Re[2]: Re[2]: clamav-cgp

От: Varinov Nicolay <CGatePro_at_mx_ru>
Дата: Mon 14 Jan 2008 - 14:19:39 MSK

День добрый Dmitry,

Friday, January 11, 2008, 6:44:40 PM, Вы пишете:

DB> На продакшн-сервере drweb через drweb-cgp и касперский через cgpav DB> успешно такое отлавливают.

Выдрав файлик такого письма отправленного через uuencode из очереди, и ручками скормив clamav получаем, что файл не инфицирован. Но при этом письмо не является нормально МИМЕ закодированным. Вот фрагмент файла.



R W 14-01-2008 09:34:05 0000 ____ _FY_ <exch@sotcom.ru> P I 14-01-2008 09:34:05 0000 ____ ____ <nic@mx.sotcom.ru> S PIPE [0.0.0.0]
O T

Received: by mx.sotcom.ru (CommuniGate Pro PIPE 5.0.14)   with PIPE id 9525065; Mon, 14 Jan 2008 12:34:05 +0300 From: nic@mx.sotcom.ru
X-Mailer: CommuniGate Pro CLI mailer
Date: Mon, 14 Jan 2008 12:34:05 +0300
Message-ID: <auto-000009525065@mx.sotcom.ru>

begin 644 test.dat
M35I```$````"``0`__\"`$`````.````'`````````!7:6XS,B!O;FQY(0T* M)`Z
...



Если же в файле отсутствуют заголовки CGP, то такой файл ловиться без проблем, но это скорее всего не то что нам надо :) Причем если файл в нормальном Content-Type: multipart/mixed; то проблем нет, clamd все успешно ловит.

Честно говоря я не сталкивался ни разу с подобном прохождением заразы при реальной работе с clam-cgp, но это может до поры до времени.

Поэтому либо пинать писателей clamava чтобы научили его правильно для нас разбирать такие письма, либо Andy Igoshin <ai@vsu.ru> что бы поправил хелпер для в части стрима, пропуская заголовки CGP перед отдачей потока на проверка clamavу. Для метода clamava SCAN только первый вариант :( или заморачиваться с временными файлами, что гемор еже больший.

DB> Varinov Nicolay пишет:
>> День добрый Sergey,
>>
>> Friday, January 11, 2008, 3:12:38 PM, Вы пишете:
>>
>> SC> На Fri, 11 Jan 2008 15:09:53 +0300
>> SC> "Dmitry Baronov" <CGatePro@mx.ru> записано:
>> ...
>>>> а по факту сессии с clamd не происходит. Чудеса.
>>
>> SC> Это не чудеса, это глюк. :)
>>
>> Только вот чей, я как ни пытался отправить висусочек себе таким
>> методом
>> uuencode /var/CommuniGate/elcar.com Test.dat| mail -s 'Testing' root
>> он ПРОХОДИТ.
>>
>> Толи mail из CGP не правильно формирует письмо, (но в клиенте все в
>> норме вложение есть), толи clamav не понимает или не разбирает
>> правильно вложение в
>> Content-Type: application/octet-stream;
>> name="test.dat"
>> Content-Transfer-Encoding: x-uuencode
>>
>> Но если я беру письмецо из карантина с реальным вирусом правлю хедеры
>> на себя и ручками в Submited, то все работает нормально, вирус
>> находиться и прибивается.
>> Также все ловиться, если я сохраню вложение пришедшее мне посылкой с
>> uuencode и пересылаю его ручками из клиента и в Base64 и UU.
>> Но C-T другое совсем
>>
>> UU
>> Content-Type: application/x-msdownload;
>> name="test.exe"
>> Content-transfer-encoding: x-uue
>> Content-Disposition: attachment;
>> filename="test.exe"
>> Base64
>> Content-Type: application/x-msdownload;
>> name="test.exe"
>> Content-transfer-encoding: base64
>> Content-Disposition: attachment;
>> filename="test.exe"
>>
>> Так что думаю для начала надо проверить по другому например из
>> клиента.
>>
>> ------------------------
>> С наилучшими пожеланиями
>> Николай Варинов.
>> ------------------------
>>
>>



С наилучшими пожеланиями
Николай Варинов.
Получено Mon Jan 14 11:19:49 2008

Этот архив был сгенерирован hypermail 2.1.8 : Fri 24 Apr 2015 - 16:15:57 MSK