004
19.07.2008, 17:36 Uhr
redled
|
Viele ungebetene Gäste fängt man sich über kompromittierte Systeme(Webserver), über das Web ein. Die Spamer setzen gleichermaßen auf Botnetzwerke über HTTP, FTP und SMTP. Da nützt auch ein Linux-Router nüschte, selbst wenn er lediglich Port 80 offen hat. Eine Botdrohne bekommt keine Angst, wenn sie einen Linuxrechner siehst...
Den Emailspam + angehängte Türaufschließer(Trojaner, Downloader, Root-Kits) begegnet man am besten mit einem Unixsystem(Router) + SMTP nach Geschmack und einem durchdachten SPAM-, Content-, Virenfilter, der möglichst nicht als ganzes Paket, wie Amavis kommt, und mehrere fall back besitzt. Selbstbau ist das Schlüsselwort. Spamer müssen erst die Struktur kennen, um ihren Müll vorbeizuschleusen.
Mein System zB. ruft alle 10min sämtliche Emailaccounts ab(mit fetchmail) und prüft schon vor dem Abruf der Mails mittels regulärer Ausdrücke(mailfilter) alle Mails beim Provider. Wird Spam oder ein verdächtiger Sender gefunden, so werden die Mails gleich vom Sever gelöscht. Was übrig bleibt, landet im SMTP (Postfix) und wird im nächsten Schritt Spamassassin zugeführt. Dieser wurde umfangreich erweitert (DCC, Razor, Pyzor, iXHash, FuzzyOcr etc.) und filtert mir zuverlässig sämtlichen Spam raus. Die Bayes befindet sich in einer MySQL-DB, die AWL ebenfalls und sollte vernünftig trainiert sein. Über eine Pipe wird vor dem eigentlichen Filterprozess, die Mail noch an "Anomy sanitizer" geleitet. Das Teil(basiert auf regulären Ausdrücken) schaut sich besonders den Header und die Mime-Typen von Mails genau an und schreibt diese geg. um. Man kann damit zB. HTML und Javascript und auch bestimmte Datein entfernen lassen, zB. .exe, .com. Hat es die Mail bis hierher geschafft, so folgt nun noch ein Virenscan mittels ClamSMTP (eine Schnittstelle zwischen Postfix und ClamAV). Dann wird der traurige aber saubere Rest der Mails einem lokalen Mailkonto zugeführt, daß ich mittels Outlook abfrage. Überwacht wird das Postfach mit GKrellM auf dem XP-Client.
Das ganze wurde auch gestrickt, da die Provider meiner Meinung nach bestimmte Spammails durchsickern lassen. Pokerspam zB. Nun können die mich mal 
Der SMTP selbst verwendet doppeltes Greylisting, eines mit Gewichtung, ähnlich wie bei Spamassassin.
Das zweite Zauberwort heisst Echtzeit-HTTP-Content-Filterung zB. mittels HAVP
+ Squid + Privoxy. Mit Privoxy kann man ganz ausgezeichnet Adware und Popup-Generve blocken! Und nebenbei noch Referrer bzw. die Browserkennung verschleiern. Wer in das Modemzeitalter zurückversetzt werden möchte und sich von den Anonymdummschwätzern anstecken lassen hat, baut noch TOR in die Proxykette ein. Doch Vorsicht! Einige Seiten und auch ich verbieten TOR. Auf unserem Webprojekt werden sämtliche HTTP-Zugriffe über TOR geblockt. Torserverbetreiber und Nutzer landen über die Applikationsfirewall im Apachen auf den IPtables. Die Applikationsfirewall filtert auch die Botnetzwerkdrohnen bzw. Spamschleudern, Rootkitangriffe sowie andere böse Buben, die mit der Giftspritze unterwegs sind.
Für FTP bietet sich FROX an, ein Virenscanner der in Verbindung mit ClamAV gute Dienste leistet.
Sambafreigaben schützt man zB. mittels samba-vscan und ClamAV.
Der ganze Kram findet auf einer Linuxgurke ein Zuhause, die gleichzeitig Router, Firewall ist. Am besten mit eigens gebastelten Kernel.
Wie man sieht, ist das Thema sehr komplex. Der Vierenscanner/Adwarescanner auf dem XP-Client hält natürlich auch einige Plagegeister fern. Das nervige an der Geschichte sind nur die enormen Systemresourcen, die die Teile schlucken und die Gefahr, daß ein Trojaner die Dinger aushebelt. Und das passiert oft. Dann hat man einen doppelt lahmen 3GHz Rechner, der ein Zombie(Bot) ist.
Meine Devise lautet: Den Müll gar nicht erst bis in das Arbeitssystem/Betriebssystem vordringen lassen! Dazu benötigt man aber ein zweites System. Hier reicht schon ein PIII-700 dicke! Alles andere ist Flickerei. Ich will keine Bremsen auf meinen Arbeitsrechner. Und will auch nicht ständig durch Ausreden der Antispywareprogrammierer von der Arbeit abgelenkt werden und keine schlaflosen Nächte mit Säuberungsaktionen verbringen. Ich will meine Ruhe, basta. Derweil stopft die Firewall im Hintergrund die nächste Spammail in die Tonne und lernt auch noch autonom dazu.
Der wohl wichtigste Punkt ist jedoch VERNUNFT. Nicht alles anklicken, was blinkt.
Keine P.or.no-seiten! Keine Onlinepokerspielchen. Keine Gewinnspiele.
Interessant wäre zu wissen, welche Seite Du vorher besucht hast?
Gruss Rico
Dieser Beitrag wurde am 19.07.2008 um 17:51 Uhr von redled editiert. |
Es kommt auch vor, dass der Rechner sehr langsam wird, das Starten eines Programms kann dann bis zu einer Minute dauern!
