DrWeb - как за каменной стеной!

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #035, стр. 035-088-6

smb_spider.so.2 - Samba 2.2.3

smb_spider.so.3 - Samba 2.2.4, 2.2.5

smb_spider.so.4 - Samba 2.2.6, 2.2.7

smb_spider.so.5 - Samba 3.0alphaXX

Версию smbd можно узнать, набрав smbd -V. После выбора нужной либы, скопируй ее в указанную выше директорию и сделай линк на smb_spider.so (для удобства) командой ln -s smb_spider.so.X smb_spider.so.

Следующим шагом будет редактирование smb_spider.conf. Там следует указать метод перехвата, остальные опции не отличаются от описанных ранее. Метод может быть onAccess (при любом изменении файла и его открытии), onRead (только при открытии) и onWrite (при модификации). Остальные параметры не отличаются от изложенных выше.

Напоследок изменим /etc/samba/smb.conf (или другое его местоположение). Пусть там существует ресурс [shared], который следует проверять на вирусы.

НАЗВАНИЕ: Фрагмент smb.conf

[shared]

comment = Public Shared Directory

path = /home/public

writable = yes

public = yes

write list = @root,@smb

vfs object = /opt/drweb/smb_spider.so

И в довершении выполним команду service smb reload, чтобы перечитать конфиг.

Теперь проверяем. Коннектитимся на smb:

# smbclient //127.0.0.1/shared -U root

Password:

Domain=[Domain] OS=[Unix] Server=[Samba ALT/2.2.7]

smb: \> put viruzz.exe

putting file viruzz.exe as \editor.dll NT_STATUS_UNSUCCESSFUL closing remote file \viruzz.exe

smb: \>

Как видим, все работает. При прочтении лога ты узнаешь подробности реакции smb_spider.so на заразу.

Другие сервисы

В рамках этого материала я не мог описать настройку всех поддерживаемых почтовых сервисов. Поэтому просто назову их. Итак, Drweb может интегрироваться с CommuniGate, Sendmail, Exim, Postfix,QMail, Zmailer, а также Samba.

Что-то не работает?

Если у тебя возникли проблемы, описания которых нет в документации, можешь посетить форум на официальном сайте: http://forum.drweb.ru/unix/. Там ты отыщешь ответы на все вопросы, а в противном случае, сможешь задать их в новой теме.

Благодаря тому, что в свежих версиях sendmail появилась новая многопоточная библиотека MilterAPI, позволяющая принимать команды для sendmail от других приложений, становится реальным обеспечить проверку на вирусы всех входящих сообщений.

Drweb-smf является лишь посредником между сервером sendmail и drwebd. Это очень важно, так как понимание всего вышеизложенного избавит тебя от проблем с редактированием конфигурационных файлов.

По дефолту, конфиг является вполне рабочим, но это не означает, что ты должен полностью задвинуть на проблему его изменения и перейти к следующему шагу. Значительное количество опций в файле требует понимания.

Самыми интересными параметрами в конфе являются, пожалуй, фильтры на поля E-mail. За это отвечает FilterRule. Например, при значении "Subject "*Open the attach*" Reject" сервер будет автоматически считать письмо зараженным. Рекомендую поиграться с этой опцией и достичь нужного результата.

Теперь осталось протестировать клиент. Для этого используем параметр --check_only в его запуске. Если все сделано правильно, на мыло админу придет тестовое уведомление.

Админы поднимают различные службы, одной из которых является smbd, разрешающая вход на расшаренные ресурсы. Злоумышленник запросто может залить вирус через этот сервис и запустить его на клиентской машине... если, конечно, drweb не будет следить за ним ;).