Win32 email virusleri ile ilgili yaşanan sIkIntIlari buyuk olcude hafifleten, basit ve seffaf bir anti-virus gatwway uygulamasi olan p3scan ile ilgili asagidaki dokumani hazirladim.

Kendi posta sunucusuna sahip sirketler artik vazgecilmez olarak MTA + anti virus + anti spam uygulamasini beraber kullaniyor.Ancak kullanicilarin Internet uzerindeki baska smtp/pop3 hesaplarindan mesajlarini indirmeleri buyuk problemler yaratiyor.

Bu sebeple simdiye kadar sistem yoneticileri dIs posta sunucularina erisimi engelemek yoluyla tedbir almak zorunda kayiyor, yada baska isletim sistemi calisan terminallere bir antivirus yazilimi yuklenmek zorunda kaliyordu.

p3scan, ozellikle guvenlik duvarlarinda olmasi gereken, ic aga, dis pop3 sunucularindan indirilecek e-postalari virus denetiminden gecirmek icin kulllanilacak faydali bir uygulama. Guvenlik duvari uzerinde ‘seffaf’ olarak calistigindan kullanicilarda herhangi bir extra ayar yapmak gerekmiyor. Squid transparent proxy ‘de oldugu gibi yine iptables kurali ile devreye alinip devreden cikartilabiliyor

Uygulama web adresi http://p3scan.sourceforge.net/ detayli bilgi bulunabilir. Uygulamanin cesitli distrolar icin hazirlanmis .rpm ve .deb paketleri de http://sourceforge.net/projects/p3scan/ adresinden indirilebilir. Debian kullanicilari da apt repolarinda olmasi lazim.

Asagida, p3scan ile clamav ‘yi birlikte nasil calistiracagimizi anlatacagim. p3scan clamav disinda ticari birkac anti-virus yazilimini da desteklemektedir.

1 **Gereksinimler**

Sisteminizde muhakkak iptables kurulu olmaldir. Bunu disinda kernel konfigurasyonunuzda asagidaki parametrelerin acik olduguna emin olunuz:

   -CONFIG_NETFILTER=y
   -CONFIG_IP_NF_IPTABLES=[y/m]
   -CONFIG_IP_NF_TARGET_REDIRECT=[y/m]

2 ** Kurulum **

• http://sourceforge.net/projects/p3scan/ adresinden programin 2.1 versiyonu indirip kurun. Adreste celisti donanimlar icin derlenmis RPM’leri mevcut. Debian kullanicilari da apt repolarini arayabilirler

• clamav ve clamd ‘yi kurun. Redhat/Fedora kullanıcıları DAG ‘in arşivinden indirebilirler.

Eger Dag reponuz kurulu degilse,

rpm --import http://dag.wieers.com/packages/RPM-GPG-KEY.dag.t

yapin sonra, /etc/rc.d/yum.conf.d dizininde dag.repo diye bir dosya oluşturun. İçine:

[dag]
name=Dag RPM Repository for Fedora Core
baseurl=http://apt.sw.be/fedora/$releasever/en/$basearch/dag
gpgcheck=1
enabled=1

[dag]
name=Dag RPM Repository for Red Hat Enterprise Linux
baseurl=http://apt.sw.be/redhat/el$releasever/en/$basearch/dag
gpgcheck=1
enabled=1

[dag]
name=Dag RPM Repository for older Red Hat Linux
baseurl=http://apt.sw.be/redhat/$releasever/en/$basearch/dag
gpgcheck=1
enabled=1

satirlarini ekleyin. En son yum install clam* yapiniz. Clamav ‘nin yeni surumleri ciktikca yum update clamd* yapabilirsiniz.

1. Konfigurasyon

Programlari kurduktan sonra p3scan ‘e clamav ile nasil calisacaginin konfigurasyonunu yapmamiz lazim.

a. p3scan konfigurasyonu: Konfigurasyona baslamadan once /etc/p3scan/p3scan.conf.sample dosyasisini etc/p3scan/p3scan.conf olarak kopyalayin ve en sevdiginiz text editoru ile dosyayi acin.

clamav ve p3scan ‘in kullanici tanimlarinin ayni olmasi gerekiyor. O yuzden

# user = mail   satirindaki # 'i kaldirip
user = clamav

olarak değiştirin.

Virusdir olarak diskinizde bos alani secin. Virus saldirilarinda oldukca dolabiliyor. Ondeger olarak /var/spool/p3scan geliyor. Bu dizininde belirleyin ve baska bir ekranda dizinin kullanici yetkilerini clamav yapalim.

chown -R clamav:clamav  /var/spool/p3scan
chmod -R 700 /var/spool/p3scan

Komutu isimizi gorecektir.p3scan.conf dosyasinda Clam anti virus icin asagidaki tanimlari da yapip dosyayi kaydedelim.

scannertype = basic
scanner = /usr/bin/clamdscan --no-summary

Ayni sekilde ayar dosyasinda degisik parametler icin inceleyiniz. Orada regular expression kullanan bir filtre de yapilandirabilirsiniz.

b. Clamav ayarlari: /etc/clamd.conf dosyasini acın ve içinde

ScanMail

satirinin etkinlesirilmis oldugunu kontorl edin.

3. Programlarin Calistirilmasi:

Once clamav ‘yi ‘freshclam’ komutu ile guncelleyin. Ardindan /etc/init.d/clamd start ve /etc/init.d/p3scan start komutlarını kullanarak uygulamarı çalıştırın.

tail -f /var/log/messages komutunu kullanarak, herseyin duzgun baslamis oldugunu kontrol edebilirsiniz. Hersey duzgun ise p3scan 8110 nolu portta çalışmaya başlayacaktır.

Uygulamari sisteminize uygun baslangıç konfigürasyonlarına eklemeyi unutmayın.

4. Intercept

Artik seffaf virus tarayicimiz devreye girmeye hazır. Aşağıdaki iptables kuralını, korumak istediğimiz ağin interface tanımı ile çalıstıralım.

iptables -t nat -A PREROUTING -p tcp -i eth0 --dport pop3 -j REDIRECT --to 8110

Bu şekilde dışarı doğru yapılmak istenen tüm pop3 bağlantılarını yakalayıp p3scan ‘a yönlendirmiş olacağızz. Bu komutu güvenlik duvarı baslangıcında etkin hale getirmek icin

iptables-save > /etc/sysconfig/iptables komutunu calistirabilirsiniz.

Artik dis posta sunucusuna baglanmak icin e-posta istemcinizi calistirip deneme yapabiliriz. Eger bir problem yoksa mailler istemcinize eskisi gibi gelecektir. p3scan aktivitesini yine /var/log/messages icinden takip edebilirsiniz.

5. Test

Kendinize bir virus mail atip deneyebiliriz. Bunun icin http://www.eicar.com adresinden bir anti-virus-test-string iceren bir dosyayi sisteminize kaydedin. http://www.eicar.com/anti_virus_test_file.htm adresinden eicar.com yada eicar.zip dosylarini dış posta sunucunuza gonderin ve pop3 istemciniz ile indirmeye calisin.

Eger aşağıdaki gibi bir mesaj alırsanız, p3scan kurulumunuz problemsiz çalışyordur.

Hello %USERNAME%.
This message body was generated automatically from P3Scan, which runs on
%HOSTNAME%.%DOMAINNAME% for scanning all incoming email.

It replaces the body of a message sent to you that contained a VIRUS!

Instead of the infected email this message has been sent to you.

You may look at the message header of this message for the complete
email <header information of the infected message.

Virus name:
    %VIRUSNAME%
(Supposed) Sender of the email:
    %MAILFROM%
Sent To:
    %MAILTO%
On Date:
    %MAILDATE%
Subject:
    %SUBJECT%
Connection data:
    POP3 from %CLIENTIP%:%CLIENTPORT% to %SERVERIP%:%SERVERPORT%
Message File:
    %P3SCANID%
--
%PROGNAME% %VERSION%
by Jack S. Lai <laitcg@cox.net>

Ps: Bu dosyayi yine /etc/p3scan/ dizini altinda p3scan-en.mail dosyasindan yerellestirebilir, icerigini kendiniz belirleyebilirsiniz.

Hepinize virussuz gunler..