponibilizada no site para as mais diversas soluções.

    Como a solução que utilizo é o Squid (Proxy server), semanalmente eu ia até o site, visualizava a lista e atualizava. Temos que considerar que uma lista que é atualizada a cada hora, em meu servidor, ser atualizada semanalmente, é uma discrepância. Portanto partindo dessa visão e em busca de, digamos, comodismo, parti para esta solução.

    É necessário um pouco de conhecimento em editores de texto (vi, pico, nano etc), conhecer os arquivos de configuração do Squid e comandos básico do ambiente Linux.

    Primeiramente ditarei o ambiente que utilizo e que está em funcionamento:

    Debian Etch 2.6.18-6-686
        Squid Version 2.6.STABLE5

    Considero que o já tenha seu Squid em pleno funcionamento. Portanto configuraremos o proxy para verificar a lista e barrar o acesso aos que estão nela. Edite o arquivo /etc/squid/squid.conf e a adicione as linhas:

    acl sites_bloqueados_malware url_regex -i "/etc/squid/malware_patrol_list"

    http_access deny sites_bloqueados_malware

    (no PFSENSE, fazemos isso no painel proxy server e adicionamos assim:

    acl sites_bloqueados_malware url_regex -i "/usr/local/etc/squid/malware_patrol_list";http_access deny sites_bloqueados_malware)

    Crie o arquivo para evitar um erro quando reiniciar o proxy:

    touch /etc/squid/malware_patrol_list

    Esse arquivo será recriado através do script que veremos adiante.

    Script de atualização
    Este é o "updater" propriamente dito. Optei por variáveis para a melhor customização.

    Crie o arquivo no lugar que preferir. Em meu caso, fiz em /etc/scripts/, portanto:

    mkdir /etc/scripts

    vi /etc/scripts/update_malware_patrol.sh

    E coloque o seguinte conteúdo:

    #!/bin/sh

    Script para Update do Malware Patrol List para Squid

    Marcio Jose Atanasio - marcioatanasio@gmail.com

    19/11/2008

    DIR_LIST_SQUID=/etc/squid/
    DIR_TMP=/opt/
    NAME_LIST=malware_patrol_list
    SQUID_SERV="/etc/init.d/squid reload" (MUDE PARA O RESTART DO SQUID DO PFSENSE)
    URL_LIST=http://www.malwarepatrol.com.br/cgi/submit?action=list_squid

    cd $DIR_TMP
    wget -O $NAME_LIST $URL_LIST
    if [ $? = 0 ]; then
      mv -f $DIR_TMP$NAME_LIST $DIR_LIST_SQUID
      echo $SQUID_SERV
    else
      echo 'Falha na Atualizacao da Lista de Malware Patrol. Acesse http://www.malwarepatrol.com.br' > $DIR_TMP/msg.txt
      mail -s "Falha Atualizacao" "suporte_tecnico@suporte_tecnico.com.br" < msg.txt
      rm $DIR_TMP/msg.txt
    fi
    cd -
    exit 0

    Note essas duas linhas:

    mail -v -s "Falha Atualizacao" "suporte_tecnico@suporte_tecnico.com.br" < msg.txt
        rm $DIR_TMP/msg.txt

    Elas te informam por email, caso haja alguma falha no download da lista. Caso queira ser informado, é necessário frisar dois pontos:

    Sendmail instalado e configurado;
        Caso seu servidor não seja um servidor de email, um servidor que aceite relay.

    1. Para instalar o sendmail não há problemas:

    aptitude install sendmail

    Para configurar o sendmail na distribuição Debian Linux faça:

    dpkg-reconfigure exim4-config

    Split configuration into small files? No
    General type of mail configuration: internet site; mail is sent and received directly using SMTP
    System mail name: suporte_tecnico.com.br (Domínio que tem a conta de email que irá utilizar)
    IP-addresses to listen on for incoming SMTP connections: 127.0.0.1
    Other destinations for which mail is accepted: (O que estiver, irrelevante)
    Domains to relay mail for: (Em branco)
    Machines to relay mail for: (Em branco - Este é o relay do seu servidor para outros, não dos outros para você)
    Keep number of DNS-queries minimal (Dial-on-Demand)? (Se tiver a internet no servidor a todo tempo, No, caso contrário, Yes)
    Delivery method for local mail: mbox format in /var/mail/ (Irrelevante)

    2. Em meu ambiente tenho outro servidor de email que está permitindo relay vindo do meu servidor proxy. Faça o teste:

    echo "Teste de envio" > msg.txt

    mail -v -s "Teste de envio de email" "email_destinatario@domínio.com.br" < msg.txt

    Aparecerá em modo verbose todo o funcionamento do envio. Caso não opte por ser avisado, somente comente as duas linhas.

    Configuração do crontab
    Para que a lista seja atualizada automaticamente é necessário agendar a execução do script. Execute:

    crontab -e

    Adicione a linha:

    0 * * * * /etc/scripts/update_malware_patrol.sh 1> /dev/null

    Assim a cada hora o script será executado e a lista atualizada.

    Considerações finais
    No site do Malware Patrol pode ser encontrada lista para as mais diversas soluções. Há também dois tipos de lista, a Regular List e a Agressive List. Estude seu ambiente e utilize a que mais lhe convier. Em meu caso, utilizo a Regular List sem problemas.

    Espero ter sido útil neste artigo. O que mais me motiva ao mundo open-source é a troca de informações e o espírito "faça você mesmo". Portanto, dúvidas em que eu puder ajudar, tenha certeza que o farei.

    Obrigado e até a próxima.

    Creditos: Marcio Jose Atanásio

    Até ai esta facil, o caminho do squid do debian é diferente do pfsense, mas qualquer usuario avançado consegue fazer e agendar no crontab
    O problema esta quando utilizo o comando wget no script, ele simplesmente nao funciona, ja tentei pkg_add wget e ele reporta um erro… tentei alguma coisa relacionada a um pacote com o nome de ports mas nao tive sucesso em instalar ele tambem, se algum usuario avançado quiser nos ajudar, irei agradecer muito, pois um script desse pode evitar grandes problemas e trazer uma enorme paz no espirito de qualquer administrador de rede.

    Obrigado



  • Excelente iniciativa! :)
    No pfSense, use o fetch no lugar de wget.

    Para manter o script no backup xml, use o pacote filer.

    Procure por pkg_add aqui no forum para ver o caminho que usamos para baixar pacotes do freebsd 8.1 no pfSense.



  • @marcelloc:

    Excelente iniciativa! :)
    No pfSense, use o fetch no lugar de wget.

    Para manter o script no backup xml, use o pacote filer.

    Procure por pkg_add aqui no forum para ver o caminho que usamos para baixar pacotes do freebsd 8.1 no pfSense.

    esta dando esse erro:

    [2.0.1-RELEASE][admin@renan.localdomain]/etc/scripts(6): /etc/scripts/update_malware_patrol.sh
    fetch: illegal option – O
    usage: fetch [-146AadFlMmnPpqRrsUv] [-B bytes] [-N file] [-o file] [-S bytes]
          [-T seconds] [-w seconds] [-i file] URL …
          fetch [-146AadFlMmnPpqRrsUv] [-B bytes] [-N file] [-o file] [-S bytes]
          [-T seconds] [-w seconds] [-i file] -h host -f file [-c dir]



  • @pok182:

    esta dando esse erro:

    [2.0.1-RELEASE][admin@renan.localdomain]/etc/scripts(6): /etc/scripts/update_malware_patrol.sh
    fetch: illegal option – O
    usage: fetch [-146AadFlMmnPpqRrsUv] [-B bytes] [-N file] [-o file] [-S bytes]
           [-T seconds] [-w seconds] [-i file] URL …
           fetch [-146AadFlMmnPpqRrsUv] [-B bytes] [-N file] [-o file] [-S bytes]
           [-T seconds] [-w seconds] [-i file] -h host -f file [-c dir]

    tenta assim:

    fetch -o  $DIR_LIST_SQUID "$URL_LIST" >
    

    coloquei as "" para previnir que a ? da url seja interpretada pelo script



  • @marcelloc:

    @pok182:

    esta dando esse erro:

    [2.0.1-RELEASE][admin@renan.localdomain]/etc/scripts(6): /etc/scripts/update_malware_patrol.sh
    fetch: illegal option – O
    usage: fetch [-146AadFlMmnPpqRrsUv] [-B bytes] [-N file] [-o file] [-S bytes]
           [-T seconds] [-w seconds] [-i file] URL …
           fetch [-146AadFlMmnPpqRrsUv] [-B bytes] [-N file] [-o file] [-S bytes]
           [-T seconds] [-w seconds] [-i file] -h host -f file [-c dir]

    tenta assim:

    fetch -o  $DIR_LIST_SQUID "$URL_LIST" >
    

    coloquei as "" para previnir que a ? da url seja interpretada pelo script

    Da o seguinte erro:

    /etc/scripts/update_malware_patrol.sh: 16: Syntax error: newline unexpected

    segue script

    #!/bin/sh

    Script para Update do Malware Patrol List para Squid

    Marcio Jose Atanasio - marcioatanasio@gmail.com

    19/11/2008

    DIR_LIST_SQUID=/usr/local/etc/squid/
    DIR_TMP=/usr/local/etc/squid/
    NAME_LIST=malware_patrol_list
    SQUID_SERV="/usr/local/etc/rc.d/squid.sh restart"
    URL_LIST=http://www.malwarepatrol.com.br/cgi/submit?action=list_squid

    cd $DIR_TMP
    fetch -o  $DIR_LIST_SQUID "$URL_LIST" >
    #wget -O $NAME_LIST $URL_LIST
    if [ $? = 0 ]; then
      mv -f $DIR_TMP$NAME_LIST $DIR_LIST_SQUID
      echo $SQUID_SERV
    else
    #  echo 'Falha na Atualizacao da Lista de Malware Patrol. Acesse http://www.malwarepatrol.com.br' > $
    DIR_TMP/msg.txt
    #  mail -s "Falha Atualizacao" "suporte_tecnico@suporte_tecnico.com.br" < msg.txt
    #  rm $DIR_TMP/msg.txt
    fi
    cd -
    exit 0



  • tira o ">" que sobrou na linha que postei



  • @marcelloc:

    tira o ">" que sobrou na linha que postei

    Apareceu a seguinte mensagem

    [2.0.1-RELEASE][admin@rioverde.rioverde]/etc/scripts(8): /etc/scripts/update_malware_patrol.sh
    fetch: http://www.malwarepatrol.com.br/cgi/submit?action=list_squid: size of remote file is not known
    /usr/local/etc/squid//submit?action=list_squid        179 kB  181 kBps


Log in to reply