Co zawodzi - exim i/lub clamav?
Tomasz Gretkierewicz
tgret w poczta.onet.pl
Pią, 7 Mar 2008, 11:32:25 CET
Witam!
Mam serwer poczty oparty o exima. Jako ochrona antywirusowa funkcjonuje
w nim clamav. Oto moje wpisy w exim.conf:
Sekcja główna standardowo:
acl_smtp_data = exiscan
av_scanner = clamd:/var/lib/clamav/clamd.socket
begin acl
exiscan:
accept condition = ${if eq {${hmac{md5}{siakieśtamhasło} \
{$body_linecount}}}{$h_X-Scan-Signature:} {1}{0}}
warn message = X-MIME-Warning: Serious MIME \
defect detected ($demime_reason)
demime = *
deny message = Virus found \
znaleziono wirusa :$malware_name
malware = *
deny message = Pliki z rozszerzeniem $found_extension \
nie sa tutaj mile widziane
demime = com:vbs:bat:pif:scr:exe
accept hosts = /etc/mail/dontscan
warn message = X-Scan-Signature: ${hmac{md5}{siakieśtamhasło} \
{$body_linecount}}
accept
Sama sekcja exiscan funkcjonuje, bo np. załączniki *.exe są odrzucane.
Zawirusowane pliki jednak przechodżą, bo co jakis czas trafiam tu
http://cbl.abuseat.org/lookup.cgi?ip=moje_ip
Jeśli chodzi o samego clamav'a, to wydaje mi się poprawnie skonfigurowany.
Logi też OK lecz mimo to nie wykrywa tych wirusów, które bez trudu wyłapuje
avast 4.7 home. Oto ich przykłady:
http://www.cracks.am/d.x?AC8GkH http://www.cracks.am/d.x?A1ikBNc
Poniżej wynik skanowania powyższych plików:
[root w pldmachine log]# clamscan -r /home/services/ftp/pub
/home/services/ftp/pub/ABBYY_FineReader_Professional_v5.0_Patch/FILE_ID.DIZ:
OK
/home/services/ftp/pub/ABBYY_FineReader_Professional_v5.0_Patch/TNT.Fine.Reader.5.0.pro.PATCH.exe:
OK
/home/services/ftp/pub/ABBYY_FineReader_Professional_v5.0_Patch/TNT[CraCK!TEaM].NFO:
OK
/home/services/ftp/pub/AceReader_Professional_v1.1_Patch/file_id.diz: OK
/home/services/ftp/pub/AceReader_Professional_v1.1_Patch/patch.exe: OK
/home/services/ftp/pub/AceReader_Professional_v1.1_Patch/pc.mus: OK
/home/services/ftp/pub/AceReader_Professional_v1.1_Patch/pc.nfo: OK
/home/services/ftp/pub/AceReader_Professional_v1.1_Patch/PCNFO.EXE: OK
/home/services/ftp/pub/clamd.log: OK
/home/services/ftp/pub/freshclam.log: OK
/home/services/ftp/pub/clamd.conf: OK
/home/services/ftp/pub/freshclam.conf: OK
----------- SCAN SUMMARY -----------
Known viruses: 394905
Engine version: 0.92.1
Scanned directories: 3
Scanned files: 12
Infected files: 0
Data scanned: 0.11 MB
Time: 4.692 sec (0 m 4 s)
Proszę o pomoc i pozdrawiam wszystkich. Tomasz Gretkierewicz
-------------- następna część ---------
Binarny załącznik wiadomości został usunięty...
Nazwa: freshclam.log
Typ: application/octet-stream
Rozmiar: 4842 bytes
Opis: nie znany
Adres: </mailman/pipermail/pld-users-pl/attachments/20080307/29f3fbb7/attachment.obj>
-------------- następna część ---------
Binarny załącznik wiadomości został usunięty...
Nazwa: clamd.conf
Typ: application/octet-stream
Rozmiar: 9065 bytes
Opis: nie znany
Adres: </mailman/pipermail/pld-users-pl/attachments/20080307/29f3fbb7/attachment-0001.obj>
-------------- następna część ---------
Binarny załącznik wiadomości został usunięty...
Nazwa: clamd.log
Typ: application/octet-stream
Rozmiar: 12379 bytes
Opis: nie znany
Adres: </mailman/pipermail/pld-users-pl/attachments/20080307/29f3fbb7/attachment-0002.obj>
-------------- następna część ---------
Binarny załącznik wiadomości został usunięty...
Nazwa: freshclam.conf
Typ: application/octet-stream
Rozmiar: 4163 bytes
Opis: nie znany
Adres: </mailman/pipermail/pld-users-pl/attachments/20080307/29f3fbb7/attachment-0003.obj>
Więcej informacji o liście pld-users-pl