Installare definizioni virus Sanesecurity su clamav in Debian per Amavis

Malware

Molti malware e virus non vengono intercettati da amavis/clamav, per aggiungere ulteriori definizioni ci viene in aiuto uno script molto utile e ben fatto su github https://github.com/extremeshok/clamav-unofficial-sigs che ci consente di aggiungere diverse definizioni aggiuntive presenti gratuitamente su internet.

Scaricate il master.zip dal github:

cd /opt
wget https://github.com/extremeshok/clamav-unofficial-sigs/archive/master.zip
unzip master.zip
cd clamav-unofficial-sigs-master/
cp clamav-unofficial-sigs.sh /usr/local/bin/
chmod 755 /usr/local/bin/clamav-unofficial-sigs.sh
mkdir /etc/clamav-unofficial-sigs/
cd config/
cp * /etc/clamav-unofficial-sigs/
mkdir /var/log/clamav-unofficial-sigs/
cd /etc/clamav-unofficial-sigs/
mv os.debian8.conf os.conf

 

Ora editate il file os.conf e commentate clamd_pid=”/var/run/clamd.pid” e de-commentate clamd_socket=”/var/run/clamav/clamd.ctl”, salvate e chiudete.

Editate user.conf e de-commentate la riga user_configuration_complete=”yes”, salvate e chiudete.

Ok adesso siete pronti per lanciarlo la prima  /usr/local/bin/clamav-unofficial-sigs.sh
vedrete che scaricherà diversi db di definizioni e nella /var/lib/clamav trovetere tutte le definizioni aggiuntive con i permessi corretti:

-rw-r--r-- 1 clamav clamav     47260 mag 13 10:18 antidebug_antivm.yar
-rw-r--r-- 1 clamav clamav    288262 mag 13 09:55 blurl.ndb
-rw-r--r-- 1 clamav clamav      1740 mag 13 09:48 bofhland_cracked_URL.ndb
-rw-r--r-- 1 clamav clamav     99837 mag 13 09:48 bofhland_malware_attach.hdb
-rw-r--r-- 1 clamav clamav      4832 mag 13 09:48 bofhland_malware_URL.ndb
-rw-r--r-- 1 clamav clamav      6216 mag 13 09:48 bofhland_phishing_URL.ndb
-rw-r--r-- 1 clamav clamav    378368 apr 15 21:35 bytecode.cld
-rw-r--r-- 1 clamav clamav    417603 mag 13 09:48 crdfam.clamav.hdb
-rw-r--r-- 1 clamav clamav  10137088 mag 13 08:18 daily.cld
-rw-r--r-- 1 clamav clamav     25780 mag 12 10:53 foxhole_filename.cdb
-rw-r--r-- 1 clamav clamav     44147 mar 25 19:53 foxhole_generic.cdb
-rw-r--r-- 1 clamav clamav     48176 ago  5  2015 hackingteam.hsb
-rw-r--r-- 1 clamav clamav   6595967 mag 11 09:54 junk.ndb
-rw-r--r-- 1 clamav clamav   1687824 mag 13 09:55 jurlbl.ndb
-rw-r--r-- 1 clamav clamav 109143933 mar 29 17:19 main.cvd
-rw-r--r-- 1 clamav clamav      8376 mag 13 10:18 malicious_document.yar
-rw-r--r-- 1 clamav clamav      9460 feb 19  2015 malwarehash.hsb
-rw-r--r-- 1 clamav clamav      1040 mag 13 10:18 mirrors.dat
-rw-r--r-- 1 clamav clamav   3859098 mag 11 21:14 phish.ndb
-rw-r--r-- 1 clamav clamav   5055292 mag 13 09:46 phishtank.ndb
-rw-r--r-- 1 clamav clamav     56820 mag 13 09:46 porcupine.hsb
-rw-r--r-- 1 clamav clamav    298884 mag 13 09:46 porcupine.ndb
-rw-r--r-- 1 clamav clamav    598699 apr  6 03:48 rfxn.hdb
-rw-r--r-- 1 clamav clamav    437666 apr  6 03:48 rfxn.ndb
-rw-r--r-- 1 clamav clamav   3203193 mag 12 16:56 rogue.hdb
-rw-r--r-- 1 clamav clamav     11102 mar  9 09:56 sanesecurity.ftm
-rw-r--r-- 1 clamav clamav      1462 lug  1  2015 Sanesecurity_sigtest.yara
-rw-r--r-- 1 clamav clamav      1233 feb 22 13:21 Sanesecurity_spam.yara
-rw-r--r-- 1 clamav clamav   1881431 apr 21 09:58 scam.ndb
-rw-r--r-- 1 clamav clamav      6679 apr  6 13:55 sigwhitelist.ign2
-rw-r--r-- 1 clamav clamav       199 apr  6 16:55 spamattach.hdb
-rw-r--r-- 1 clamav clamav       671 apr 18 17:57 spamimg.hdb
-rw-r--r-- 1 clamav clamav    526635 mag 12 09:14 winnow.attachments.hdb
-rw-r--r-- 1 clamav clamav        66 mag 12 09:14 winnow_bad_cw.hdb
-rw-r--r-- 1 clamav clamav    107753 mag 12 09:14 winnow_extended_malware.hdb
-rw-r--r-- 1 clamav clamav    165256 mag 12 09:14 winnow_malware.hdb
-rw-r--r-- 1 clamav clamav    632292 mag 12 09:14 winnow_malware_links.ndb
-rw-r--r-- 1 clamav clamav      1584 mag 12 09:14 winnow_malware.yara

Ora lanciate questo comando per vedere se clamav li ha presi in carico:

clamscan --debug 2>&1 /dev/null | grep "loaded"

Dovrebbe dare un output del genere:

LibClamAV debug: /var/lib/clamav/sigwhitelist.ign2 loaded
LibClamAV debug: daily.info loaded
LibClamAV debug: daily.cfg loaded
LibClamAV debug: daily.idb loaded
LibClamAV debug: daily.pdb loaded
LibClamAV debug: daily.ndb loaded
LibClamAV debug: daily.ign loaded
LibClamAV debug: daily.crb loaded
LibClamAV debug: daily.cdb loaded
LibClamAV debug: daily.ldb loaded
LibClamAV debug: daily.hdb loaded
LibClamAV debug: daily.fp loaded
LibClamAV debug: daily.mdb loaded
LibClamAV debug: daily.wdb loaded
LibClamAV debug: daily.msb loaded
LibClamAV debug: daily.sfp loaded
LibClamAV debug: cli_loadftm: File type signature for HWP embedded OLE2 not loaded (required f-level: 82)
LibClamAV debug: cli_loadftm: File type signature for HWPML Document not loaded (required f-level: 82)
LibClamAV debug: cli_loadftm: File type signature for HWP3 Document not loaded (required f-level: 82)
LibClamAV debug: daily.ftm loaded
LibClamAV debug: daily.ign2 loaded
LibClamAV debug: daily.hsb loaded
LibClamAV debug: /var/lib/clamav/daily.cld loaded
LibClamAV debug: /var/lib/clamav/scam.ndb loaded
LibClamAV debug: bytecode.info loaded
LibClamAV debug: 3986218.cbc loaded
LibClamAV debug: 4306157.cbc loaded
LibClamAV debug: 3986289.cbc loaded
LibClamAV debug: 3986233.cbc loaded
LibClamAV debug: 3986223.cbc loaded
LibClamAV debug: 3986337.cbc loaded
LibClamAV debug: 3986310.cbc loaded
LibClamAV debug: 3986234.cbc loaded
LibClamAV debug: 3986212.cbc loaded
LibClamAV debug: 3986306.cbc loaded
LibClamAV debug: 3986230.cbc loaded
LibClamAV debug: 3986236.cbc loaded
LibClamAV debug: 3986185.cbc loaded
LibClamAV debug: 3986303.cbc loaded
LibClamAV debug: 3986222.cbc loaded
LibClamAV debug: 3986215.cbc loaded
LibClamAV debug: 3986187.cbc loaded
LibClamAV debug: 3986216.cbc loaded
LibClamAV debug: 3986305.cbc loaded
LibClamAV debug: 3986214.cbc loaded
LibClamAV debug: 4306126.cbc loaded
LibClamAV debug: 3986334.cbc loaded
LibClamAV debug: 3986220.cbc loaded
LibClamAV debug: 3986219.cbc loaded
LibClamAV debug: 3986259.cbc loaded
LibClamAV debug: 3986327.cbc loaded
LibClamAV debug: 3986322.cbc loaded
LibClamAV debug: 3986328.cbc loaded
LibClamAV debug: 3986206.cbc loaded
LibClamAV debug: 3986244.cbc loaded
LibClamAV debug: 3986221.cbc loaded
LibClamAV debug: 3986318.cbc loaded
LibClamAV debug: 3986283.cbc loaded
LibClamAV debug: 3986188.cbc loaded
LibClamAV debug: 3986301.cbc loaded
LibClamAV debug: 3986321.cbc loaded
LibClamAV debug: 3986232.cbc loaded
LibClamAV debug: 3986282.cbc loaded
LibClamAV debug: 3986229.cbc loaded
LibClamAV debug: 3986292.cbc loaded
LibClamAV debug: 3986242.cbc loaded
LibClamAV debug: 3986231.cbc loaded
LibClamAV debug: 3986326.cbc loaded
LibClamAV debug: 3986217.cbc loaded
LibClamAV debug: 3986235.cbc loaded
LibClamAV debug: 3986224.cbc loaded
LibClamAV debug: 3986249.cbc loaded
LibClamAV debug: /var/lib/clamav/bytecode.cld loaded
LibClamAV debug: /var/lib/clamav/bofhland_malware_URL.ndb loaded
LibClamAV debug: /var/lib/clamav/foxhole_filename.cdb loaded
LibClamAV debug: /var/lib/clamav/phishtank.ndb loaded
LibClamAV debug: /var/lib/clamav/winnow.attachments.hdb loaded
LibClamAV debug: load_oneyara: successfully loaded YARA.CryptoWall_Resume_phish
LibClamAV debug: load_oneyara: successfully loaded YARA.docx_macro
LibClamAV debug: load_oneyara: successfully loaded YARA.java_JSocket_20151217
LibClamAV debug: cli_loadyara: loaded 3 of 3 yara signatures from /var/lib/clamav/winnow_malware.yara
LibClamAV debug: /var/lib/clamav/winnow_malware.yara loaded
LibClamAV debug: /var/lib/clamav/junk.ndb loaded
LibClamAV debug: /var/lib/clamav/winnow_extended_malware.hdb loaded
LibClamAV debug: /var/lib/clamav/rogue.hdb loaded
LibClamAV debug: /var/lib/clamav/malicious_document.yar loaded
LibClamAV debug: /var/lib/clamav/rfxn.hdb loaded
LibClamAV debug: /var/lib/clamav/bofhland_cracked_URL.ndb loaded
LibClamAV debug: /var/lib/clamav/foxhole_generic.cdb loaded
LibClamAV debug: /var/lib/clamav/rfxn.ndb loaded
LibClamAV debug: /var/lib/clamav/winnow_bad_cw.hdb loaded
LibClamAV debug: /var/lib/clamav/hackingteam.hsb loaded
LibClamAV debug: /var/lib/clamav/spamattach.hdb loaded
LibClamAV debug: /var/lib/clamav/winnow_malware.hdb loaded
LibClamAV debug: /var/lib/clamav/jurlbl.ndb loaded
LibClamAV debug: load_oneyara: successfully loaded YARA.Sanesecurity_TestSig_Type4_Hdr_2
LibClamAV debug: load_oneyara: successfully loaded YARA.Sanesecurity_TestSig_Type3_Bdy_4
LibClamAV debug: load_oneyara: successfully loaded YARA.Sanesecurity_TestSig_Type4_Bdy_3
LibClamAV debug: load_oneyara: successfully loaded YARA.Sanesecurity_PhishingTestSig_1
LibClamAV debug: cli_loadyara: loaded 4 of 4 yara signatures from /var/lib/clamav/Sanesecurity_sigtest.yara
LibClamAV debug: /var/lib/clamav/Sanesecurity_sigtest.yara loaded
LibClamAV debug: /var/lib/clamav/malwarehash.hsb loaded
LibClamAV debug: main.info loaded
LibClamAV debug: main.hdb loaded
LibClamAV debug: main.hsb loaded
LibClamAV debug: main.mdb loaded
LibClamAV debug: main.msb loaded
LibClamAV debug: main.ndb loaded
LibClamAV debug: main.fp loaded
LibClamAV debug: main.sfp loaded
LibClamAV debug: main.crb loaded
LibClamAV debug: /var/lib/clamav/main.cvd loaded
LibClamAV debug: /var/lib/clamav/antidebug_antivm.yar loaded
LibClamAV debug: /var/lib/clamav/crdfam.clamav.hdb loaded
LibClamAV debug: cli_loadftm: File type signature for HWP embedded OLE2 not loaded (required f-level: 82)
LibClamAV debug: cli_loadftm: File type signature for HWPML Document not loaded (required f-level: 82)
LibClamAV debug: cli_loadftm: File type signature for HWP3 Document not loaded (required f-level: 82)
LibClamAV debug: /var/lib/clamav/sanesecurity.ftm loaded
LibClamAV debug: /var/lib/clamav/bofhland_phishing_URL.ndb loaded
LibClamAV debug: load_oneyara: successfully loaded YARA.Sanesecurity_Spam_test
LibClamAV debug: load_oneyara: successfully loaded YARA.Sanesecurity_Spam_pornspam
LibClamAV debug: cli_loadyara: loaded 2 of 2 yara signatures from /var/lib/clamav/Sanesecurity_spam.yara
LibClamAV debug: /var/lib/clamav/Sanesecurity_spam.yara loaded
LibClamAV debug: /var/lib/clamav/spamimg.hdb loaded
LibClamAV debug: /var/lib/clamav/winnow_malware_links.ndb loaded
LibClamAV debug: /var/lib/clamav/porcupine.hsb loaded
LibClamAV debug: /var/lib/clamav/blurl.ndb loaded
LibClamAV debug: /var/lib/clamav/porcupine.ndb loaded
LibClamAV debug: /var/lib/clamav/phish.ndb loaded
LibClamAV debug: /var/lib/clamav/bofhland_malware_attach.hdb loaded

Se è tutto ok possiamo finalizzare l’installazione aggiungendo lo script per aggiornarlo automaticamente e lo script per la rotazione dei log:

/usr/local/bin/clamav-unofficial-sigs.sh --install-cron
chmod 755 /etc/cron.d/clamav-unofficial-sigs
/usr/local/bin/clamav-unofficial-sigs.sh --install-logrotate

Perfetto, ora Clamav avrà più possibilità di intercettare malware nelle email.

 

Estrarre Archivio DEB

Il file .DEB è un archivio che contiene 3 files:

  • debian-binary
  • control.tar.gz
  • data.tar.gz

Di solito quello che serve è il data.tar.gz che contiene il programma.

Per prima cosa dobbiamo estrarre i 3 pacchetti sopraindicati dal file .DEB:

ar vx mypackage.deb

 

Poi estrarre il contenuto di data.tar.gz utilizzando tar:

tar -xzvf data.tar.gz

 

 

Package DEBPer più informazioni sui comandi tar e ar consultate le pagine man : tar(1) e ar(1).

Raspberry Owncloud Client compiled ver.2.0.1

raspberry

The version shipped with raspbian not work with owncloud server 8 so I recompiled to arm the client version 2.

Since raspberry pi take long to compile and there are many dependencies to be installed for compile correctly I’ve decided to post here the version already compiled.

First you have to install the version provided by the repository and then overwrite the client with the downloadable version I’ve done

To install from repository you have to do the following:

sudo apt-get update
sudo apt-get install owncloud-client

Then download the client compiled and ready to install : Client 2.0.2 builded

copy this in /opt

sudo cp owncloud-client-build.tar.bz2 /opt
tar xvzf owncloud-client-build.tar.bz2
cd ./client-build
make install

In some case you must relink a library to the new one:

rm /usr/lib/arm-linux-gnueabihf/libowncloudsync.so.0
ln -s /usr/local/lib/libowncloudsync.so.2.0.2 /usr/lib/arm-linux-gnueabihf/libowncloudsync.so.0

 

This is the archive with compiled owncloud ready to install with instrucion wrote above: Client 2.0.2 builded

This is the only Owncloud 2.0.1 executable : owncloud

Also this the only cmd version: owncloudcmd

Aggiungere macchina Windows 7 o Windows 2008R2 a un dominio samba

Per aggiungere una macchina Windows 7 e Windows 2008R2 a un dominio samba per prima cosa bisogna controllare che la versione sia almeno la 3.3.4  altrimenti non ci sarà speranza alcuna.

Dopodichè bisogna inserire nel registro di Windows le seguenti righe in questa posizione:

HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters


DWORD DomainCompatibilityMode   = 00000001
DWORD DNSNameResolutionRequired = 00000000

 

Mentre le seguenti chievi di registro vanno controllate ed eventualmente settate:
HKLM\SYSTEM\CurrentControlSet\services\Netlogon\Parameters

DWORD RequireStrongKey = 00000001
DWORD RequireSignOrSeal = 00000001

 

Ora per sicurezza un bel riavvio della macchina e poi fate il join al dominio senza problemi.

Ritorno sulla fonera con Openwrt parte:1

Dopo tanto tempo sono tornato sulla Fonera 2100 per modificarla e fargli pilotare l’apricancello collegandola all’antifurto.
Per il momento sono partito con Openwrt, una distro linux pulita che mi consenta di configurare la fonera utilizzando le porte gpio.

In questo articolo parte prima configuro la rete.

Mi sono collegato in seriale con la console utilizzando putty e per il wifi l’ho configurato utilizzando il wpa_supplicant per avere il supporto wpa della mia rete wifi domestica.

La confgurazione da mettere in /etc/wpa_supplicant.conf

ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=1000
update_config=1
network={
ssid="hidaba_house"
psk="PASSWORD DELLA RETE"
proto=WPA
key_mgmt=WPA-PSK
pairwise=CCMP TKIP
}

Poi ho creato lo script per l’avvio automatico al boot in /etc/init.d/wpa_supplicant

#!/bin/sh /etc/rc.common
START=01
start () {
wpa_supplicant -B -c /etc/wpa_supplicant.conf -i ath0 -D wext
}

poi l’ho linkato in /etc/rc.d/S45wpa utilizzando 45 in modo che si avvii dopo che la rete è partita

ln -s /etc/init.d/wpa_supplicant /etc/rc.d/S45wpa

infine configurare la rete con l’indirizzo voluto in /etc/config/network

config interface wifi0
option ifname   ath0
option proto    static
option ipaddr   10.0.0.90
option gateway  10.0.0.5
option dns      10.0.0.5
option netmask  255.255.255.0

fare un bel riavvio e avremo la fonera funzionante in wifi come client.

Cavo Seriale per Fonera

Avendo la fonera a disposizione la prima cosa è sfruttarla per fare di più, per entrare sul sistema linux embedded presente, c’è bisogno di un cavo seriale per poter accedere e poi abilitare SSH.
Per realizzare il cavo seriale c’è da utilizzare un integrato max232 che converta il segnale TTL a 3V, cercando su ebay si possono trovare già fatti ma comunque a un prezzo altino, vi consiglio di comprare o magari lo avete gia’ in casa un cavo seriale per cellulare, io ho utilizzato pagandolo solamente 5 euro un cavo seriale per il Cellulare Siemens S35 e una volta aperto e fatti i collegamenti ha funzionato alla perfezione.

Qui metto potete vedervi gli shema dei cavi seriale per i vari cellulari:
specifiche cavo serialespecifiche cavo seriale 2specifiche cavo seriale 3

Collegamento seriale fonera Seriale FoneraPer fare un lavoro fatto bene ho comprato anche un zoccolo da saldare sulla fonera per collegarci direttamente la seriale. Inoltre vi faccio anche vedere il cavo, ovviamente lo devo ancora nastrare dove ho fatto le saldature; ma l’ho provato e funziona perfettamente.

Link utili: Flashing della Fonera

Il mio nuovo portatile

Windows VistaEbbene si, svelato l’arcano di questa mia lunga assenza. Ho cambiato portatile passando a Windows Vista, il primo impatto è stato abbastanza traumatico perchè tutte le piccole cose non sono più al loro posto e niente funziona al primo colpo.
La scelta è di Vista è stata dovuta che con il mio lavoro probabilmente tra qualche tempo dovrò installare in azienda qualche PC con il nuovo SO di Microsoft e quindi volevo vedere cosa funziona e cosa no.
Il problema più evidente è stato il DHCP, non riesce a prendere i dati dal mio server dhcp, guardo i log di linux e arriva il broadcast, vengono inviati i dati a Vista, ma dopo 1sec Vista richiede i dati e così per qualche minuto fino a quando Vista dice che non ha potuto configurare la rete…. motivo? impossibile saperlo visto che nei log non c’e’ niente di niente.
Se cercate su google ci sono tante pagine che illustrano questo problema e M$ liquida la faccenda facendo modificare una chiave nel registro, ma anche modificandola il mio dhcp non ne vuole sapere.
Ho risolto utilizzando un dhcprelay che forwarda le richieste al server, facendo questo ponte senza senso riesco a configurarlo. Ho provato un un’altro portatile con Vista installato di un cliente che è passato di qua e ha avuto lo stesso identico problema.
Altri problemi si sono risolti con tutti i Windows Update, al momento è abbastanza stabile, certo è un SO ancora prematuro non adatto all’utonto.
Cose belle? graficamente è accattivante, gestione della sospensione e ibernazione, widget integrati, Switcher (consente di vedere tutte le finestre a perte in 3D e scegliere quella da portare avanti), gestione degli album fotografici ben fatta e fotoritocco minimale e semplice veramente molto funzionale.

Ovviamente ho sostituito IE con Firefox, Outlook con Thunderbird, Office con OpenOffice, msn con PSI.

iTunes condiviso su piu’ utenti

iTunesIl problema che ho avuto con iTunes è che uso il PC portatile sia per lavoro che per casa e ho due untenti separati, uno sotto dominio per il lavoro e un utente locale per quando sono a casa.
Installato iTunes mi faccio le mie belle liste, importo CD, sincronizzo con iPod; ma lo faccio solo con l’utente casalingo, ma mi piacerebbe avere iTunes anche al lavoro per tenere un pò di musica in sottofondo e qui nasce il problema perchè iTunes ha un percorso non modificabile dove memorizza i suoi files xml (non gli mp3, con questi puoi cambiare il percorso) .
Itunes crea un cartella iTunes dentro Documenti\Musica e il giochino per farlo vedere all’altro utente è creare un hardlink nella posizione c:\Documents and Settings\utente2\Documenti che punti a c:\Documents and Settings\utente1\Documenti

Per farlo non si puo’ utilizzare il link simbolico ma ci vuole un hardlink altrimenti iTunes creerà comunque una cartella ignorando il link; in linux basterebbe un comando ln mentre in windows non c’e’. Cercando su internet ho trovato diversi programmi ‘esterni‘ per fare un hardlink su NTFS e quello che ho utilizzato è Winbolic Link, un pò datato ma ha funzionato alla perfezione.
Altra cosa da non dimenticare è di dare i permessi di lettura e scrittura alla cartella iTunes primaria anche per l’utente2.

Splash Screen su Linux Gentoo

Breve howto per lo Splash Screen

Compilare l’immagine initramfs direttamente nel kernel

installare le utility per lo splash:
# emerge splashutils splash-themes-gentoo

Prima, elimina l’immagine initramfs presente:
# rm /usr/src/linux/usr/initramfs_data.cpio.gz

Dopo, si deve creare una nuova immagine initramfs contenente le immagini, i file di configurazione e lo userspace helper. E’ molto semplice usando l’utility splash_geninitramfs (installata con emerge splashutils). E’ simile all’utility ‘splash’ usata da bootsplash.

# splash_geninitramfs -v -g /usr/src/linux/usr/initramfs_data.cpio.gz -r 1024×768 emergence
Compilare l’immagine initramfs direttamente nel kernel ha lo svantaggio di dover ricompilare il kernel (questo passo non è richiesto se si usa la seconda opzione – initrd):

# cd /usr/src/linux
# touch usr/initramfs_data.cpio.gz
# make bzImage
# mount /boot

copiare il system.map e bzImage in boot e aggiornare il grub