[Gelöst] Copfilter dreht durch...

Dieses Forum ist für alle Copfilter support Anfragen in Deutsch.
Fast.Edi
Posts: 13
Joined: 08 Apr 2010 19:37

[Gelöst] Copfilter dreht durch...

Post by Fast.Edi » 08 Apr 2010 19:51

Hallo.
Seit ich gestern das Upgrade wie hier weiter unten beschrieben ausgeführt habe, bombardiert mich der Copfilter (bzw. der Antivirus) mit Virenwarnungen.
Keine Mail (aus vertrauenswürdigen Quellen, ohne Anhänge) kam mehr durch.
Ich hatte gerade ca. 300 Warnungen im Postfach und musste jetzt den Copfilter komplett abschalten, damit ich die Registrierungsmail von hier empfangen kann.

Hier die Mail, die immer gleich lautet:

Code: Select all

Copfilter hat einen Virus in einer an Sie gesendeten Mail gefunden (POP3)!
Anstatt der verseuchten Mail erhalten Sie diesen Hinweis.


Virus-Name: At least one suspicious object was found. (gefunden durch F-PROT)
Anhang: /var/log/copfilter/default/opt/p3scan/tmp/children/16888/p3scan.4bb9ro

Absender**:    xxx@yyy.de xxx@yyy.de 
Empfaenger:  xxx@yyy.de xxx@yyy.de 
Betreff:     advproxy.cgi aliases.cgi backup.cgi changepw.cgi chpasswd.cgi clamst
Datum:        Thu, 08 Apr 2010 18:35:52 +0200
Server:      81.xxx.xxx.xxx:110
Client:      192.168.178.208:44353
Email-Datei:  p3scan.4bb9ro
gescannt auf:  ipcop

Diese Mail wurde nicht zwischengespeichert.
** Bitte nehmen Sie zur Kenntnis, dass die Absende-Adresse gefaelscht sein koennte!

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

Header der Original-Nachricht:

X-Copfilter:Sender is in whitelist, skipped SpamAssassin
X-Filtered-With: Copfilter Version 0.84beta4 (P3Scan 2.2.1)
X-Copfilter-Virus-Scanned: ClamAV 0.96
X-Copfilter-Virus-Scanned: F-PROT 6.2.1.4252 - Engine 4.4.4.56 - Virusdatabase Apr 7 14:50
X-Envelope-From: <xxx@yyy.de>
X-Envelope-To: <xxx@yyy.de>
X-Delivery-Time: 1270747332
X-UID: 2289
Return-Path: <xxx@yyy.de>
X-Authentication-Results: mailin.webmailer.de (voltan mi42) (RZmta 23.0)
        header.Sender=yyy.de;
        dkim=pass
X-RZG-CLASS-ID: mi
Received: from mo-p00-ob.rzone.de ([81.169.146.161])
        by mailin.webmailer.de (voltan mi42) (RZmta 23.0)
        with ESMTP id I01b30m38GsTYk for <xxx@yyy.de>;
        Thu, 8 Apr 2010 19:10:15 +0200 (MEST)
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; t=1270746615; l=3878;
        s=domk; d=yyy.de;
        h=Content-Type:MIME-Version:Date:Subject:To:From:X-RZG-CLASS-ID:
        X-RZG-AUTH;
        bh=xm976zFHYVObdIbAOqL79BGrZ7E=;
        b=B3CKz4JDg3D0TEojew23M1jnY+7E4WX0S33rB9nVv1nEYkr4gUHqUIDvip8uWqiSlHy
        i4hGDsoNQ05CM9GWP7EdClZkldKkt/aL/uAvrckucnvzY8g0XE622Xw/0DAfZ8afDOinh
        uH0YNIaQwHun/RZxYJXUbdqQtM7kbpL3fpA=
X-RZG-AUTH: :J2MKYUGjb98eFCgNH5UXhjviz6btCrhj9U82q45qp4AkuFRkpuN6KMhdASF5GhJv0Nc=
X-RZG-CLASS-ID: mo00
Received: from ipcop
        (HSI-KBW-078-xxx-xxx-xxx.hsi4.kabel-badenwuerttemberg.de [XX.XX.XXX.XXXX])
        by post.strato.de (mrclete mo14) (RZmta 23.0)
        with ESMTP id d0091fm38GxS9e for <xxx@yyy.de>;
        Thu, 8 Apr 2010 19:10:14 +0200 (MEST)
Message-ID: <423045.64066896-sendEmail@ipcop>
From: "xxx@yyy.de" <xxx@yyy.de>
To: "xxx@yyy.de" <xxx@yyy.de>
Subject: *** VIRUS: At least one suspicious object was found. in POP3 *** COPY - advproxy.cgi aliases.cgi backup.cgi changepw.cgi chpasswd.cgi clamst
Date: Thu, 8 Apr 2010 16:18:20 +0000 (GMT)
X-Mailer: sendEmail-1.52
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----MIME delimiter for sendEmail-660918.476599367"
X-P3Scan: Version 2.2.1 by <ddd@sss.net>/<ddd@sss.de>

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Filtered-With-Copfilter: Version 0.84beta4 (P3Scan 2.2.1)
Copfilter-Virus-Scanned: ClamAV 0.96
Copfilter-Virus-Scanned: F-PROT 6.2.1.4252 - Engine 4.4.4.56 - Virusdatabase Apr 7 14:50
by Markus Madlener @ http://www.copfilter.org

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
P3Scan 2.2.1  (modified by Markus Madlener for Copfilter) 
by Jack S. Lai <laitcg@cox.net>


=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Filtered-With-Copfilter: Version 0.84beta4 (P3Scan 2.2.1)
Copfilter-Virus-Scanned: ClamAV 0.96/10716/Thu Apr  8 04:01:36 2010
by Markus Madlener @ http://www.copfilter.org
Kann mir da jemand einen Tip geben?

Gruß

Fast Edi
Last edited by Fast.Edi on 15 Apr 2010 20:54, edited 2 times in total.

Severus
Site Admin
Posts: 457
Joined: 10 Dec 2009 07:01
Location: Nürnberg - Germany

Re: Copfilter dreht durch...

Post by Severus » 08 Apr 2010 19:57

Hi schneller Edi,
bitte mal F-Prot deaktivieren und testen.
Außerdem bitte im Forum keine echten Adressen oder IP's angeben. Könnten mißbraucht werden, da das Forum ja jeder lesen kann!

Severus

Boarder
Posts: 47
Joined: 17 Dec 2009 08:54

Re: Copfilter dreht durch...

Post by Boarder » 08 Apr 2010 20:00

Hi, mal so vorweg.

Ist dieser Teil auch immer gleich?

Code: Select all

Received: from mo-pXX-ob.XXXXX.de ([XX.XXX.XXX.XXX])
        by maXXX.webXXXX.de (voltan mi42) (RZmta 23.0)
        with ESMTP id I01b30m38GsTYk for <XXXXXX>;
        Thu, 8 Apr 2010 19:10:15 +0200 (MEST)
Grüße Boarder

Fast.Edi
Posts: 13
Joined: 08 Apr 2010 19:37

Re: Copfilter dreht durch...

Post by Fast.Edi » 08 Apr 2010 20:21

Hallo.
Severus wrote: bitte mal F-Prot deaktivieren und testen.
Außerdem bitte im Forum keine echten Adressen oder IP's angeben. Könnten mißbraucht werden, da das Forum ja jeder lesen kann!
Ups, ich hab' korrigiert. Sorry.
Im Moment hab' ich nur den ClamAV laufen (seit ca. 15 Min.) und es kommen keine Warn-Mails mehr rein.
Boarder wrote: Ist dieser Teil auch immer gleich?

Code: Select all

Received: from mo-pXX-ob.XXXXX.de ([XX.XXX.XXX.XXX])
        by maXXX.webXXXX.de (voltan mi42) (RZmta 23.0)
        with ESMTP id I01b30m38GsTYk for <XXXXXX>;
        Thu, 8 Apr 2010 19:10:15 +0200 (MEST)
Nein, nicht komplett.
Die IP wechselt und der Teil in der Klammer auch. Z.B: (zeb mi49), (voltan mi18), (andre mi11), ...

Fast Edi

Severus
Site Admin
Posts: 457
Joined: 10 Dec 2009 07:01
Location: Nürnberg - Germany

Re: Copfilter dreht durch...

Post by Severus » 08 Apr 2010 20:24

Fast.Edi wrote:Im Moment hab' ich nur den ClamAV laufen (seit ca. 15 Min.) und es kommen keine Warn-Mails mehr rein.
Hab ich mir fast gedacht. Ich habe da mal wegen ähnlicher Probleme einen Mod für die mailscanner.sh geschrieben, kann aber im Moment nicht darauf zugreifen (Geschäftsreise) Wenn ich wieder an einem Cop sitze werd ich hier einen link veröffentlichen, damit Du es mal ausprobieren kannst.

Severus

Fast.Edi
Posts: 13
Joined: 08 Apr 2010 19:37

Re: Copfilter dreht durch...

Post by Fast.Edi » 08 Apr 2010 20:31

Severus wrote:Hab ich mir fast gedacht. Ich habe da mal wegen ähnlicher Probleme einen Mod für die mailscanner.sh geschrieben, kann aber im Moment nicht darauf zugreifen (Geschäftsreise) Wenn ich wieder an einem Cop sitze werd ich hier einen link veröffentlichen, damit Du es mal ausprobieren kannst.
OK, vielen Dank schonmal an euch für die schnellen Reaktionen.
Mit einem Auge geht's ja auch mal 'ne Weile... ;-)
Meine drei Ubuntus sehen das eher gelassen und auf dem Win7 läuft nochmal zusätzlich ein AV.

Gruß

Fast Edi

FischerM
Site Admin
Posts: 545
Joined: 09 Dec 2009 19:24
Location: Rheinbach

Re: Copfilter dreht durch...

Post by FischerM » 08 Apr 2010 21:36

@severus:

Wie heißt das Archiv? Vielleicht hab ichs ja in meiner Sammlung?

Gruß
Matthias

Severus
Site Admin
Posts: 457
Joined: 10 Dec 2009 07:01
Location: Nürnberg - Germany

Re: Copfilter dreht durch...

Post by Severus » 08 Apr 2010 21:50

@FischerM

glaub ich eher nicht. Du könntest höchstens den Code Text haben, den ich dazu im alten bugtracker veröffentlicht hatte. Als Paket hatte ich es bisher nicht zur Verfügung gestellt. Der Bedarf war eher gering. Das Paket muß ich erst basteln. :D

@Fast.Edi
X-Copfilter-Virus-Scanned: F-PROT 6.2.1.4252 - Engine 4.4.4.56 - Virusdatabase Apr 7 14:50
vielleicht mal auf die aktuelle Version updaten.

Gruß Severus

Fast.Edi
Posts: 13
Joined: 08 Apr 2010 19:37

Re: Copfilter dreht durch...

Post by Fast.Edi » 09 Apr 2010 13:27

Hallo.
Severus wrote:
X-Copfilter-Virus-Scanned: F-PROT 6.2.1.4252 - Engine 4.4.4.56 - Virusdatabase Apr 7 14:50
vielleicht mal auf die aktuelle Version updaten.
Danke für den Tip, allerdings: kann ich das einfach so machen, oder gibt's da eine genaue Vorgehensweise wie beim ClamAV?
Hier im Forum und im IPcop-Forum hab' ich nichts gefunden, was mir da weiterhilft.

Gruß

Fast Edi

FischerM
Site Admin
Posts: 545
Joined: 09 Dec 2009 19:24
Location: Rheinbach

Re: Copfilter dreht durch...

Post by FischerM » 09 Apr 2010 17:04

Ahmt!
Fast.Edi wrote:Hier im Forum und im IPcop-Forum hab' ich nichts gefunden, was mir da weiterhilft.
Als ob ichs geahnt hätte - ich dachte in den letzten Tagen immer wieder daran, dass es im WiKi noch keine Installationsanleitung für F-PROT und AVG gibt... :shock:

EDIT: Achtung, fiel mir leider eben erst auf:
Bitte viewtopic.php?p=136#p136 beachten, für diese F-PROT-Version muß die '/var/log/copfilter/default/etc2/copfilter_functions' mit Vi, bzw. mit einem Linux-konformen Editor, angepaßt werden!


Also gut, versuchen wir es:

1. Den aktuellsten F-PROT (hier: die "freie Version für zu Hause!) downloaden,
http://www.f-prot.com/download/home_use ... linux.html
und per WINSCP o.ä. nach '/var/log/copfilter/default' kopieren.

oder:

2. Per PuTTY eine Session zum Cop aufmachen, als 'root' einloggen, ins Copfilter-Default-Verzeichnis wechseln.
Z.B. so:

Code: Select all

cd /var/log/copfilter/default
[ENTER]

3. Das Archive per 'wget' ziehen:

Code: Select all

wget http://files.f-prot.com/files/unix-trial/fp-Linux-i686-ws.tar.gz
[ENTER]

4. Ein 'ls -l' sollte anschließend etwa so aussehen:

Code: Select all

root@DevelCop:/var/log/copfilter/default # ls -l
total 23052
lrwxrwxrwx  1 root   root         15 2009-06-13 21:54 doc -> doc_all_lang/en
drwxr-xr-x 29 root   root       4096 2005-09-03 10:07 doc_all_lang
drwxr-xr-x  3 nobody nobody     4096 2010-04-09 16:45 etc
drwxr-xr-x  2 root   root       4096 2009-02-21 13:45 etc2
-rw-r--r--  1 root   root   23484884 2010-04-09 15:37 fp-Linux-i686-ws.tar.gz
drwxr-xr-x  5 root   root       4096 2008-08-13 19:29 install
drwxr-xr-x  3 root   root       4096 2010-03-21 12:43 langs
drwxr-xr-x  2 root   root       4096 2010-02-21 16:37 log
drwxr-xr-x 23 root   root       4096 2010-02-21 21:31 opt
drwxr-xr-x  2 root   root       4096 2008-06-24 21:27 org
-rwxr-xr-x  1 root   root      45253 2009-02-22 11:01 setup_util
5. Nochmal nachsehen, wie ging das?

Code: Select all

root@DevelCop:~/copfilter # ./setup_util
Fehler: unbekannte Option

Benutze: setup_util OPTION

Optionen:
-a, --addmenu           fuege Copfilter-Menue in die Oberflaeche (wird auch mit -i gemacht)
-b, --backup [DATEI]    sichere aktuelle Einstellungen und Log-Dateien (optional: Backup-Datei)
-d, --default           stelle Standardkonfiguration wieder her
-i, --install [--force] installiere (oder reinstalliere) Copfilter (benutze force, wenn schon install.)
-f, --fprot DATEI       installiere fprot, DATEI: download und kopiere fprot >GZIP-te TAR Datei< auf den IPCop
                        URL:http://www.f-prot.com/download/home_user/download_fplinux.html
                        Bsp: setup_util -f fp-linux-ws.tar.gz
-r, --restore [DATEI]   stelle Konfiguration wieder her (optional: Restore-Datei)
-R, --regrazor          registriere Razor
-u, --uninstall         deinstalliere Copfilter und fprot
-V, --version           Versions-Information und Ende
-x, --fixbackspace      repariere backspace-key im vi-Editor
-y, --yes               Installiere ohne Bestaetigung

Copfilter 0.84beta4 fuer IPCop 1.4.4 und neuer
von Markus Madlener <copfilter at gmx dot net>
http://www.copfilter.org
Ah ja...

6. Eingeben:

Code: Select all

./setup_util -f fp-Linux-i686-ws.tar.gz
[ENTER]

7. Geht los!

Code: Select all

fprot-Installation (nur frei fuer privat-Benutzer)
ausgewaehlt!

Continue ? [Y/n]Y
Ok, jetzt wird F-Prot auf den IPCop installiert...
pruefe, ob die Installationsdatei fuer F-Prot existiert: fp-Linux-i686-w okar.gz
                                                                         ok
entferne alte Versionen von F-Prot und entpacke                          ok
F-Prot Version                                                           6.3.3.5015
passe F-Prot-Installation an                                             ok
aktualisiere Virensignaturen, dies kann eine kleine Weile dauern         ok
ein HUP-Signal gesendet an monit
warte 1 Sekunde(n)


Bitte aktiviere F-Prot in der Copfilter-Oberflaeche,
damit F-Pot und Clamav zum Virenscan in Mails benutzt werden

FPROT -Installation erfolgreich abgeschlossen
Anschließend auf der Copfilter-Statusseite nachsehen, sollte so aussehen (man beachte den F-PROT-Eintrag!):

Image

Falls das so ok ist - ich hoffe, ich habe nix vergessen - setze ich das dann demnächst auch ins WiKi! Versprochen...

HTH
Matthias

P.S.: Halt, einen habbich noch!

Image

Anzeige der Copfilter-'Antivirus'-Seite beachten! Die automatische Aktualisierung ist hier ausnahmsweise mal aus - das ist meine Entwicklungsmaschine, die hat keine Verbindung...

Post Reply