Malware Patrol - Atualização automática do Squid

marciojose

Malware Patrol é um site que utiliza um sistema para verificar URLs que tenham a presença de vírus, trojans, worms ou outros tipos de software considerados malwares. A lista é atualizada de hora em hora e portanto um script para atualização em nosso servidor seria interessante.

[ Hits: 25.836 ]

Por: Marcio Jose em 01/12/2008 | Blog: http://br.linkedin.com/in/marciojose

0 0

Denuncie Favoritos Indicar Impressora

Introdução

Antes de mais nada, agradeço ao Viva o Linux pela forma de difundir o conhecimento sem restrições. Este é meu primeiro artigo, espero ser claro o suficiente para que tenham êxito nesta solução tanto quanto eu tive.

Considerando que a internet é um terreno fecundo de fraudes e ainda sim, acreditem, sem lei, é extremamente importante que, nós como usuários avançados, possamos proteger a nossa estrutura e por consequência os que a usam.

Garimpando pela internet encontrei o Malware Patrol. Essa "blacklist" é atualizada a cada hora e verifica a presença de malwares em milhares de sites. Esta lista já está pronta em formato txt e disponibilizada no site para as mais diversas soluções.

Como a solução que utilizo é o Squid (Proxy server), semanalmente eu ia até o site, visualizava a lista e atualizava. Temos que considerar que uma lista que é atualizada a cada hora, em meu servidor, ser atualizada semanalmente, é uma discrepância. Portanto partindo dessa visão e em busca de, digamos, comodismo, parti para esta solução.

É necessário um pouco de conhecimento em editores de texto (vi, pico, nano etc), conhecer os arquivos de configuração do Squid e comandos básico do ambiente Linux.

Primeiramente ditarei o ambiente que utilizo e que está em funcionamento:

Debian Etch 2.6.18-6-686
Squid Version 2.6.STABLE5

Configuração do Squid

Considero que o já tenha seu Squid em pleno funcionamento. Portanto configuraremos o proxy para verificar a lista e barrar o acesso aos que estão nela. Edite o arquivo /etc/squid/squid.conf e a adicione as linhas:

acl sites_bloqueados_malware url_regex -i "/etc/squid/malware_patrol_list"
...
http_access deny sites_bloqueados_malware

Crie o arquivo para evitar um erro quando reiniciar o proxy:

# touch /etc/squid/malware_patrol_list

Esse arquivo será recriado através do script que veremos adiante.

Próxima página

Páginas do artigo

1. Introdução
2. Script de atualização

Outros artigos deste autor

Nenhum artigo encontrado.

Leitura recomendada

Wpad.dat com Proxy Específico por Rede

Squid transparente com cache de arquivos + Windows Update + taxa de transferência em downloads

Destrinchando a compilação do Squid

Filtragem de páginas SSL (443) no Squid transparente

Autenticando Squid utilizando MySQL

Comentários

[1] Comentário enviado por irado em 02/12/2008 - 09:17h

excelente a dica e o script funciona belezinha; há um senão, porém: alguns dominios REJEITAM os e-mail enviados porque falta remetente/dominio. O mail (man mail) não indica um modo de acrescentar isso.

0 0

[2] Comentário enviado por alphazzz em 02/12/2008 - 10:20h

Muito legal a idéia! Eu sou iniciante e estou com um servidor rodando para o meu projeto de estágio, vou aplicar essa solução também. Mas me diga uma coisa, não seria melhor que fosse criado um arquivo de log para os erros de atualização? Como a lista é extensa acho q não seria necessário receber um e-mail quando a atualização falhasse.

E mais uma coisa,, vc disse:
"Note essas duas linhas:

* mail -v -s "Falha Atualizacao" "suporte_tecnico@suporte_tecnico.com.br" < msg.txt"

e no script está escrito:
"mail -s "Falha Atualizacao" "suporte_tecnico@suporte_tecnico.com.br" < msg.txt"

o parâmetro correo é "-v" ou "-s"?

Parabéns!!

0 0

[3] Comentário enviado por marciojose em 02/12/2008 - 11:16h

Olá aphazzz

A opção -v faz o verbose do envio do email. Assim, é possível verificar erros que possam ocorrer no envio da notificação de erro. A opção -s é de subject (assunto). No script, foi suprimido o -v por não ser necessário exibir isso no terminal, uma vez que o cron irá executar o script.

A respeito do log, é possível sim... Pode-se adicionar no bloco onde se faz a gravação da nova lista que foi feita download:

if [ $? = 0 ]; then
mv -f $DIR_TMP$NAME_LIST $DIR_LIST_SQUID
echo `$SQUID_SERV`
echo "Mensagem que deseja gravar " >> /var/log/malware_patrol.log

Lembrando, que para garantir, crie o arquivo antes.

touch /var/log/malware_patrol.log

Valeu

0 0

[4] Comentário enviado por joaovitorlinux em 02/12/2008 - 14:29h

Cara, muito bom, gostei do artigo e rodo blzinha aqui.
Valeu.

0 0

[5] Comentário enviado por Jardel.Rodrigues em 02/12/2008 - 15:46h

Olá pessoal, alguém usou este script com a versão squid 3.0 ?

0 0

[6] Comentário enviado por paulorvojr em 02/12/2008 - 21:01h

rodou perfeito.

ola jardelns, deve funcionar sim, pois é somente uma nova ACL que o squid esta lendo e bloqueando para os usuários.
O grande lance é o script que pega a lista do site malware patrol e o escreve em um arquivo, e alimenta esse arquivo que o squid le, que depois poem na ACL.

dica, rode primeiro o script, para criar o arquivo, somente depois use os parametros do squid e o recarregue, eu sugiro reinicia-lo
"service squid restart"ou /etc/init.d/squid restart, ou /usr/bin/squid restart ou seja la como for a sua distribuição.

0 0

[7] Comentário enviado por cearánews em 03/12/2008 - 13:19h

Muibo útil o post senhor Márcio José Atanásio!

0 0

[8] Comentário enviado por jose.freitas.rj em 04/12/2008 - 08:50h

muito show esse post! Uso Squid no fedora e coloquei em uso aqui na empresa onde trabalho e funciona mesmo! Se tiver mais post como esse, posta aqui pra gente! abraços...

0 0

[9] Comentário enviado por PRRS em 06/01/2009 - 15:20h

Boa Tarde .....

Primeiramente agradecer o amigo pela bela contribuição. Achei a idéia do www.malwarepatrol.com.br, excelente, pois eu atuava de forma reativa quando chegava um e-mail suspeito em minha instalação.

Acho que sistemas inteligência ativa e dinâmica como o IRONPORT e agora o Malwarepatrol, como a solução para diversos problemas de segurança de Internet. A turma do IronPort, já está com um Apliance que dentre outras coisas engloba esta função, mas é cara para ......

E esta solução é gratuita ...

Emfim parabéns pela criatividade em utilizar e colaborar com todos, instalei em meu Conectiva 9 e funcionou de primeira.

Paz, Saúde e Amor ....

0 0

[10] Comentário enviado por henriquelm em 15/05/2009 - 17:28h

A minha lista do Malware Patrol não está atualizando. Já adicionei a linha de comando no crontab -e como root, e segui todos os outros passos.

Alguém faz idéia do que pode ser?

0 0

[11] Comentário enviado por ssilva501 em 23/02/2010 - 11:16h

Srs.

O endereço correto é "http://malwarepatrol.com.br/cgi/submit?action=list_squid".

Um abraço!

0 0