Com eu tinha prometido, aqui vai o addon de varredura de virus squid+clamav
Nesse momento estou usando ele, num Athlon XP 2.4GHz, 512MB de RAM,
e o uso de CPU do daemon do clamav fica entre 2% somente com minha estação
navegando.
Segue abaixo a instalação dos addons:
NOTA: quem ja tem as libs SSL e CRYPTO nao precisa fazer o download!
- Código: Selecionar todos
mt
wget http://www.polaco.pro.br/brazilfw/addons/clamav.tgz
wget http://www.polaco.pro.br/brazilfw/addons/sclam.tgz
wget http://www.polaco.pro.br/brazilfw/addons/curl.tgz
wget http://www.polaco.pro.br/brazilfw/addons/libssl.tgz
wget http://www.polaco.pro.br/brazilfw/addons/libcrypt.tgz
umt
reboot
Apos o BFW ter reiniciado e o Clamav baixado as atualizações das assinaturas, eh soh
criar um local temporário para o squidclam baixar os arquivos para o clamav analizar.
Criei um local temporario em memoria para melhor desempenho.
- Código: Selecionar todos
mkdir /partition/squidclam
mount -t tmpfs -o size=64m squidclam /partition/squidclam
É necessario tambem fazer uma adaptacao na configuracao do squid.
- Código: Selecionar todos
/etc/rc.d/pkgs/rc.squid stop
echo "redirect_program /usr/bin/squidclam" >> /usr/local/squid/etc/squid_4.tpl
echo "redirect_children 15" >> /usr/local/squid/etc/squid_4.tpl
E ainda faltam alguns "tweaks" para acertar permissoes.
- Código: Selecionar todos
chown nobody.nogroup /partition/squidclam
chown nobody.nogroup /etc/squidclam.conf
Feito isso, levante o squid novamente, e de uma olhada nos logs para ver se o
squidclam levantou junto
- Código: Selecionar todos
/etc/rc.d/pkgs/rc.squid start
Olhando os logs, ao levantar o squid, se o squidclam levantar corretamente, ele irá jogar no log
o seguinte:
- Código: Selecionar todos
Nov 7 13:23:34 brazilfw user.notice root: Configuring Squid
Nov 7 13:23:34 brazilfw user.notice root: Disk Cache is Disabled
Nov 7 13:23:34 brazilfw user.notice root: Squid running now!
Nov 7 13:23:34 brazilfw local4.notice squid[2264]: Squid Parent: child process 2268 started
Nov 7 13:23:34 brazilfw user.info syslog: squidclam starting up
Nov 7 13:23:34 brazilfw user.info syslog: squidclam starting up
Nov 7 13:23:34 brazilfw user.info syslog: squidclam starting up
Nov 7 13:23:34 brazilfw user.info syslog: squidclam starting up
Nov 7 13:23:34 brazilfw user.info syslog: squidclam starting up
Ao detectar um arquivo infectado, o squidclam irá redirecionar a URL para uma mensagem de erro
de acesso negado do squid. Existem como redirectionar para outro endereço (http://127.0.0.1/antivir.php),
mas essa parte ainda nao cheguei a fazer, até porque o BFW nao tem suporte PHP por padrão.
pode ser desviado para outro server tbm, que ja rode Apache+PHP, e copiar o arquivo antivir.php que vem junto com o pacote do squidclam. (nao esta incluso no meu pacote!)
Nos logs ele registra tbm a detecção do virus:
- Código: Selecionar todos
Nov 7 13:57:08 brazilfw user.warn syslog: INFECTED url=http://www.eicar.org/download/eicar.com virus=Eicar-Test-Signature src=192.168.75.65/- ident=- method=GET
Nov 7 13:57:12 brazilfw user.warn syslog: INFECTED url=http://www.eicar.org/download/eicar.com.txt virus=Eicar-Test-Signature src=192.168.75.65/- ident=- method=GET
olha o que eu achei tbm!
- Código: Selecionar todos
Nov 7 13:33:57 brazilfw user.warn syslog: could not get (http://www.brazilfw.com.br/favicon.ico) error was (The requested URL returned error: 404)
BFW nao tem um favicon??
Boa sorte a quem for testar, e quem quiser complementar o addon tbm!!
[]'s