PDA

Bekijk Volledige Versie : Virussen in users pop/imap emails



peps03
08/12/14, 22:08
Ik heb een user op een vps die regelmatig wat virussen in zijn email heeft zitten (pop/imap).

Kan dit kwaad voor een Linux (CentOS 6.5) systeem?
Wat doen jullie met deze virussen?
Wat doen jullie met zulke users?

Dank!

xentos
09/12/14, 13:07
Dit kan geen kwaad voor jou alleen het gebruiker. Nirmaal gesproken is het slim om ervoor te zorgen dat inhoud van emails gescanned wordt met ClamAV. Normaliter gebeurd het door een third-party en is het daarom waarschijnlijk ook slim spamassassin standaard te configureren.

peps03
09/12/14, 17:13
xentos, dank voor je reply! Wat bedoel je met: "Normaliter gebeurd het door een third-party"

Maar goed nieuws. Is het aan te raden ClamAv in te stellen naast Spamassassin?
Spamassassin is wel geïnstalleerd namelijk. Een aantal virussen zat in de spam folder, een aantal in de inbox. Wat zijn goede/veilige waarden om aan te houden?

xentos
09/12/14, 23:40
peps03 Er is meestal een reden waarom je virussen ontvangt, dit gebeurd waarschijnlijk door een crawler of een groot email lijst. Deze wordt van buitenaf gestuurd om degene te infecteren met een virus.

Spamassassin is niet bedoeld als een vervanging van een virusscan. Dus raad ik je aan om ClamAV voor email aan te zetten.

Waarde heb ik geen idee, en denk tussen 3 en 10? maar kan hier geen definitief antwoord op geven. Ligt aan de voorkeur, probeer het uit en begin niet te laag, natuurlijk let ook op je spam folder tijdens het testen.

cyrano
10/12/14, 01:15
Dit kan geen kwaad voor jou alleen het gebruiker.

Waarom zie ik dan de laatste tijd meer en meer mail passeren met links naar Linux malware (en niks anders) of malware als attachment?

Idiote script-kiddies? Of is er een mogelijkheid om vanuit de mailserver/mailbox over te wippen naar...?

systemdeveloper
10/12/14, 10:05
Waarom zie ik dan de laatste tijd meer en meer mail passeren met links naar Linux malware (en niks anders) of malware als attachment?

Idiote script-kiddies? Of is er een mogelijkheid om vanuit de mailserver/mailbox over te wippen naar...?

Het is natuurlijk nooit 100% te zeggen... daar zijn het virussen/mallware voor. In theorie kan een stukje mallware gebruik maken van een exploit in spamassassin/clamav/webmail maar mogelijk ook een race condition gebruiken als de mail ergens in de clamav temp dir staat op het moment dat ie gescanned wordt.

peps03
10/12/14, 14:16
Dus altijd clamAV draaien? Gebruikt wel redelijk wat resources las ik.. Of niet gebruiken, omdat die virussen op Linux "toch" geen kwaad kunnen?

Wat doen jullie:
Handmatig virussen wel/niet verwijderen? (Had het virus gedetecteerd in een backup van de user, server draait (nog) geen ClamAV).
User op de hoogte stellen (is al de derde keer)? Suspenden? Iets anders?

cyrano
10/12/14, 17:08
Het is natuurlijk nooit 100% te zeggen... daar zijn het virussen/mallware voor. In theorie kan een stukje mallware gebruik maken van een exploit in spamassassin/clamav/webmail maar mogelijk ook een race condition gebruiken als de mail ergens in de clamav temp dir staat op het moment dat ie gescanned wordt.

Het is een verschijnsel van de laatste maand. ClamAV doet daar niks aan, natuurlijk want 't zijn alleen links. En van de enkele attachments die ik kon vangen werd ik ook niet wijzer. Voorlopig hou ik 't op script-kiddies, want ik kan er geen enkele exploit aan koppelen. En 't is alweer gestopt de laatste week.

Ik heb enkele links gevolgd en die gingen naar gekaapte servers in Italië, Zwitserland en Frankrijk. Maar die waren door de hoster al offline gehaald. Dus daar heb ik ook niks kunnen oogsten.

cyrano
10/12/14, 17:11
Dus altijd clamAV draaien? Gebruikt wel redelijk wat resources las ik.. Of niet gebruiken, omdat die virussen op Linux "toch" geen kwaad kunnen?

Dat klopt als een bus. Je kan er niet veel tegen doen en AV kost wat CPU. Maar beschouw Linux zeker niet als onkwetsbaar.


Wat doen jullie:
Handmatig virussen wel/niet verwijderen? (Had het virus gedetecteerd in een backup van de user, server draait (nog) geen ClamAV).
User op de hoogte stellen (is al de derde keer)? Suspenden? Iets anders?

Hoe weet je dat die user virussen "heeft" als je geen AV draait? En krijgt hij die binnen of verstuurt hij die?

Aan inkomende mail kan de user niks doen. Uitgaande wel...

systemdeveloper
10/12/14, 17:16
Het is een verschijnsel van de laatste maand. ClamAV doet daar niks aan, natuurlijk want 't zijn alleen links. En van de enkele attachments die ik kon vangen werd ik ook niet wijzer. Voorlopig hou ik 't op script-kiddies, want ik kan er geen enkele exploit aan koppelen. En 't is alweer gestopt de laatste week.

Ik heb enkele links gevolgd en die gingen naar gekaapte servers in Italië, Zwitserland en Frankrijk. Maar die waren door de hoster al offline gehaald. Dus daar heb ik ook niks kunnen oogsten.

Er is natuurlijk wel een groot verschil tussen een virus in de mail of een link naar een site. Alleen links hoef je je niet druk over te maken. Daar moet de klant zich maar tegen wapenen met 'Intelligentie 1.0', siteadvisor, malwarebytes of zo.

cyrano
10/12/14, 17:22
Er is natuurlijk wel een groot verschil tussen een virus in de mail of een link naar een site. Alleen links hoef je je niet druk over te maken. Daar moet de klant zich maar tegen wapenen met 'Intelligentie 1.0', siteadvisor, malwarebytes of zo.

Yep. Maar 't zag er zo nutteloos uit dat ik nieuwsgierig werd ;-)

systemdeveloper
10/12/14, 17:39
Yep. Maar 't zag er zo nutteloos uit dat ik nieuwsgierig werd ;-)

Ah joh, gewoon op klikken en kijken wat gebeurd ;)

peps03
10/12/14, 17:45
Dat klopt als een bus. Je kan er niet veel tegen doen en AV kost wat CPU. Maar beschouw Linux zeker niet als onkwetsbaar.



Hoe weet je dat die user virussen "heeft" als je geen AV draait? En krijgt hij die binnen of verstuurt hij die?

Aan inkomende mail kan de user niks doen. Uitgaande wel...

De off-server backups worden gescanned op virussen, vandaar. Scheelt weer cpu ;)

cyrano
10/12/14, 21:55
Ah joh, gewoon op klikken en kijken wat gebeurd ;)

Dat is wat ik gedaan heb ;-)

Wel vanuit een VM, natuurlijk. En die is daarna getrashed. Ik vind het interessanter om dat met een echte browser te doen, dan met wget, curl of zo.

Hoanne
11/12/14, 14:28
Je zou ook maldet(link (https://www.rfxn.com/projects/linux-malware-detect/)) kunnen gebruiken. Deze kan je instellen om alleen de user dirs te scannen op malware en virussen.

peps03
11/12/14, 19:24
Maar wat doen jullie met users die virussen in de mail hebben?

systemdeveloper
11/12/14, 20:37
Maar wat doen jullie met users die virussen in de mail hebben?

Niks... wat wil je doen met een klant die troep van een derde krijgt?

Hopen dat ie zelf verstandig genoeg is om ook een virusscanner te gebruiken en niet overal op te klikken.

peps03
11/12/14, 21:07
Oke. Ja goeie vraag. Hoogstens verwijderen...
Dus opruimen met clamav of maldet kan, maar het veroorzaakt geen ellende voor de server als je het in de inbox van de user laat zitten?

cyrano
12/12/14, 01:07
Oke. Ja goeie vraag. Hoogstens verwijderen...
Dus opruimen met clamav of maldet kan, maar het veroorzaakt geen ellende voor de server als je het in de inbox van de user laat zitten?

Ik doe dat heel soms ook, nl. als de klant daarom vraagt, maar eigenlijk is 't niet wettelijk toegelaten.

Stel dat hetgene je verwijdert bv. een pdf in attachment is, die besmet is. Jij denkt dat het goed is dat die verwijderd is. Klant ziet de pdf dus niet meer, maar krijgt eventueel een melding dat de AV oplossing het attachment verwijderd heeft.

Wat als de pdf een belangrijke boodschap is die bv. ingang van een termijn van verzet aangeeft? Je klant weet van niks meer en de periode van verzet verstrijkt. De andere partij neemt natuurlijk pas terug contact op met je klant als die periode verstreken is, en dan is het voor je klant te laat om nog verzet aan te tekenen. En dat speelt al vanaf een simpele factuur.

Je moet mail nog steeds als "post" zien, want het heeft dezelfde wettelijke status. Zelfs al zou je een virus kunnen strippen zonder de boodschap aan te tasten (wat IMHO niet te automatiseren is), ben je verkeerd bezig. En als je als admin de boodschap bekijkt om te zien of je 't wel goed gedaan hebt, ben je wettelijk nog "verkeerder", gezien privacy regels.

Het enige wat je kan doen, is doorsturen, tenzij je als admin gemachtigd bent (het is bv. je eigen bedrijfsserver en je job inhoud specifieert dat het je taak is dat na te kijken).

Ik denk niet dat de rechtbank rekening houdt met "onze AV scanner heeft dat tegengehouden" als argument. "De hond heeft het opgegeten" klinkt nl. even goed, of even slecht. Uitgaande mail daarentegen, kan je eventueel terugsturen, maar ook dat kan wel eens verkeerd uitdraaien, bv. als je klant net voor 't verlof nog een dringend mailtje verstuurt.

systemdeveloper
12/12/14, 01:52
Nou, dat is wat kort door de bocht. Een virusscanner of spamfilter mag gerust mail tegenhouden of strippen van schadelijke onderdelen. Zelfs als er een false positive zou zijn.
Maar zelf mag je er niet in rondneuzen aangezien je dan op het gebied van privacywetgeving begeeft. En dat is met de gangbare geautomatiseerde tools niet van toepassing. (antispam, antivirus, spf, dkim, rbl's etc.)

cyrano
13/12/14, 23:13
Zo heel kort is het niet. Wij hebben hier al jaren aangetekende mail. Geen kat die 't gebruikt, maar in theorie kan het...

systemdeveloper
13/12/14, 23:57
Zo heel kort is het niet. Wij hebben hier al jaren aangetekende mail. Geen kat die 't gebruikt, maar in theorie kan het...

Jij zegt dat het wettelijk niet toegestaan is om emails te scannen op virussen of spam en eventueel op basis daarvan tegen te houden, als ik je post goed lees?

Maar er is ooit iets geweest tussen xs4all en een spammer, waarbij xs4all de spammer blokkeerde. In de hoge raad slaagde daarbij het beroep op eigendomsrecht (mijn servers -> mijn regels). Is wel alweer een tijdje terug, maar voor zover ik weet is dat niet anders nu.

cyrano
14/12/14, 06:54
Ik weet niet hoe 't in Nederland zit. En soms is het hier nog vager dan Kafka.

Jaren geleden, toen aangetekende mail hier nog nieuw was en er nog reclame werd voor gemaakt, heeft m'n bedrijf er problemen mee gehad. Dat in 't kader van NDA's, outsourcing, en, vooral, de kosten van ontslagen. Wat me daarvan blijven hangen is, is dat het een beetje een juridisch vacuum is.

De wet voorziet bv. ook niet wat de aansprakelijkheid is als gewone aangetekende post niet aankomt. Iets wat wij voorgehad hebben en wat nogal wat kosten veroorzaakt heeft. Wij hebben toen een briefing gekregen van een advocaten kantoor en daarvan was kort samengevat de boodschap dat alles wat voor post geldt, ook voor email geldt.

Zeker wat betreft privacy, maar ook wat betreft termijnen e.d. Als beheerder van de mail heb ik daarvan onthouden dat het niet zo simpel is van "virus = mail weg". En vooral dat mogelijk een mail admin zelf hoofdelijk verantwoordelijk kan gesteld worden. Al wat de baas daarvoor moet doen, is aangeven dat hij 't zelf technisch allemaal niet snapt. Vermoedelijk overdrijven die advocaten een beetje, maar onder 't motto "IANAL" ben ik toch wel wat voorzichtiger geworden.

In de praktijk is 't me nooit overkomen. Maar gezien de kosten van het falen van de gewone post toen heb ik toen een paar wijzingen aangebracht. Ik strip nu geen virussen, maar vertraag de mail één uur en stuur een waarschuwingsbericht, samen met een gestripte versie van de virus mail. Pas een uur later wordt de virusmail ongewijzigd doorgestuurd. Volgens onze advocaten zou dat als "veilig voor de rechtbank" moeten gelden. In acute gevallen (wat nog nooit voorgekomen is), zou ik zelfs eerst even bellen. En veel hangt af van volume van je mail en belangrijkheid, natuurlijk.

systemdeveloper
14/12/14, 10:44
Mja, als iemand een bombrief stuurt met de post en die wordt ontdekt, gaan ze hier toch echt niet een waarschuwing sturen en een uur later de bombrief alsnog bezorgen.

Je moet ook maar weten dat de klant die waarschuwing leest natuurlijk. Want een uur later staat de virusmail toch boven die waarschuwing in zijn mailbox.

Ik scan iig en virussen worden gestript (als ze gedetecteerd worden) waarna de mail met een tekst bijlage doorgestuurd wordt (eigenlijk gewoon de standaard manier).
En geen advocaat gaat me op andere gedachten brengen :)