Hlavní navigace

S procmailom v boji proti wormom

Milan Gigel 13. 12. 2001

V poslednom čase sa veľmi rozšírili wormy šíriace sa prostredníctvom emailových správ, zneužívajúc nízke zabezpečenie email klientov s povoleným prehliadaním html formátu na platforme Windows. Je možné na úrovni servera s takýmto šírením bojovať bez použitia komerčných antivírových riešení? Áno je to možné, postačí nám obyčajný procmail.

Každý týždeň sa objaví aspoň jeden nový exemplár, ktorý sa šíri neuveriteľnou rýchlosťou. Šírenie jedného sa neskončí, a už sa objavuje exemplár nový. Väčšina používa rovnaké techniky a to šírenie v prílohe emailovej správy a následnou aktiváciou buď na úrovni rôznych scriptov, alebo proste upútaním užívateľa na prílohu, ktorý ju následne spustí a tým dôjde k vstupu wormu do systému.

Už dlhšiu dobu existuje projekt, ktorý sa riešeniami tohto typu zaoberá. Administrátori, ktorí ho na svoje systémy implementovali sú vysoko spokojní, ale aj napriek tomu v našich končinách moc rozšírený nie je. Preto si dnes ukážeme, ako je možné túto formu ochrany implementovať aj do vášho systému. Názov projektu je sanitizer a nájdete ho na adrese www.impsec.or­g/email-tools/procmail-security.html.

Hor sa teda do implementácie. Základom je stiahnutie súboru so sadov pravidiel s názvom html-trap.procmail.gz z ktorého po rozpakovaní získate súbor html-trap.procmail, ktorý umiestnite do adresára /etc/. Teraz nasleduje jeho aktivácia pridaním pravidiel do existujúceho /etc/procmailrc, poprípade ak ste doteraz procmail pre definíciu jednotlivých pravidiel nepoužívali, stačí tam tento súbor vytvoriť. Pre začiatok bude jeho obsah nasledovný:

PATH="/usr/bin:$PATH:/usr/local/bin"
  SHELL=/bin/sh
  POISONED_EXECUTABLES=/etc/procmail.poisoned
  SECURITY_NOTIFY="postmaster, security-dude"
  SECURITY_NOTIFY_VERBOSE="virus checker"
  SECRET="mysecretkey"

  SECURITY_QUARANTINE=/var/spool/mail/quarantine

  POISONED_SCORE=25
  SCORE_HISTORY=/var/log/macro-scanner-scores
  DROPPRIVS=YES
  LOGFILE=$HOME/procmail.log

  INCLUDERC=/etc/html-trap.procmail

  SECRET=
  POISONED_EXECUTABLES=
  SECURITY_NOTIFY=
  SECURITY_NOTIFY_VERBOSE=
  SECURITY_NOTIFY_SENDER=
  SECURITY_QUARANTINE=

Na začiatku je potrebné definovať jednotlivé inicializačné premenné, ku ktorým sa vrátime. Nasleduje odvolávka pre vnorenie definícií zo súboru /etc/html-trap.procmail a následné priradenie nulových hodnôt definovaným premenným, aby užívatelia nemali prístup k ich obsahu pri vykonávaní ich užívateľských .procmailrc skriptov. Následne si vytvoríme adresár /var/spool/ma­il/quarantine, do ktorého sa budú ukladať prípadné odstránené attachmenty a nastavíme príslušné prístupové práva pre povolenie zápisu. Nasleduje vytvorenie súboru s definíciami názvov súborov /etc/procmail­.poisoned, ktorými sú zväčša wormy a trojany prenášané. Aktuálny obsah môže vyzerať nasledovne www.impsec.or­g/email-tools/poisoned-files.

Týmto je súbor s pravidlami aktivovaný. Čo sa vlastne deje? Hneď si to vysvetlíme. Každý doručený email sa pred uložením do mailboxu skontroluje podľa pravidiel v súbore /etc/html-trap.procmail. Najprv sa kontrolujú jednotlivé attachmenty. Ak je ich prípona spustiteľného tvaru, ako napríklad pri maskovaní typu subor.mpe.exe sa prípona súboru automaticky mení na nespustiteľný tvar, napríklad subor.mpe.DEFANGED-exe. Ak je príloha na zozname trojanov, je z emailovej správy odstránená o čom je následne do tela správy priložená informácia. Pôvodná správa s prílohou je uložená do karanténového adresára, čo umožňuje v prípade náhodnej zhody názvov súborov obnoviť ju. Ďalším krokom je odkomentovanie všetkých aktívnych súčastí z tela html správy pre zamedzenie spúšťania scriptov, ktoré automatizujú a realizujú usídlenie worma v systéme počítača. Veľmi zaujímavým prvkom je prehliadanie .doc a .xls súborov na existenciu nebezpečných makier, kde podľa výskytu jednotlivých príkazov prebieha hodnotenie ich nebezpečnosti. Ak je v hodnotení dosiahnutá hranica, ktorú ste stanovili sú nebezpečné attachmenty odstránené, ako by ja jednalo o trojana uvedeného v /etc/procmail­.poisoned. Výsledky jednotlivých hodnotení nájdete v logu /var/log/macro-scanner-scores. Taktiež sa upravujú dĺžky jednotlivých polí v hlavičke, aby sa zamedzilo rôznym nepríjemnostiam, ktoré by dlhé polia mohli spôsobovať. Podľa definovania prostredníctvom konfiguračných premenných sa vám v domovských adresárov jednotlivých užívateľov vytvárajú logové súbory s názvom procmail.log, ktorých obsah vyzerá asi takto:

Defanging active HTML content in "dfasdfas" from "P-A-N-D-O-R"
    <pandor@compclub.sk> to pandor
    msgid=<003b01c18165$644666e0$c36fa83e@compclub.sk>
Sanitizing MIME attachment headers in "dfasdfas" from "P-A-N-D-O-R"
    <pandor@compclub.sk> to pandor
    msgid=<003b01c18165$644666e0$c36fa83e@compclub.sk>
Mangling executable filename "=?iso-8859-2?Q?Nov=E9Textov=FD_dokument.txt.exe?=".
 Mangling executable filename "=?iso-8859-2?Q?Nov=E9Textov=FD_dokument.txt.exe?=".
Defanging active HTML content in "dfasdfas" from "P-A-N-D-O-R"
    <pandor@compclub.sk> to pandor
    msgid=<003b01c18165$644666e0$c36fa83e@compclub.sk>
Sanitizing MIME attachment headers in "dfasdfas" from "P-A-N-D-O-R"
    <pandor@compclub.sk> to pandor
    msgid=<003b01c18165$644666e0$c36fa83e@compclub.sk>
>From pandor@compclub.sk  Mon Dec 10 10:28:22 2001
 Subject: dfasdfas
  Folder: /var/spool/mail/pandor    2333
>From alex@wired.com  Mon Dec 10 10:34:38 2001
 Subject: RE: YOUR ARTICLES
  Folder: /var/spool/mail/pandor    1385

Priebežne ich teda môžete sledovať, aby ste mali prehľad o súčasnom dianí napríklad:

tail -f /home/*/procmail.log

Teraz ku konfiguračným premenným:

MANGLE_EXTENSIONS - zoznam prípon, ktoré majú podliehať zmene
    pre ochranu pred náhodným spustením
  POISONED_EXECUTABLES - názov súboru s potenciálnymi názvami
    trojanov a wormov
  STRIPPED_EXECUTABLES - názov súboru s definíciami súborov, ktoré
    sa majú z príloh odstrániť
  DISABLE_MACRO_CHECK - reguluje kontrolu makier v dokumentoch
    Microsoft office
  POISONED_SCORE - hodnota, nad ktorú budú dokumenty s makrami
    v hodnotení odstránené
  SCORE_HISTORY - názov logového súboru, kam sa majú ukladať
    jednotlivé hodnotenia
  SCORE_DETAILS - definuje, či sa má do logového súboru zapisovať
    aj postup pri získaní výsledného hodnotenia nebezpečnosti makier
  SCORE_ONLY - udáva, či sa má uskutočňovať iba hodnotenie, bez
    odstránenia prílohy
  SECURITY_QUARANTINE - špecifikuje adresár pre ukladanie správ
    s pôvodnými prílohami pri zmene
  SECURITY_NOTIFY - emailová adresa pre notifikáciu o zistených
    nebezpečných prílohách
  POISONED_WARNING - textová správa, ktorá sa vloží do tela emailu
    pri odstránení prílohy
  SECURITY_TRUST_HTML - vypnutie možnosti odstránenia aktívnych
    častí html správy
  LOGFILE - názov logového súboru pre zápis činností

Podrobnejšie informácie nájdete priamo na domovskej stránke projektu.

Týmto máme za sebou úspešnú inštaláciu pravidiel, ktorá určite spomalí šírenie wormov na vašich pracovných staniciach. Aj keď jednotlivé wormy odstránené nie sú, o čo sa musia postarať antivírové programy inštalované na lokáloch, znemožní sa ich aktivovanie a tým aj šírenie. Tak hor sa do práce…

Našli jste v článku chybu?

18. 2. 2005 13:41

mam problemek - kdyz poslu mail se zakazanou prilohou odjinud nez z uctu na tom samem mailserveru, zasle se notify pouze prijemci (ktery ma ucet na serveru), ale cizi domenu procmail nezna.
V logu je chybova hlaska:

NOTICE: Envelope sender domain domena.cz not supported by trusted Received: path. Suppressing sender notification.

Nevite jak tohle vyresit?

Snad je tahle diskuze jeste ziva ... diky, minik






11. 2. 2002 18:51

Honza (neregistrovaný)

Dobry den,
asi bude chyba nekde mezi zidli a klavesnici,
ale v logu to hlasi, ze /bin/sh neni soubor
a proto nemohl byt spusten perl, dale nasleduje
vypis celeho souboru hmpl-trap. soubor (link) /bin/sh
tam samozrejme je. nevite nahodou nekdo co s tim ???

Honza








Root.cz: Pinebook: linuxový notebook za 89 dolarů

Pinebook: linuxový notebook za 89 dolarů

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

DigiZone.cz: ČRa DVB-T2 ověřeno: Hisense a Sencor

ČRa DVB-T2 ověřeno: Hisense a Sencor

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

Vitalia.cz: Co pomáhá dítěti při zácpě?

Co pomáhá dítěti při zácpě?

120na80.cz: Horní cesty dýchací. Zkuste fytofarmaka

Horní cesty dýchací. Zkuste fytofarmaka

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

120na80.cz: Jak oddálit Alzheimera?

Jak oddálit Alzheimera?