Antes de mais nada, agradeço ao Viva o
Linux pela forma de difundir o conhecimento sem restrições. Este é meu primeiro artigo, espero ser claro o suficiente para que tenham êxito nesta solução tanto quanto eu tive.
Considerando que a internet é um terreno fecundo de fraudes e ainda sim, acreditem, sem lei, é extremamente importante que, nós como usuários avançados, possamos proteger a nossa estrutura e por consequência os que a usam.
Garimpando pela internet encontrei o
Malware Patrol. Essa "blacklist" é atualizada a cada hora e verifica a presença de malwares em milhares de sites. Esta lista já está pronta em formato txt e disponibilizada no site para as mais diversas soluções.
Como a solução que utilizo é o
Squid (Proxy server), semanalmente eu ia até o site, visualizava a lista e atualizava. Temos que considerar que uma lista que é atualizada a cada hora, em meu servidor, ser atualizada semanalmente, é uma discrepância. Portanto partindo dessa visão e em busca de, digamos, comodismo, parti para esta solução.
É necessário um pouco de conhecimento em editores de texto (vi, pico, nano etc), conhecer os arquivos de configuração do Squid e comandos básico do ambiente Linux.
Primeiramente ditarei o ambiente que utilizo e que está em funcionamento:
- Debian Etch 2.6.18-6-686
- Squid Version 2.6.STABLE5
Configuração do Squid
Considero que o já tenha seu Squid em pleno funcionamento. Portanto configuraremos o proxy para verificar a lista e barrar o acesso aos que estão nela. Edite o arquivo
/etc/squid/squid.conf e a adicione as linhas:
acl sites_bloqueados_malware url_regex -i "/etc/squid/malware_patrol_list"
...
http_access deny sites_bloqueados_malware
Crie o arquivo para evitar um erro quando reiniciar o proxy:
# touch /etc/squid/malware_patrol_list
Esse arquivo será recriado através do script que veremos adiante.
[1] Comentário enviado por
irado em 02/12/2008 - 09:17h:
excelente a dica e o script funciona belezinha; há um senão, porém: alguns dominios REJEITAM os e-mail enviados porque falta remetente/dominio. O mail (man mail) não indica um modo de acrescentar isso.
[2] Comentário enviado por
alphazzz em 02/12/2008 - 10:20h:
Muito legal a idéia! Eu sou iniciante e estou com um servidor rodando para o meu projeto de estágio, vou aplicar essa solução também. Mas me diga uma coisa, não seria melhor que fosse criado um arquivo de log para os erros de atualização? Como a lista é extensa acho q não seria necessário receber um e-mail quando a atualização falhasse.
E mais uma coisa,, vc disse:
"Note essas duas linhas:
* mail -v -s "Falha Atualizacao" "suporte_tecnico@suporte_tecnico.com.br" < msg.txt"
e no script está escrito:
"mail -s "Falha Atualizacao" "suporte_tecnico@suporte_tecnico.com.br" < msg.txt"
o parâmetro correo é "-v" ou "-s"?
Parabéns!!
[3] Comentário enviado por
seacio em 02/12/2008 - 11:16h:
Olá aphazzz
A opção -v faz o verbose do envio do email. Assim, é possível verificar erros que possam ocorrer no envio da notificação de erro. A opção -s é de subject (assunto). No script, foi suprimido o -v por não ser necessário exibir isso no terminal, uma vez que o cron irá executar o script.
A respeito do log, é possível sim... Pode-se adicionar no bloco onde se faz a gravação da nova lista que foi feita download:
if [ $? = 0 ]; then
mv -f $DIR_TMP$NAME_LIST $DIR_LIST_SQUID
echo `$SQUID_SERV`
echo "Mensagem que deseja gravar " >> /var/log/malware_patrol.log
Lembrando, que para garantir, crie o arquivo antes.
touch /var/log/malware_patrol.log
Valeu
[4] Comentário enviado por
bigfootmachado em 02/12/2008 - 14:29h:
Cara, muito bom, gostei do artigo e rodo blzinha aqui.
Valeu.
[5] Comentário enviado por
Jardel.Rodrigues em 02/12/2008 - 15:46h:
Olá pessoal, alguém usou este script com a versão squid 3.0 ?
[6] Comentário enviado por
paulorvojr em 02/12/2008 - 21:01h:
rodou perfeito.
ola jardelns, deve funcionar sim, pois é somente uma nova ACL que o squid esta lendo e bloqueando para os usuários.
O grande lance é o script que pega a lista do site malware patrol e o escreve em um arquivo, e alimenta esse arquivo que o squid le, que depois poem na ACL.
dica, rode primeiro o script, para criar o arquivo, somente depois use os parametros do squid e o recarregue, eu sugiro reinicia-lo
"service squid restart"ou /etc/init.d/squid restart, ou /usr/bin/squid restart ou seja la como for a sua distribuição.
[7] Comentário enviado por
cearánews em 03/12/2008 - 13:19h:
Muibo útil o post senhor Márcio José Atanásio!
[8] Comentário enviado por
jose.freitas.rj em 04/12/2008 - 08:50h:
muito show esse post! Uso Squid no fedora e coloquei em uso aqui na empresa onde trabalho e funciona mesmo! Se tiver mais post como esse, posta aqui pra gente! abraços...
[9] Comentário enviado por
PRRS em 06/01/2009 - 15:20h:
Boa Tarde .....
Primeiramente agradecer o amigo pela bela contribuição. Achei a idéia do
www.malwarepatrol.com.br, excelente, pois eu atuava de forma reativa quando chegava um e-mail suspeito em minha instalação.
Acho que sistemas inteligência ativa e dinâmica como o IRONPORT e agora o Malwarepatrol, como a solução para diversos problemas de segurança de Internet. A turma do IronPort, já está com um Apliance que dentre outras coisas engloba esta função, mas é cara para ......
E esta solução é gratuita ...
Emfim parabéns pela criatividade em utilizar e colaborar com todos, instalei em meu Conectiva 9 e funcionou de primeira.
Paz, Saúde e Amor ....
[10] Comentário enviado por
henriquelm em 15/05/2009 - 17:28h:
A minha lista do Malware Patrol não está atualizando. Já adicionei a linha de comando no crontab -e como root, e segui todos os outros passos.
Alguém faz idéia do que pode ser?
[11] Comentário enviado por
ssilva501 em 23/02/2010 - 11:16h:
Srs.
O endereço correto é "http://malwarepatrol.com.br/cgi/submit?action=list_squid".
Um abraço!
Squid3 + Ubuntu Lucid 10.04 + Kerberos Auth + AD
Versão para impressora
Indicar para um amigo
Enviar artigo