[tanya-jawab] Clamav tangkal brontok (Was Re: Menghapus banyak file dg rm)
From: Ronny Haryanto [EMAIL PROTECTED]
$ cat daftar.txt
/home/data/samba/Data/Master/Office XP/Office XP.exe
/home/data/samba/Data/Master/Office XP/FILES/MOD/MOD.exe
/home/data/samba/Data/Master/Office XP/FILES/OSP/1033/1033.exe
/home/data/samba/Data/Master/Office XP/FILES/OSP/1033/IE5/EN/EN.exe
Cara yg lazim spt ini tdk bisa:
$ for i in `cat daftar.txt`; do rm -f $i; done
Tidak bisanya kenapa? Ada message apa?
Tidak bisanya karena nama filenya mengandung spasi maka
hasilnya kayak begini (sengaja saya hilangkan option -f agar
error message dr tool rm ditampilkan):
rm: cannot remove `/home/data/samba/Data/Master/Office': No such file or
directory
rm: cannot remove `XP/Office': No such file or directory
rm: cannot remove `XP.exe': No such file or directory
...dst..
BTW, ini useless use of cat. Kalo membaca per line, harusnya pake while
dan
read lebih baik.
( while read line ; do rm -vf $line ; done ) daftar.txt
Terimakasih banyak Mas Ronny ! Soalnya ini yg saya cari.
Saya lagi ubek2 bash tutorial tapi belum ketemu juga contoh script
untuk baca file dan parsing isinya baris demi baris. Kalau ndak
ketemu juga maunya ubek2 perl, soalnya dulu lumayan pernah
belajar perl meski tdk khatam (tamat :-).
BTW, sebenarnya file ini hasil dari olahan script gotvirus.sh yg
saya buat sendiri. Script ini akan dijalankan oleh VirusEvent dari
clamav dan secara otomatis akan membuang semua virus atau file
bervirus. Seperti yg sekarang lagi ngetrend adalah virus brontok
atau dikenal di clamav sebagai Worm.Mytob.GH.
# pwd
# /usr/local/bin
# cat gotvirus.sh
/usr/bin/sleep 1
/bin/grep FOUND /var/log/clamd|/usr/bin/tail -n 50|cut -f4 -d: \
| /bin/sed 's/^ //'|/usr/bin/uniq /tmp/virus.txt
( while read line ; do rm -f $line ; done ) /tmp/virus.txt
Cuplikan isi /etc/clamd.conf
...
VirusEvent /usr/local/bin/gotvirus.sh
...
ClamukoScanOnAccess
# Set access mask for Clamuko.
# Default: disabled
#ClamukoScanOnOpen
ClamukoScanOnClose
#ClamukoScanOnExec
#
# Set the include paths (all files in them will be scanned). You can have
# multiple ClamukoIncludePath directives but each directory must be added
# in a seperate line.
# Default: disabled
ClamukoIncludePath /home/data/samba/Data
# Don't scan files larger than ClamukoMaxFileSize
# Value of 0 disables the limit.
# Default: 5M
ClamukoMaxFileSize 10M
Tentu saja agar bisa realtime file scanning, clamuko diaktifkan.
Masalahnya kalau pembersihan standar seperti ini:
..
VirusEvent /usr/bin/rm -f %f
..
Hanya satu file yg bisa kehapus lainnya (baca: duplikatnya) tetap bisa
masuk. Saya lihat di /var/log/clamd kok satu file bisa dirender oleh
clamuko beberapa kali:
Sat Jan 7 00:08:05 2006 - Clamuko: /home/data/samba/Data/yudi.exe:
Worm.Mytob.GH FOUND
Sat Jan 7 00:08:06 2006 - Clamuko: /home/data/samba/Data/yudi.exe:
Worm.Mytob.GH FOUND
Sat Jan 7 00:08:06 2006 - Clamuko: /home/data/samba/Data/yudi.exe:
Worm.Mytob.GH FOUND
...dst...
Jadi nampaknya hanya baris pertama yg mengandung nama file yg akan
dieksekusi oleh VirusEvent lainnya lewat saja (saya sdh cek dg
mengganti option rm dg mv ke suatu direktori).
Bagaimana dg rekan2 yg lain, pengalaman memakai clamav+dazuko untuk
menangkal virus brontok dimana linuxnya berfungsi sbg file server
untuk client mesin2 windows ?
FYI, linuxnya pakai slackware 10 dengan paket clamav-0.87.1-i486-1McD
dan dazuko versi 2.0.6.
Sebelum dpt pencerahan dari Mas Ronny, servernya menjalankan crontab per
menit untuk pembersihan virus secara manual dengan clamdscan.
# crontab -l
* * * * * /usr/bin/find /home/data/samba -type f -cmin -2 \
-exec /usr/bin/clamdscan --remove {} \; /dev/null 21
TIA,
~yudi
--
FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab
Unsubscribe: kirim email ke [EMAIL PROTECTED]
Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] Clamav tangkal brontok (Was Re: Menghapus banyak file dg rm)
DH Arief, Saturday, January 7, 2006, 3:01:52 PM, you wrote: AY # cat gotvirus.sh AY /usr/bin/sleep 1 AY /bin/grep FOUND /var/log/clamd|/usr/bin/tail -n 50|cut -f4 -d: \ AY | /bin/sed 's/^ //'|/usr/bin/uniq /tmp/virus.txt AY ( while read line ; do rm -f $line ; done ) /tmp/virus.txt --- nice trick :-) pasti sangat berguna buat yang lain om, bagaimana kalau dibuatkan ke sebuah mini-howto aja ? -- Best regards, ./avdhttp://www.avudz.cc -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke [EMAIL PROTECTED] Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] Clamav tangkal brontok (Was Re: Menghapus banyak file dg rm)
On Saturday 07 January 2006 19:01, Arief Yudhawarman wrote: Cara yg lazim spt ini tdk bisa: $ for i in `cat daftar.txt`; do rm -f $i; done Tidak bisanya kenapa? Ada message apa? Tidak bisanya karena nama filenya mengandung spasi maka hasilnya kayak begini (sengaja saya hilangkan option -f agar error message dr tool rm ditampilkan): rm: cannot remove `/home/data/samba/Data/Master/Office': No such file or directory rm: cannot remove `XP/Office': No such file or directory rm: cannot remove `XP.exe': No such file or directory ...dst.. Bahaya itu kalo kebetulan ada file (bukan direktori) dg nama yg sama tapi gak ingin dihapus. Kalo pake perintah2 looping gitu saya selalu test dulu dengan echo, gak langsung hajar perintahnya, apalagi kalo rm, lebih2 lagi kalo rm -f, mesti tes sampe perfect baru dijalanin. Itu karena for i in ... menganggap spasi sebagai delimiter, kecuali tiap baris dienclose dg quotation, seperti ini: file satu file dua ...dst... Kalo gak pake quotes, yg di belakang in kalo udah diexpand jadi sama seperti: for a in file satu file dua file tiga ; do ... ; done Makanya pake cat kalo bukan buat concatenate itu biasanya cenderung salah. Terimakasih banyak Mas Ronny ! Soalnya ini yg saya cari. No worries. Ronny -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke [EMAIL PROTECTED] Arsip dan info milis selengkapnya di http://linux.or.id/milis
[tanya-jawab] FW: [SA18321] Red Hat update for mod_auth_pgsql
Siapa tahu belum tahu.. :) = TITLE: Red Hat update for mod_auth_pgsql SECUNIA ADVISORY ID: SA18321 VERIFY ADVISORY: http://secunia.com/advisories/18321/ CRITICAL: Highly critical IMPACT: System access WHERE: From remote OPERATING SYSTEM: RedHat Enterprise Linux WS 4 http://secunia.com/product/4670/ RedHat Enterprise Linux WS 3 http://secunia.com/product/2536/ RedHat Enterprise Linux ES 4 http://secunia.com/product/4668/ RedHat Enterprise Linux ES 3 http://secunia.com/product/2535/ RedHat Enterprise Linux AS 4 http://secunia.com/product/4669/ RedHat Enterprise Linux AS 3 http://secunia.com/product/2534/ DESCRIPTION: Red Hat has issued an update for mod_auth_pgsql. This fixes a vulnerability, which can be exploited by malicious people to compromise a vulnerable system. For more information: SA18304 SOLUTION: Updated packages are available from Red Hat Network. http://rhn.redhat.com/ ORIGINAL ADVISORY: http://rhn.redhat.com/errata/RHSA-2006-0164.html OTHER REFERENCES: SA18304: http://secunia.com/advisories/18304/ -- -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke [EMAIL PROTECTED] Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] email kena blok otomatis
Mail server saya dulu (2005) sering nerima paris hilton, doctor, you've got, CIA, FBI mail dari salah satu mail relay Ind*sa* (kelud). Gimana neh Indosat apa gak ada sistem antispam kayak CBN, padahal katanya di punya bandwith paling gede dibanding ISP lain. Rekan2 apakah diatara kalian ada yang tahu ISP yang layananya cepat dalam upgrade bandwith. Gile brur, udah 1,5 bulan ngajuin penaikan bandwith dari 128 ke 512 lamanya minta ampun... kalau mau pindah ISP agak susah juga ya kalau udah ketergantungan ama satu ISP plus gak semua ISP kabel fibrenya nyambung ke gedung tsb... On 1/4/06, dny [EMAIL PROTECTED] wrote: biasa pengalaman saya sih yg ngeblok gara2 mta ngecek ke daftar blacklist. coba masukin ip mailserver loe kesini: -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke [EMAIL PROTECTED] Arsip dan info milis selengkapnya di http://linux.or.id/milis
