Malware Patrol - Atualização automática do Squid
Malware Patrol é um site que utiliza um sistema para verificar URLs que tenham a presença de vírus, trojans, worms ou outros tipos de software considerados malwares. A lista é atualizada de hora em hora e portanto um script para atualização em nosso servidor seria interessante.
[ Hits: 26.070 ]
Por: Marcio Jose em 01/12/2008 | Blog: http://br.linkedin.com/in/marciojose
Introdução
Antes de mais nada, agradeço ao Viva o Linux pela forma de difundir o conhecimento sem restrições. Este é meu primeiro artigo, espero ser claro o suficiente para que tenham êxito nesta solução tanto quanto eu tive.
Considerando que a internet é um terreno fecundo de fraudes e ainda sim, acreditem, sem lei, é extremamente importante que, nós como usuários avançados, possamos proteger a nossa estrutura e por consequência os que a usam.
Garimpando pela internet encontrei o Malware Patrol. Essa "blacklist" é atualizada a cada hora e verifica a presença de malwares em milhares de sites. Esta lista já está pronta em formato txt e disponibilizada no site para as mais diversas soluções.
Como a solução que utilizo é o Squid (Proxy server), semanalmente eu ia até o site, visualizava a lista e atualizava. Temos que considerar que uma lista que é atualizada a cada hora, em meu servidor, ser atualizada semanalmente, é uma discrepância. Portanto partindo dessa visão e em busca de, digamos, comodismo, parti para esta solução.
É necessário um pouco de conhecimento em editores de texto (vi, pico, nano etc), conhecer os arquivos de configuração do Squid e comandos básico do ambiente Linux.
Primeiramente ditarei o ambiente que utilizo e que está em funcionamento:
Crie o arquivo para evitar um erro quando reiniciar o proxy:
# touch /etc/squid/malware_patrol_list
Esse arquivo será recriado através do script que veremos adiante.
Considerando que a internet é um terreno fecundo de fraudes e ainda sim, acreditem, sem lei, é extremamente importante que, nós como usuários avançados, possamos proteger a nossa estrutura e por consequência os que a usam.
Garimpando pela internet encontrei o Malware Patrol. Essa "blacklist" é atualizada a cada hora e verifica a presença de malwares em milhares de sites. Esta lista já está pronta em formato txt e disponibilizada no site para as mais diversas soluções.
Como a solução que utilizo é o Squid (Proxy server), semanalmente eu ia até o site, visualizava a lista e atualizava. Temos que considerar que uma lista que é atualizada a cada hora, em meu servidor, ser atualizada semanalmente, é uma discrepância. Portanto partindo dessa visão e em busca de, digamos, comodismo, parti para esta solução.
É necessário um pouco de conhecimento em editores de texto (vi, pico, nano etc), conhecer os arquivos de configuração do Squid e comandos básico do ambiente Linux.
Primeiramente ditarei o ambiente que utilizo e que está em funcionamento:
- Debian Etch 2.6.18-6-686
- Squid Version 2.6.STABLE5
Configuração do Squid
Considero que o já tenha seu Squid em pleno funcionamento. Portanto configuraremos o proxy para verificar a lista e barrar o acesso aos que estão nela. Edite o arquivo /etc/squid/squid.conf e a adicione as linhas:
acl sites_bloqueados_malware url_regex -i "/etc/squid/malware_patrol_list"
...
http_access deny sites_bloqueados_malware
...
http_access deny sites_bloqueados_malware
Crie o arquivo para evitar um erro quando reiniciar o proxy:
# touch /etc/squid/malware_patrol_list
Esse arquivo será recriado através do script que veremos adiante.
Páginas do artigo
1. Introdução2. Script de atualização
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada
Wpad.dat com Proxy Específico por Rede
SquidGuard: o bloqueador de listas para o Squid
Proxy transparente com Squid 2.6 e FWBuilder
Identificando usuários Squid com o IDENTD
Comentários
[1] Comentário enviado por irado em 02/12/2008 - 09:17h
excelente a dica e o script funciona belezinha; há um senão, porém: alguns dominios REJEITAM os e-mail enviados porque falta remetente/dominio. O mail (man mail) não indica um modo de acrescentar isso.
excelente a dica e o script funciona belezinha; há um senão, porém: alguns dominios REJEITAM os e-mail enviados porque falta remetente/dominio. O mail (man mail) não indica um modo de acrescentar isso.
[2] Comentário enviado por alphazzz em 02/12/2008 - 10:20h
Muito legal a idéia! Eu sou iniciante e estou com um servidor rodando para o meu projeto de estágio, vou aplicar essa solução também. Mas me diga uma coisa, não seria melhor que fosse criado um arquivo de log para os erros de atualização? Como a lista é extensa acho q não seria necessário receber um e-mail quando a atualização falhasse.
E mais uma coisa,, vc disse:
"Note essas duas linhas:
* mail -v -s "Falha Atualizacao" "suporte_tecnico@suporte_tecnico.com.br" < msg.txt"
e no script está escrito:
"mail -s "Falha Atualizacao" "suporte_tecnico@suporte_tecnico.com.br" < msg.txt"
o parâmetro correo é "-v" ou "-s"?
Parabéns!!
Muito legal a idéia! Eu sou iniciante e estou com um servidor rodando para o meu projeto de estágio, vou aplicar essa solução também. Mas me diga uma coisa, não seria melhor que fosse criado um arquivo de log para os erros de atualização? Como a lista é extensa acho q não seria necessário receber um e-mail quando a atualização falhasse.
E mais uma coisa,, vc disse:
"Note essas duas linhas:
* mail -v -s "Falha Atualizacao" "suporte_tecnico@suporte_tecnico.com.br" < msg.txt"
e no script está escrito:
"mail -s "Falha Atualizacao" "suporte_tecnico@suporte_tecnico.com.br" < msg.txt"
o parâmetro correo é "-v" ou "-s"?
Parabéns!!
[3] Comentário enviado por marciojose em 02/12/2008 - 11:16h
Olá aphazzz
A opção -v faz o verbose do envio do email. Assim, é possível verificar erros que possam ocorrer no envio da notificação de erro. A opção -s é de subject (assunto). No script, foi suprimido o -v por não ser necessário exibir isso no terminal, uma vez que o cron irá executar o script.
A respeito do log, é possível sim... Pode-se adicionar no bloco onde se faz a gravação da nova lista que foi feita download:
if [ $? = 0 ]; then
mv -f $DIR_TMP$NAME_LIST $DIR_LIST_SQUID
echo `$SQUID_SERV`
echo "Mensagem que deseja gravar " >> /var/log/malware_patrol.log
Lembrando, que para garantir, crie o arquivo antes.
touch /var/log/malware_patrol.log
Valeu
Olá aphazzz
A opção -v faz o verbose do envio do email. Assim, é possível verificar erros que possam ocorrer no envio da notificação de erro. A opção -s é de subject (assunto). No script, foi suprimido o -v por não ser necessário exibir isso no terminal, uma vez que o cron irá executar o script.
A respeito do log, é possível sim... Pode-se adicionar no bloco onde se faz a gravação da nova lista que foi feita download:
if [ $? = 0 ]; then
mv -f $DIR_TMP$NAME_LIST $DIR_LIST_SQUID
echo `$SQUID_SERV`
echo "Mensagem que deseja gravar " >> /var/log/malware_patrol.log
Lembrando, que para garantir, crie o arquivo antes.
touch /var/log/malware_patrol.log
Valeu
[4] Comentário enviado por joaovitorlinux em 02/12/2008 - 14:29h
Cara, muito bom, gostei do artigo e rodo blzinha aqui.
Valeu.
Cara, muito bom, gostei do artigo e rodo blzinha aqui.
Valeu.
[5] Comentário enviado por Jardel.Rodrigues em 02/12/2008 - 15:46h
Olá pessoal, alguém usou este script com a versão squid 3.0 ?
Olá pessoal, alguém usou este script com a versão squid 3.0 ?
[6] Comentário enviado por paulorvojr em 02/12/2008 - 21:01h
rodou perfeito.
ola jardelns, deve funcionar sim, pois é somente uma nova ACL que o squid esta lendo e bloqueando para os usuários.
O grande lance é o script que pega a lista do site malware patrol e o escreve em um arquivo, e alimenta esse arquivo que o squid le, que depois poem na ACL.
dica, rode primeiro o script, para criar o arquivo, somente depois use os parametros do squid e o recarregue, eu sugiro reinicia-lo
"service squid restart"ou /etc/init.d/squid restart, ou /usr/bin/squid restart ou seja la como for a sua distribuição.
rodou perfeito.
ola jardelns, deve funcionar sim, pois é somente uma nova ACL que o squid esta lendo e bloqueando para os usuários.
O grande lance é o script que pega a lista do site malware patrol e o escreve em um arquivo, e alimenta esse arquivo que o squid le, que depois poem na ACL.
dica, rode primeiro o script, para criar o arquivo, somente depois use os parametros do squid e o recarregue, eu sugiro reinicia-lo
"service squid restart"ou /etc/init.d/squid restart, ou /usr/bin/squid restart ou seja la como for a sua distribuição.
[7] Comentário enviado por cearánews em 03/12/2008 - 13:19h
Muibo útil o post senhor Márcio José Atanásio!
Muibo útil o post senhor Márcio José Atanásio!
[8] Comentário enviado por jose.freitas.rj em 04/12/2008 - 08:50h
muito show esse post! Uso Squid no fedora e coloquei em uso aqui na empresa onde trabalho e funciona mesmo! Se tiver mais post como esse, posta aqui pra gente! abraços...
muito show esse post! Uso Squid no fedora e coloquei em uso aqui na empresa onde trabalho e funciona mesmo! Se tiver mais post como esse, posta aqui pra gente! abraços...
[9] Comentário enviado por PRRS em 06/01/2009 - 15:20h
Boa Tarde .....
Primeiramente agradecer o amigo pela bela contribuição. Achei a idéia do www.malwarepatrol.com.br, excelente, pois eu atuava de forma reativa quando chegava um e-mail suspeito em minha instalação.
Acho que sistemas inteligência ativa e dinâmica como o IRONPORT e agora o Malwarepatrol, como a solução para diversos problemas de segurança de Internet. A turma do IronPort, já está com um Apliance que dentre outras coisas engloba esta função, mas é cara para ......
E esta solução é gratuita ...
Emfim parabéns pela criatividade em utilizar e colaborar com todos, instalei em meu Conectiva 9 e funcionou de primeira.
Paz, Saúde e Amor ....
Boa Tarde .....
Primeiramente agradecer o amigo pela bela contribuição. Achei a idéia do www.malwarepatrol.com.br, excelente, pois eu atuava de forma reativa quando chegava um e-mail suspeito em minha instalação.
Acho que sistemas inteligência ativa e dinâmica como o IRONPORT e agora o Malwarepatrol, como a solução para diversos problemas de segurança de Internet. A turma do IronPort, já está com um Apliance que dentre outras coisas engloba esta função, mas é cara para ......
E esta solução é gratuita ...
Emfim parabéns pela criatividade em utilizar e colaborar com todos, instalei em meu Conectiva 9 e funcionou de primeira.
Paz, Saúde e Amor ....
[10] Comentário enviado por henriquelm em 15/05/2009 - 17:28h
A minha lista do Malware Patrol não está atualizando. Já adicionei a linha de comando no crontab -e como root, e segui todos os outros passos.
Alguém faz idéia do que pode ser?
A minha lista do Malware Patrol não está atualizando. Já adicionei a linha de comando no crontab -e como root, e segui todos os outros passos.
Alguém faz idéia do que pode ser?
[11] Comentário enviado por ssilva501 em 23/02/2010 - 11:16h
Srs.
O endereço correto é "http://malwarepatrol.com.br/cgi/submit?action=list_squid".
Um abraço!
Srs.
O endereço correto é "http://malwarepatrol.com.br/cgi/submit?action=list_squid".
Um abraço!
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Máquina perereca - até onde é possível o uso de Linux?
Mitigação - O que é e quando é "seguro" desabilitar
Atualizar Debian Online de uma Versão para outra
A arte e a prática da Disciplina a longo prazo
Topgrade - Atualize seu sistema Linux inteiro com um único comando
Dicas
Site com diversos emojis para seus códigos
Um modo leve de ouvir/ver áudio/vídeo da internet em máquinas pererecas
Tópicos
Rede Windows / Linux Mint- pastas e arquivos somente como leitura (4)
Agora temos uma assistente virtual no fórum!!! (252)
Debian 11 Bullseye não liga normalmente (17)
Top 10 do mês
-
Xerxes
1° lugar - 73.732 pts -
Fábio Berbert de Paula
2° lugar - 47.664 pts -
Buckminster
3° lugar - 19.513 pts -
Mauricio Ferrari
4° lugar - 16.223 pts -
Daniel Lara Souza
5° lugar - 14.997 pts -
Alberto Federman Neto.
6° lugar - 14.077 pts -
edps
7° lugar - 13.557 pts -
Andre (pinduvoz)
8° lugar - 13.261 pts -
Diego Mendes Rodrigues
9° lugar - 12.592 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 12.144 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
