Co zawodzi - exim i/lub clamav?
Tomasz Gretkierewicz
tgret w poczta.onet.pl
Pią, 7 Mar 2008, 11:32:25 CET
Witam!
Mam serwer poczty oparty o exima. Jako ochrona antywirusowa funkcjonuje
w nim clamav. Oto moje wpisy w exim.conf:
Sekcja główna standardowo:
acl_smtp_data = exiscan
av_scanner = clamd:/var/lib/clamav/clamd.socket
begin acl
exiscan:
accept condition = ${if eq {${hmac{md5}{siakieśtamhasło} \
{$body_linecount}}}{$h_X-Scan-Signature:} {1}{0}}
warn message = X-MIME-Warning: Serious MIME \
defect detected ($demime_reason)
demime = *
deny message = Virus found \
znaleziono wirusa :$malware_name
malware = *
deny message = Pliki z rozszerzeniem $found_extension \
nie sa tutaj mile widziane
demime = com:vbs:bat:pif:scr:exe
accept hosts = /etc/mail/dontscan
warn message = X-Scan-Signature: ${hmac{md5}{siakieśtamhasło} \
{$body_linecount}}
accept
Sama sekcja exiscan funkcjonuje, bo np. załączniki *.exe są odrzucane.
Zawirusowane pliki jednak przechodżą, bo co jakis czas trafiam tu
http://cbl.abuseat.org/lookup.cgi?ip=moje_ip
Jeśli chodzi o samego clamav'a, to wydaje mi się poprawnie skonfigurowany.
Logi też OK lecz mimo to nie wykrywa tych wirusów, które bez trudu wyłapuje
avast 4.7 home. Oto ich przykłady:
http://www.cracks.am/d.x?AC8GkH http://www.cracks.am/d.x?A1ikBNc
Poniżej wynik skanowania powyższych plików:
[root w pldmachine log]# clamscan -r /home/services/ftp/pub
/home/services/ftp/pub/ABBYY_FineReader_Professional_v5.0_Patch/FILE_ID.DIZ:
OK
/home/services/ftp/pub/ABBYY_FineReader_Professional_v5.0_Patch/TNT.Fine.Reader.5.0.pro.PATCH.exe:
OK
/home/services/ftp/pub/ABBYY_FineReader_Professional_v5.0_Patch/TNT[CraCK!TEaM].NFO:
OK
/home/services/ftp/pub/AceReader_Professional_v1.1_Patch/file_id.diz: OK
/home/services/ftp/pub/AceReader_Professional_v1.1_Patch/patch.exe: OK
/home/services/ftp/pub/AceReader_Professional_v1.1_Patch/pc.mus: OK
/home/services/ftp/pub/AceReader_Professional_v1.1_Patch/pc.nfo: OK
/home/services/ftp/pub/AceReader_Professional_v1.1_Patch/PCNFO.EXE: OK
/home/services/ftp/pub/clamd.log: OK
/home/services/ftp/pub/freshclam.log: OK
/home/services/ftp/pub/clamd.conf: OK
/home/services/ftp/pub/freshclam.conf: OK
----------- SCAN SUMMARY -----------
Known viruses: 394905
Engine version: 0.92.1
Scanned directories: 3
Scanned files: 12
Infected files: 0
Data scanned: 0.11 MB
Time: 4.692 sec (0 m 4 s)
Proszę o pomoc i pozdrawiam wszystkich. Tomasz Gretkierewicz
-------------- następna część ---------
Załącznik, który nie był tekstem został usunięty...
Name: freshclam.log
Type: application/octet-stream
Size: 4842 bytes
Desc: nie znany
Url : /mailman/pipermail/pld-users-pl/attachments/20080307/29f3fbb7/attachment-0004.obj
-------------- następna część ---------
Załącznik, który nie był tekstem został usunięty...
Name: clamd.conf
Type: application/octet-stream
Size: 9065 bytes
Desc: nie znany
Url : /mailman/pipermail/pld-users-pl/attachments/20080307/29f3fbb7/attachment-0005.obj
-------------- następna część ---------
Załącznik, który nie był tekstem został usunięty...
Name: clamd.log
Type: application/octet-stream
Size: 12379 bytes
Desc: nie znany
Url : /mailman/pipermail/pld-users-pl/attachments/20080307/29f3fbb7/attachment-0006.obj
-------------- następna część ---------
Załącznik, który nie był tekstem został usunięty...
Name: freshclam.conf
Type: application/octet-stream
Size: 4163 bytes
Desc: nie znany
Url : /mailman/pipermail/pld-users-pl/attachments/20080307/29f3fbb7/attachment-0007.obj
Więcej informacji o liście dyskusyjnej pld-users-pl