Malware Patrol - Atualização automática do Squid
Malware Patrol é um site que utiliza um sistema para verificar URLs que tenham a presença de vírus, trojans, worms ou outros tipos de software considerados malwares. A lista é atualizada de hora em hora e portanto um script para atualização em nosso servidor seria interessante.
[ Hits: 26.284 ]
Por: Marcio Jose em 01/12/2008 | Blog: http://br.linkedin.com/in/marciojose
Introdução
Antes de mais nada, agradeço ao Viva o Linux pela forma de difundir o conhecimento sem restrições. Este é meu primeiro artigo, espero ser claro o suficiente para que tenham êxito nesta solução tanto quanto eu tive.
Considerando que a internet é um terreno fecundo de fraudes e ainda sim, acreditem, sem lei, é extremamente importante que, nós como usuários avançados, possamos proteger a nossa estrutura e por consequência os que a usam.
Garimpando pela internet encontrei o Malware Patrol. Essa "blacklist" é atualizada a cada hora e verifica a presença de malwares em milhares de sites. Esta lista já está pronta em formato txt e disponibilizada no site para as mais diversas soluções.
Como a solução que utilizo é o Squid (Proxy server), semanalmente eu ia até o site, visualizava a lista e atualizava. Temos que considerar que uma lista que é atualizada a cada hora, em meu servidor, ser atualizada semanalmente, é uma discrepância. Portanto partindo dessa visão e em busca de, digamos, comodismo, parti para esta solução.
É necessário um pouco de conhecimento em editores de texto (vi, pico, nano etc), conhecer os arquivos de configuração do Squid e comandos básico do ambiente Linux.
Primeiramente ditarei o ambiente que utilizo e que está em funcionamento:
Crie o arquivo para evitar um erro quando reiniciar o proxy:
# touch /etc/squid/malware_patrol_list
Esse arquivo será recriado através do script que veremos adiante.
Considerando que a internet é um terreno fecundo de fraudes e ainda sim, acreditem, sem lei, é extremamente importante que, nós como usuários avançados, possamos proteger a nossa estrutura e por consequência os que a usam.
Garimpando pela internet encontrei o Malware Patrol. Essa "blacklist" é atualizada a cada hora e verifica a presença de malwares em milhares de sites. Esta lista já está pronta em formato txt e disponibilizada no site para as mais diversas soluções.
Como a solução que utilizo é o Squid (Proxy server), semanalmente eu ia até o site, visualizava a lista e atualizava. Temos que considerar que uma lista que é atualizada a cada hora, em meu servidor, ser atualizada semanalmente, é uma discrepância. Portanto partindo dessa visão e em busca de, digamos, comodismo, parti para esta solução.
É necessário um pouco de conhecimento em editores de texto (vi, pico, nano etc), conhecer os arquivos de configuração do Squid e comandos básico do ambiente Linux.
Primeiramente ditarei o ambiente que utilizo e que está em funcionamento:
- Debian Etch 2.6.18-6-686
- Squid Version 2.6.STABLE5
Configuração do Squid
Considero que o já tenha seu Squid em pleno funcionamento. Portanto configuraremos o proxy para verificar a lista e barrar o acesso aos que estão nela. Edite o arquivo /etc/squid/squid.conf e a adicione as linhas:
acl sites_bloqueados_malware url_regex -i "/etc/squid/malware_patrol_list"
...
http_access deny sites_bloqueados_malware
...
http_access deny sites_bloqueados_malware
Crie o arquivo para evitar um erro quando reiniciar o proxy:
# touch /etc/squid/malware_patrol_list
Esse arquivo será recriado através do script que veremos adiante.
Páginas do artigo
1. Introdução2. Script de atualização
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada
Gerando e gerenciando relatórios mensais com o SARG
Squid autenticando com firewall x CNS e conexão segura da Caixa
PhpDansAdmin, protótipo de ferramenta web para administração do DansGuardian
Instalando Squid a partir do código fonte
Comentários
[1] Comentário enviado por irado em 02/12/2008 - 09:17h
excelente a dica e o script funciona belezinha; há um senão, porém: alguns dominios REJEITAM os e-mail enviados porque falta remetente/dominio. O mail (man mail) não indica um modo de acrescentar isso.
excelente a dica e o script funciona belezinha; há um senão, porém: alguns dominios REJEITAM os e-mail enviados porque falta remetente/dominio. O mail (man mail) não indica um modo de acrescentar isso.
[2] Comentário enviado por alphazzz em 02/12/2008 - 10:20h
Muito legal a idéia! Eu sou iniciante e estou com um servidor rodando para o meu projeto de estágio, vou aplicar essa solução também. Mas me diga uma coisa, não seria melhor que fosse criado um arquivo de log para os erros de atualização? Como a lista é extensa acho q não seria necessário receber um e-mail quando a atualização falhasse.
E mais uma coisa,, vc disse:
"Note essas duas linhas:
* mail -v -s "Falha Atualizacao" "suporte_tecnico@suporte_tecnico.com.br" < msg.txt"
e no script está escrito:
"mail -s "Falha Atualizacao" "suporte_tecnico@suporte_tecnico.com.br" < msg.txt"
o parâmetro correo é "-v" ou "-s"?
Parabéns!!
Muito legal a idéia! Eu sou iniciante e estou com um servidor rodando para o meu projeto de estágio, vou aplicar essa solução também. Mas me diga uma coisa, não seria melhor que fosse criado um arquivo de log para os erros de atualização? Como a lista é extensa acho q não seria necessário receber um e-mail quando a atualização falhasse.
E mais uma coisa,, vc disse:
"Note essas duas linhas:
* mail -v -s "Falha Atualizacao" "suporte_tecnico@suporte_tecnico.com.br" < msg.txt"
e no script está escrito:
"mail -s "Falha Atualizacao" "suporte_tecnico@suporte_tecnico.com.br" < msg.txt"
o parâmetro correo é "-v" ou "-s"?
Parabéns!!
[3] Comentário enviado por marciojose em 02/12/2008 - 11:16h
Olá aphazzz
A opção -v faz o verbose do envio do email. Assim, é possível verificar erros que possam ocorrer no envio da notificação de erro. A opção -s é de subject (assunto). No script, foi suprimido o -v por não ser necessário exibir isso no terminal, uma vez que o cron irá executar o script.
A respeito do log, é possível sim... Pode-se adicionar no bloco onde se faz a gravação da nova lista que foi feita download:
if [ $? = 0 ]; then
mv -f $DIR_TMP$NAME_LIST $DIR_LIST_SQUID
echo `$SQUID_SERV`
echo "Mensagem que deseja gravar " >> /var/log/malware_patrol.log
Lembrando, que para garantir, crie o arquivo antes.
touch /var/log/malware_patrol.log
Valeu
Olá aphazzz
A opção -v faz o verbose do envio do email. Assim, é possível verificar erros que possam ocorrer no envio da notificação de erro. A opção -s é de subject (assunto). No script, foi suprimido o -v por não ser necessário exibir isso no terminal, uma vez que o cron irá executar o script.
A respeito do log, é possível sim... Pode-se adicionar no bloco onde se faz a gravação da nova lista que foi feita download:
if [ $? = 0 ]; then
mv -f $DIR_TMP$NAME_LIST $DIR_LIST_SQUID
echo `$SQUID_SERV`
echo "Mensagem que deseja gravar " >> /var/log/malware_patrol.log
Lembrando, que para garantir, crie o arquivo antes.
touch /var/log/malware_patrol.log
Valeu
[4] Comentário enviado por joaovitorlinux em 02/12/2008 - 14:29h
Cara, muito bom, gostei do artigo e rodo blzinha aqui.
Valeu.
Cara, muito bom, gostei do artigo e rodo blzinha aqui.
Valeu.
[5] Comentário enviado por Jardel.Rodrigues em 02/12/2008 - 15:46h
Olá pessoal, alguém usou este script com a versão squid 3.0 ?
Olá pessoal, alguém usou este script com a versão squid 3.0 ?
[6] Comentário enviado por paulorvojr em 02/12/2008 - 21:01h
rodou perfeito.
ola jardelns, deve funcionar sim, pois é somente uma nova ACL que o squid esta lendo e bloqueando para os usuários.
O grande lance é o script que pega a lista do site malware patrol e o escreve em um arquivo, e alimenta esse arquivo que o squid le, que depois poem na ACL.
dica, rode primeiro o script, para criar o arquivo, somente depois use os parametros do squid e o recarregue, eu sugiro reinicia-lo
"service squid restart"ou /etc/init.d/squid restart, ou /usr/bin/squid restart ou seja la como for a sua distribuição.
rodou perfeito.
ola jardelns, deve funcionar sim, pois é somente uma nova ACL que o squid esta lendo e bloqueando para os usuários.
O grande lance é o script que pega a lista do site malware patrol e o escreve em um arquivo, e alimenta esse arquivo que o squid le, que depois poem na ACL.
dica, rode primeiro o script, para criar o arquivo, somente depois use os parametros do squid e o recarregue, eu sugiro reinicia-lo
"service squid restart"ou /etc/init.d/squid restart, ou /usr/bin/squid restart ou seja la como for a sua distribuição.
[7] Comentário enviado por cearánews em 03/12/2008 - 13:19h
Muibo útil o post senhor Márcio José Atanásio!
Muibo útil o post senhor Márcio José Atanásio!
[8] Comentário enviado por jose.freitas.rj em 04/12/2008 - 08:50h
muito show esse post! Uso Squid no fedora e coloquei em uso aqui na empresa onde trabalho e funciona mesmo! Se tiver mais post como esse, posta aqui pra gente! abraços...
muito show esse post! Uso Squid no fedora e coloquei em uso aqui na empresa onde trabalho e funciona mesmo! Se tiver mais post como esse, posta aqui pra gente! abraços...
[9] Comentário enviado por PRRS em 06/01/2009 - 15:20h
Boa Tarde .....
Primeiramente agradecer o amigo pela bela contribuição. Achei a idéia do www.malwarepatrol.com.br, excelente, pois eu atuava de forma reativa quando chegava um e-mail suspeito em minha instalação.
Acho que sistemas inteligência ativa e dinâmica como o IRONPORT e agora o Malwarepatrol, como a solução para diversos problemas de segurança de Internet. A turma do IronPort, já está com um Apliance que dentre outras coisas engloba esta função, mas é cara para ......
E esta solução é gratuita ...
Emfim parabéns pela criatividade em utilizar e colaborar com todos, instalei em meu Conectiva 9 e funcionou de primeira.
Paz, Saúde e Amor ....
Boa Tarde .....
Primeiramente agradecer o amigo pela bela contribuição. Achei a idéia do www.malwarepatrol.com.br, excelente, pois eu atuava de forma reativa quando chegava um e-mail suspeito em minha instalação.
Acho que sistemas inteligência ativa e dinâmica como o IRONPORT e agora o Malwarepatrol, como a solução para diversos problemas de segurança de Internet. A turma do IronPort, já está com um Apliance que dentre outras coisas engloba esta função, mas é cara para ......
E esta solução é gratuita ...
Emfim parabéns pela criatividade em utilizar e colaborar com todos, instalei em meu Conectiva 9 e funcionou de primeira.
Paz, Saúde e Amor ....
[10] Comentário enviado por henriquelm em 15/05/2009 - 17:28h
A minha lista do Malware Patrol não está atualizando. Já adicionei a linha de comando no crontab -e como root, e segui todos os outros passos.
Alguém faz idéia do que pode ser?
A minha lista do Malware Patrol não está atualizando. Já adicionei a linha de comando no crontab -e como root, e segui todos os outros passos.
Alguém faz idéia do que pode ser?
[11] Comentário enviado por ssilva501 em 23/02/2010 - 11:16h
Srs.
O endereço correto é "http://malwarepatrol.com.br/cgi/submit?action=list_squid".
Um abraço!
Srs.
O endereço correto é "http://malwarepatrol.com.br/cgi/submit?action=list_squid".
Um abraço!
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Modo Simples de Baixar e Usar o bash-completion
Monitorando o Preço do Bitcoin ou sua Cripto Favorita em Tempo Real com um Widget Flutuante
Dicas
Instalando partes faltantes do Plasma 6
Adicionar botão "mostrar área de trabalho" no Zorin OS
Como montar um servidor de backup no linux
Tópicos
Desenvolvi um programa de hot corner (você colocar o mouse nos cantos)... (3)
Pendrive Bootable [RESOLVIDO] (4)
Top 10 do mês
-
Xerxes
1° lugar - 112.700 pts -
Fábio Berbert de Paula
2° lugar - 74.945 pts -
Mauricio Ferrari
3° lugar - 23.657 pts -
Alberto Federman Neto.
4° lugar - 21.374 pts -
edps
5° lugar - 21.338 pts -
Andre (pinduvoz)
6° lugar - 20.072 pts -
Daniel Lara Souza
7° lugar - 19.812 pts -
Buckminster
8° lugar - 19.670 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 19.093 pts -
Diego Mendes Rodrigues
10° lugar - 15.478 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
