Acesso direto ao conteúdo

Busca
Visite também: Segurança Linux ·  UnderLinux ·  VivaOLinux ·  LinuxSecurity ·  NoticiasLinux ·  BR-Linux ·  SoftwareLivre.org ·  [mais]   
 

você está aqui: Home  → Colunistas  →  Cantinho do Shell

 

 

Buscar possíveis vírus

Por Rogério Reis

Data de Publicação: 26 de Julho de 2008

Apesar de toda a estrutura existência para evitar vírus na rede, especialmente os appliances e regras nos MTAs, usuário é usuário em qualquer lugar e sempre consegue um jeitinho de se infectar, ultimamente pelos falsos cartões virtuais.

Segue um script que fiz e coloquei no cron para rodar uma vez por dia, ele busca por arquivos com extensões perigosas (.com, .vbs, .scr, .pif) e mais podem ser adicionadas, se ele encontrar algum arquivo deste tipo, ele envia um e-mail reportando quais arquivos estão nesta condicão.

Achei útil escrever este script para o servidor de arquivos, deste modo, se algum usuário se infectar, posso identificar rapidamente quem é o mesmo, verificando o dono do arquivo.

Depende do programa sendEmail, pois alguns servidores de arquivos não possuem acesso a internet para enviar mensagens pelo comando mail. Pode ser encontrado em http://caspian.dotconf.net/menu/Software/SendEmail/

Sei que o código pode ser melhorado, quem quiser sugerir, fique à vontade. 

  #!/bin/bash
  # Anexex - script para monitorar o servidor de arquivos na busca de anexos que podem ser virus
  # Autor Rogerio Reis rogerio-reis@bol.com.br
  # Data  29/07/05
  
  # Arquivos temporarios
  cabecalho="/tmp/anexex-cab.txt"
  relat="/tmp/relat-anexex.txt"
  comp="/tmp/anexex.txt"
  relatcab="/tmp/relatcab.txt"
  
  # Cria arquivos de tempo de execucao
  > $cabecalho
  > $relat
  > $relatcab
  
  # Data
  hoje=`date`
  
  # Atualiza a base de arquivos
  #updatedb
  
  #Cabecalho do relatorio
  echo "Relatorio Anexex ---- Verifica possiveis virus na rede" >> $cabecalho
  echo "Data: $hoje" >> $cabecalho
  echo "" >> $cabecalho
  echo "" >> $cabecalho
  
  # E-mail para reportar os fatos
  email=email@dominio.com.br
  servidor=10.0.0.1 #ip do servidor de e-mails
  
  qtdpif=`locate *.pif > /tmp/qtdpif && cat /tmp/qtdpif | wc -l`
  if [ 0 -ne $qtdpif ]
  then
         echo "Encontrado arquivo com extensao .pif" >> $relat
         echo "Quantidade encontrada: $qtdpif" >> $relat
         cat /tmp/qtdpif >> $relat
         echo "" >> $relat
  fi
  
  qtdvbs=`locate *.vbs > /tmp/qtdvbs && cat /tmp/qtdvbs | wc -l`
  
  if [ 0 -ne $qtdvbs ]
  then
         echo "Encontrado arquivo com extensao .vbs" >> $relat
         echo "Quantidade encontrada: $qtdvbs" >> $relat
         cat /tmp/qtdvbs >> $relat
         echo "" >> $relat
  
  fi
  
  qtdcom=`locate *.com > /tmp/qtdcom && cat /tmp/qtdcom | wc -l`
  if [ 0 -ne $qtdcom ]
  then
         echo "Encontrado arquivo com extensao .com" >> $relat
         echo "Quantidade encontrada: $qtdcom" >> $relat
         cat /tmp/qtdcom >> $relat
         echo "" >> $relat
  fi
  
  qtdscr=`locate *.scr > /tmp/qtdscr && cat /tmp/qtdscr | wc -l`
  if [ 0 -ne $qtdscr ]
  then
         echo "Encontrado arquivo com extensao .scr" >> $relat
         echo "Quantidade encontrada: $qtdscr" >> $relat
         cat /tmp/qtdscr >> $relat
         echo "" >> $relat
  
  fi
  
  if diff $comp $relat
  then
         exit 0
  else
         # Envia e-mail reportando
         cat $cabecalho $relat > $relatcab
         cat $relatcab | /usr/local/sendEmail-v1.42/sendEmail -f anexex@dominio.com.br -t $email -s $servidor -u "Anexo Executavel"
         # Atualiza arquivo de comparacao
         cp -f $relat $comp
  fi

Veja a relação completa dos artigos da coluna Cantinho do Shell

Formato PDF
 Newsfeed RSS
 Formato para impressão
PDF RSS Imprimir
  • Currently 3.08/5
  • 1
  • 2
  • 3
  • 4
  • 5

Avaliação: 3.1 /5 (229 votos)

Para se manter atualizado sobre as novidades desta coluna, consulte sempre o newsfeed RSS

Cantinho do Shell NewsFeed RSS

Para saber mais sobre RSS, leia o artigo O Padrão RSS - A luz no fim do túnel.

Opinião dos Leitores

Iran Macedo
09 Ago 2010, 06:24
Geralmente eu uso um script como este para achar arquivos que consideramos não apropriado para um servidor da empresa, como arquivos de músicas e vídeos, coisas particulares num ambiente de produção.

Já para achar vírus, uso um script todo baseado sobre o Clamav. Neste script, faço com que o Clamav procure, ache e mova os arquivos para um diretório. De lá, eu zipo (compacto) estes arquivos, utilizando em seu nome a data que foram movidos, crio as entradas da detecção em Log e apago os arquivos originais. Desta forma, posso verificar em Log o que foi movido e, caso algum arquivo movido não seja realmente um vírus, posso ir até os arquivos zipados e recuperá-lo para seu devido lugar (o Log contem a informação de onde estes arquivos estavam anteriormente).

Não sei se já existe aqui no Cantinho do Shell algum script baseado no Clamav. Se não, poderia postá-lo para vocês.

Um abraço!
Marcopolo
26 Dez 2008, 09:36
Rogério, como posso usar esse e/ou demais scripts, por favor?

[ ]s.
*Nome:
Email:
Me notifique sobre novos comentários nessa página
Oculte meu email
*Texto:
 
  Para publicar seu comentário, digite o código contido na imagem acima
 


Powered by Scriptsmill Comments Script

Bombando o Shell - Caixa de Ferramentas Gráficas do Shell Linux></A> </div> <div align=center> <!-- <a href='http://www.idph.net/inglesonline/inscricao.shtml' target='_blank'><img src='http://www.dicas-l.com.br/imagens/InglesOnline.jpg' border='0' alt=''></a><BR><BR>--> <A HREF=http://iol.idph.com.br rel=

 

 

Procure pela casa ou apartamento ideal à venda ou para aluguel na busca inteligente do Imohoo
Buscar imóveis


Inversão de URLs