Дополнительные базы данных
Дополнительные базы данных для ClamAV¶
Стандартные базы данных ClamAV имеют не самый высокий уровень обнаружения, но его можно повысить с помощью бесплатных или платных баз сигнатур.
Список известных бесплатных баз данных | По состоянию на апрель 2022 г.¶
- SecurityInfo — бесплатные базы ClamAV для целей тестирования, требуется регистрация, после которой их можно использовать с 1 IP-адреса.
- InterServer — бесплатные базы ClamAV, но они не очень хорошо подходят для сканирования электронной почты.
Включение баз данных SecuriteInfo¶
Действия в ClamAV¶
- Зарегистрируйте бесплатный аккаунт на https://www.securiteinfo.com/clients/customers/signup
- Вы получите электронное письмо для активации аккаунта, а затем последующее письмо с вашим логином.
- Войдите в систему и перейдите в свой личный кабинет: https://www.securiteinfo.com/clients/customers/account
- Нажмите на вкладку Setup.
- Вам нужно будет получить
your_idиз одной из ссылок для скачивания, они индивидуальны для каждого пользователя. - Добавьте в
data/conf/clamav/freshclam.conf, заменив частьyour_id:DatabaseCustomURL https://www.securiteinfo.com/get/signatures/your_id/securiteinfo.hdb DatabaseCustomURL https://www.securiteinfo.com/get/signatures/your_id/securiteinfo.ign2 DatabaseCustomURL https://www.securiteinfo.com/get/signatures/your_id/javascript.ndb DatabaseCustomURL https://www.securiteinfo.com/get/signatures/your_id/securiteinfohtml.hdb DatabaseCustomURL https://www.securiteinfo.com/get/signatures/your_id/securiteinfoascii.hdb DatabaseCustomURL https://www.securiteinfo.com/get/signatures/your_id/securiteinfoandroid.hdb DatabaseCustomURL https://www.securiteinfo.com/get/signatures/your_id/securiteinfoold.hdb DatabaseCustomURL https://www.securiteinfo.com/get/signatures/your_id/securiteinfopdf.hdb # Платные базы данных # DatabaseCustomURL https://www.securiteinfo.com/get/signatures/your_id/securiteinfo0hour.hdb # DatabaseCustomURL https://www.securiteinfo.com/get/signatures/your_id/securiteinfo.mdb # DatabaseCustomURL https://www.securiteinfo.com/get/signatures/your_id/securiteinfo.yara # DatabaseCustomURL https://www.securiteinfo.com/get/signatures/your_id/securiteinfo.pdb # DatabaseCustomURL https://www.securiteinfo.com/get/signatures/your_id/securiteinfo.wdb
Внимание
База данных SecuriteInfo spam_marketing.ndb известна большим количеством ложноположительных срабатываний, добавляйте на свой страх и риск!
-
Для бесплатных баз SecuriteInfo скорость загрузки ограничена 300 КБ/с. В файле
data/conf/clamav/freshclam.confувеличьте значение по умолчаниюReceiveTimeout 20доReceiveTimeout 90(время в секундах), иначе загрузка некоторых баз может прерваться из-за их размера. -
Приведите
data/conf/clamav/clamd.confв соответствие со следующими настройками:DetectPUA yes ExcludePUA PUA.Win.Packer ExcludePUA PUA.Win.Trojan.Packed ExcludePUA PUA.Win.Trojan.Molebox ExcludePUA PUA.Win.Packer.Upx ExcludePUA PUA.Doc.Packed MaxScanSize 150M MaxFileSize 100M MaxRecursion 40 MaxEmbeddedPE 100M MaxHTMLNormalize 50M MaxScriptNormalize 50M MaxZipTypeRcg 50M - Перезапустите контейнер ClamAV:
docker compose restart clamd-animails
docker-compose restart clamd-animails
Обратите внимание:
- Вы не можете использовать
ExcludePUAиIncludePUAвclamd.confодновременно, поэтому закомментируйте любые строкиIncludePUA, если вы раскомментировали их ранее. - Список баз данных, представленный в этом примере, подходит для большинства случаев, но SecuriteInfo предоставляет и другие базы. Дополнительную информацию можно найти в разделе FAQ на сайте SecuriteInfo.
- С текущим набором баз (включая стандартные) ClamAV будет потреблять около 1,3 ГБ оперативной памяти на вашем сервере.
- Если вы изменили
message_size_limitв Postfix, вам также необходимо адаптировать настройкиMaxSizeв ClamAV.
Действия в Rspamd¶
Внимание
Для работы следующего руководства требуется animails версии >= 2023-07, так как она включает предопределенные баллы для сигнатур SecuriteInfo!
Теперь, когда вы добавили сигнатуры ClamAV, вы заметите, что Rspamd либо не использует их должным образом, либо беспощадно помечает ВСЁ как ВИРУС.
Однако мы можем «приручить» Rspamd с помощью небольшой ручной работы, чтобы ситуация не выходила из-под контроля.
Для этого выполните следующие действия:
- Добавьте следующий код внутрь существующего блока
clamav { ... }в файлеdata/conf/rspamd/local.d/antivirus.conf:
patterns {
# Дополнительные сигнатуры (Securite), не входящие в комплект animails.
CLAM_SECI_SPAM = "^SecuriteInfo.com.Spam.*";
CLAM_SECI_JPG = "^SecuriteInfo.com.JPG.*";
CLAM_SECI_PDF = "^SecuriteInfo.com.PDF.*";
CLAM_SECI_HTML = "^SecuriteInfo.com.HTML.*";
CLAM_SECI_JS = "^SecuriteInfo.com.JS.*";
}
- После этого перезапустите Rspamd:
docker compose restart rspamd-animails
docker-compose restart rspamd-animails
Теперь Rspamd будет применять к каждой сигнатуре заданный нами вес, вместо того чтобы помечать всё со значением 2000 как ВИРУС и отклонять письмо.
Информация
Вы можете изменить веса в любое время:
data/conf/rspamd/local.d/composites.conf.
Вы также можете вручную устанавливать/настраивать строки ClamAV для регистрации.
Просто используйте схему, приведенную в antivirus.conf для Rspamd.
Важно
Обратите внимание, что файлы antivirus.conf и composites.conf могут быть перезаписаны при обновлении animails.
Включение баз данных InterServer¶
- Добавьте в
data/conf/clamav/freshclam.conf:DatabaseCustomURL http://sigs.interserver.net/interserver256.hdb DatabaseCustomURL http://sigs.interserver.net/interservertopline.db DatabaseCustomURL http://sigs.interserver.net/shell.ldb DatabaseCustomURL http://sigs.interserver.net/whitelist.fp - Перезапустите контейнер ClamAV:
docker compose restart clamd-animails
docker-compose restart clamd-animails