Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Nov 2003

ClamAV-fråga

Tjenare,

Jag har en mailerserver (postfix) i Debian och använder ClamAV som antivirusprogram. ClamAV funkar utmärkt, om jag skickar testvirus så tas mailen bort. Men nu är det så att jag vill att mailen inte bara ska tas bort, utan den som mailet var avsett för ska få ett mail som säger något i stil med "du har fått ett virussmittat mail från zzz@zzz.com".

Har skrivit ett enkelt script för att skicka ett mail, och det funkar att skcika mail med detta script. Men hur ställer man in i ClamAV så att det körs när virus hittas? Och hur gör man för att få ut variablerna sändare, mottagare och virusnamn ur virusmailet?

Tacksam för svar.

PS. Vill inte ha några svar i still med "varför kör du antivirusprogram?!" eftersom det är en uppgift som ska göras, har inget val. DS.

Trädvy Permalänk
Medlem
Registrerad
Jan 2002

Förstår inte riktigt vad du vill göra men du kanske ska testa amavisd!?

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Nov 2003
Citat:

Ursprungligen inskrivet av denka
Förstår inte riktigt vad du vill göra men du kanske ska testa amavisd!?

Jag skriver ju vad jag vill göra. Om någno får ett virusmail så tas mailet bort, då vill jag att ClamAV ska skicka ett mail som säger att du fick ett virusmail, men jag tog bort det. Bara så du vet. OCh sen info om vem det kom ifrån och så.

Ne amavis behövs inte för det det ska gå med ClamAV, har nästan löst det nu. Finns något som heter VirusAction i clamsmtpd.conf. För övrigt så kör vi procmail istället för amavis, men det kvittar som sagt.

Men det löser sig nog snart förhoppningsvis.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jul 2002

Har ClamAV verkligen alla nödvändiga funktioner för att decoda och packa upp attachments för att sedan kunna scanna dem? Jag kör med ett annat litet fulhack för sånt (amavisd var för krångligt), men det behövdes iallafall nåt mellanskikt mellan postfix och clamd. Jag skulle gissa att det ligger nåt sånt, men som förmodligen inte gör nåt vidare väsen av sig.

Att skicka mail som säger "du har fått ett virus, men jag har tagit bort det" tycker jag låter som en enbart dum ide. Alla virus jag får nuförtiden har fejkade avsändaradresser och det är inget av värde som jag någonsin vill veta därifrån. De kommer dessutom i stora drivor när det går epidemier, och om man ska få ett sånt varningsmail har man inte vunnit särskilt mycket på virusscanningen, eftersom man fortfarande får lika mycket skräp.

Min dator är tuffare än din.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Nov 2003
Citat:

Ursprungligen inskrivet av Stack
Har ClamAV verkligen alla nödvändiga funktioner för att decoda och packa upp attachments för att sedan kunna scanna dem? Jag kör med ett annat litet fulhack för sånt (amavisd var för krångligt), men det behövdes iallafall nåt mellanskikt mellan postfix och clamd. Jag skulle gissa att det ligger nåt sånt, men som förmodligen inte gör nåt vidare väsen av sig.

Att skicka mail som säger "du har fått ett virus, men jag har tagit bort det" tycker jag låter som en enbart dum ide. Alla virus jag får nuförtiden har fejkade avsändaradresser och det är inget av värde som jag någonsin vill veta därifrån. De kommer dessutom i stora drivor när det går epidemier, och om man ska få ett sånt varningsmail har man inte vunnit särskilt mycket på virusscanningen, eftersom man fortfarande får lika mycket skräp.

1:
Ja, clamav scannar och tar bort attachments.

2:
Jag avslutade mitt inlägg med:
"PS. Vill inte ha några svar i still med "varför kör du antivirusprogram?!" eftersom det är en uppgift som ska göras, har inget val. DS." I denna uppgift ingick även att skicka mail till den som virusmailet var avesett för. Visst, man kan bara ta bort viruset och skriva om mailet, men nästan sak samma. Jaja, det är en ofrivillig uppgift i alla fall.

MEN jag har löst det nu. Skrev ett script för att maila, och scriptet triggas då ClamAV hittar/tar bort ett virusmail.

Trädvy Permalänk
Avstängd
Plats
::1
Registrerad
Jul 2002

har tyärr inget svar men undrar om du är sugen på att dela med dig av scriptet?

Information wants to be free.
Internet: 1Gbit/1Gbit LAN/WiFi: Cisco/Meraki
Laptop: Dell XPS 9550 4K touch HTPC: Raspberry Pi 3 LibreELEC
Desktop: WIP

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Nov 2003
Citat:

Ursprungligen inskrivet av WetWilly
har tyärr inget svar men undrar om du är sugen på att dela med dig av scriptet?

Skickade det till dig i ett PM.

Om någon annan vill ha det så PM:a mig.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jul 2002
Citat:

Ursprungligen inskrivet av DIFference
Om någon annan vill ha det så PM:a mig.

Hit me!

Varför inte lägga det här så alla kan se det (eller en länk om det är för stort)?

För övrigt kommenterade jag inte ditt omdöme i frågan, utan mest uppgiftsmakaren och iden i allmänhet. Tagga ner.

Min dator är tuffare än din.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Nov 2003
Citat:

Ursprungligen inskrivet av Stack
Hit me!

Varför inte lägga det här så alla kan se det (eller en länk om det är för stort)?

För övrigt kommenterade jag inte ditt omdöme i frågan, utan mest uppgiftsmakaren och iden i allmänhet. Tagga ner.

Hehe, då du skrev ditt inlägg hade jag bara skrivit "Vill inte ha några svar i still med "varför kör du antivirusprogram?!" eftersom det är en uppgift som ska göras, har inget val." iofs. Men jaja, skit samma. Det är ofriviligt, bara för vi ska lära oss. Han som gjort uppgifterna slår nog de flesta på fingrarna när det gäller detta område. *lovar*

Ne, jag valde att inte lägga ut det här eftersom det säket kommer en massa script/linux-nördar och gnäller på hur kasst det är. Men visst, jag kan lägga ut det, jag har trots att bara pillat linux i några månader och scripting i en dag.

Here it comes:

Kom ihåg att sätta clamsmtp som ägare till scriptfilen och "mail" och även "virus.log" om du ska ha med den. (Annars kommer inte variablerna $SENDER osv. att funka.)

Scriptet:

#!/bin/sh

file="/etc/clamav/scripts/virus.log"
mail="/etc/clamav/scripts/mail"

exec 1>>$file
exec 2>>$file

date>>$file
echo Sender $SENDER>>$file
echo Recipients $RECIPIENTS>>$file
echo Virus $VIRUS>>$file

echo "-------------------------------------------------------">$mail
echo "You have recieved a virus infected email.">>$mail
date>>$mail
echo Sender : $SENDER>>$mail
echo Recipients : $RECIPIENTS>>$mail
echo Virus : $VIRUS>>$mail
echo "-------------------------------------------------------">>$mail

cat $mail |mail -s "VIRUS IS FOUND IN EMAIL" $RECIPIENTS

echo "-------------------------------------------------------">>$file

För att trigga scriptet då ett virusmail tas bort lägg till följande rader sist i clamsmtpd.conf (den första finns troligtvis redan där, det är den suern du måste sätta som ägare till de andra filerna som jag skrev om i det andra PM:et):

# User to run as
User: clamsmtp

# Virus actions: There's an option to run a script every time a
# virus is found. Read the man page for clamsmtpd.conf for details.
VirusAction: bash /etc/clamav/scripts/found_virus.sh

EDIT: Ser nu att jag inte deklarerat det som ett bash-script i början. Men ändå använder jag bash för att trigga det längst ner. Nåja, som sagt, hållt på med sådana här script i en dag bara, men det funkar iaf.