INTRODUCCION
Explicaré la instalación del proxy transparente y cómo aplicarle una herramienta que sirva para que las paginas visitadas que contengan virus (imagenes, zip, rar, exe, .....) no se muestren y las rediriga a una página que nos crearemos avisándonos de la página que tiene el virus y el tipo de virus que contiene.
Las ventajas del proxy transparente no voy a contarlas aquí.
Las versiones que he utilizado han sido las sigueitnes:
Debian Sarge (estable a 11-abril-2006)
Squid 2.5.9-10sarge2
Python-Clamav
? 0.3.0-1 (de la version inestable, no está en la estable :-( )
Scavr 1.8.0
Clamav 0.88.1-0volatile
INTALACION DE SISTEMA
La instalación de Debian ha sido la más básica de todas, ya iremos agregando paquetes. Lo único decir que como siempre he cogido la versión estable.
Editaremos el archivo de configuración del apt para que coja los archivos de clamav de otro repositorio:
squid2:~# vi /etc/apt/sources.list
deb ftp://ftp.rediris.es/debian stable main contrib non-free
deb http://ftp2.de.debian.org/debian-volatile sarge/volatile main
deb http://security.debian.org/ stable/updates main
La linea que he agregado es la segunda.
INSTALACION DE SQUID Y CONFIGURACION
La instalación de Squid es muy simple, algo mas complicado es su configuración, empecemos:
squid2:~# apt-get install squid squid-common
Una vez instalado debemos de configurarlo. Como ya hemos comentado, Squid es un proxy y como tal podemos utilizarlo de distintas formas; éste manual configurará Squid para que sea completamente transparente a los usuarios, es decir no tendremos que configurar nada en los usuarios de la red, todas las peticiones que reciba la máquina por el puerto 80 las redirigirá al puerto por defecto del squid, el 3218.
El archivo de configuración de Squid es /etc/squid/squid.conf . Sólo con echarle un vistazo podremos darnos cuenta del la gran cantidad de opciones que tiene este proxy.
Copio a continuación la configuración que he aplicado en mi proxy, explicando brevemente para qué sirve cada opción.
squid2:~# vi /etc/squid/squid.conf
acl QUERY urlpath_regex cgi-bin \?
acl avi urlpath_regex -i \.avi$
acl mpeg urlpath_regex -i \.m1v$ \.mpeg$ \.mpg$
acl mpeg2 urlpath_regex -i \.m2v$ \.vob$
acl mpeg_audio urlpath_regex -i \.mpa$ \.mp2$ \.mp3$ \.aac$
acl asf urlpath_regex -i \.asf$ \.wma$ \.asx$ \.wmv$
no_cache deny avi
no_cache deny mpeg
no_cache deny mpeg2
no_cache deny mpeg_audio
no_cache deny asf
no_cache deny QUERY
cache_mem 16 MB
maximum_object_size 36864 KB
cache_dir ufs /var/spool/squid 25000 16 256
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
http_access allow manager localhost
http_access deny manager
http_access allow localhost
http_access allow all
cache_mgr
Esta dirección de correo electrónico está protegida contra los robots de spam, necesita tener Javascript activado para poder verla
httpd_accel_host virtual
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
Perfecto, en este archivo podemos ir haciendo diferentes listas (acl) y luego realizar una opción sobre ellas, véase "acl avi urlpath_regex -i \.avi$" y luego "no_cache deny avi" estamos creando una lista que se llama avi donde se cogerán todos los archivos con extension avi y no cachearemos el contenido de esa lista, es decir que nuestro proxy cache no almacenará películas AVI.
La línea maxium_object_size indica cuál será el objeto más grande que almacenaremos, en mi caso, todo lo que le supere los 35MB no se cacheará.
Yo he utilizado el sistema de archivos UFS, la he dejado en /var/spool/squid y he utilizado 25 gb en 16 niveles con 256 subniveles cada nivel. Cada nivel primario me ocupa 1,5 gb.
No utilicéis todo el disco para cache, ya que su rendimiento bajará de una manera considerable y en vez de ganar, perderemos tiempo. Según dice el manual debemos usar el 80%, yo he usado el 85%.
Siguiendo el archivo, vemos una sección en la que asignamos permisos para utilizar nuestra cache. Yo se lo permito a toda mi red con las líneas
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
http_access allow manager localhost
http_access deny manager
http_access allow localhost
http_access allow all
cache_mgr
Esta dirección de correo electrónico está protegida contra los robots de spam, necesita tener Javascript activado para poder verla
httpd_accel_host virtual
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
Para realizar cambios sobre la configuración repasad bien el archivo inicial squid.conf, ya que se pueden conseguir muchas cosas, como por ejemplo que todas las mañanas visite una pagina (por ejmplo la de noticias del google) o compartir caches con otros servidores, o un larguísimo etcétera.
Despues de dejar como queremos el fichero de configuración reiniciaremos el demonio de Squid:
squid2:/# /etc/init.d/squid restart
Restarting proxy server: squid.
CONFIGURACION DE IPTABLES
Utilizaremos el iptables que lleva nuestro kernel para redirigir todo lo que llega a nuestro puerto 80 al puerto del Squid 3128.
Crearemos el archivo que contendrá nuestra configuracion:
squid2:~# vi /etc/init.d/firewall.sh
#!/bin/sh
##ScripT de Iptables para hacer forward del puerto 80 y mandarlo al squid
# Binario Iptables
IPTABLES="iptables"
# Redes
REDLOCAL="10.19.4.0/24"
# Interfaces
IF_LOC=eth0
# IP's
IP_LOC=`ifconfig $IF_LOC | grep inet | cut -d : -f 2 | cut -d \ -f 1`
#### FUNCION 'FLUSH_IPTABLES' #####
flush_iptables() {
echo "Limpiando posibles configuraciones previas..."
#
# reset the default policies in the filter table.
#
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT
#
# reset the default policies in the nat table.
#
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
#
# reset the default policies in the mangle table.
#
$IPTABLES -t mangle -P PREROUTING ACCEPT
$IPTABLES -t mangle -P OUTPUT ACCEPT
#
# flush all the rules in the filter and nat tables.
#
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
#
# erase all chains that's not default in filter and nat table.
#
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X
} # Fin función flush iptables
#### FUNCION 'START_IPTABLES' #####
start_iptables()
{
echo "Configuración existente de interfaces de red:"
echo " - Interfaz LAN: $IF_LOC - $IP_LOC"
#RESETEO IPTABLES
flush_iptables
#POLITICAS POR DEFECTO
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
#OPCIONES DE SYSCTL
echo "Configurando las opciones sysctl..."
#Habilita el forwarding en el kernel
echo 1 > /proc/sys/net/ipv4/ip_forward
#Deshabilita ataques de IP Spoofing
echo 2 > /proc/sys/net/ipv4/conf/all/rp_filter
#No responde a broadcast dirigidos (Smurf-Amplifier-Protection)
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
#Bloquea source routing
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
#Elimina timestamps
echo 0 > /proc/sys/net/ipv4/tcp_timestamps
#Habilita SYN Cookies
#echo 1 > /proc/sys/net/ipv4/tcp_syncookies
#Elimina redirects
#echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
#Habilita bad error message protection
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
#Log martians (paquetes con direcciones no validas)
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
#Set out local port range
echo "32768 61000" > /proc/sys/net/ipv4/ip_local_port_range
#Reduce la posbilidad de ataques DoS reduciendo timeouts
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
echo 2400 > /proc/sys/net/ipv4/tcp_keepalive_time
echo 0 > /proc/sys/net/ipv4/tcp_window_scaling
echo 0 > /proc/sys/net/ipv4/tcp_sack
#REGLAS
iptables -t nat -A PREROUTING -s 0/0 -d 0/0 -p tcp --dport 80 -j
REDIRECT --to-port 3128
} # Fin función start_iptables
case "$1" in
stop)
echo "Parando el Firewall... "
flush_iptables
echo "HECHO"
;;
status)
echo ""
echo "###################"
echo "## Tabla: filter ##"
echo "###################"
$IPTABLES --list
echo ""
echo "################"
echo "## Tabla: nat ##"
echo "################"
$IPTABLES -t nat --list
echo ""
echo "###################"
echo "## Tabla: mangle ##"
echo "###################"
$IPTABLES -t mangle --list
echo ""
;;
restart|reload)
$0 stop $2
$0 start $2
;;
start)
echo "Arrancando el Firewall... "
start_iptables
echo "HECHO"
;;
*)
echo "Modo de uso: $0 (start|stop|restart|status)"
exit 1
;;
esac
La única regla que aplico es la redirección de HTTP, no FTP, ni HTTPS (sería ir añadiendo líneas como la que véis con el dport que deseemos). El script parece un poco complicado pero ahora podemos usarlo con /etc/init.d/firewall.sh (start|stop|restart|status)
Lo único que hace este router es esto, redirigir lo que entra por el 80, todo lo demas se lo pasará a su puerta de enlace, en mi caso al router que me puso Telefónica. ¿Por qué digo esto?, porque todos los usuarios tendrán que tener como puerta de enlace la maquina Squid que estamos creando. Si un usuario visita Google, squid2 (la máquina que estamos creando) realizará la peticion a Google (no nuestro usuario), la almacenará en la cache y se la dará a nuestro usuario. Si por ejemplo pide una archivo en un servidor ftp, Squid simplemente redirigirá la petición al siguiente router.
Le damos permisos de ejecución al script que hemos creado:
squid2:/# chmod +x /etc/init.d/firewall.sh
Debemos iniciar el firewall cada vez que se inicie la máquina. Esto se puede hacer de varias formas; yo lo he hecho creando un link a /etc/init.d/firewall.sh en /etc/rc2.d
squid2:/# ln -s /etc/init.d/firewall.sh /etc/rc2.d/S95firewall.sh
Perfecto. Cada vez que iniciemos nos deberá arrancar el firewall nuevo.
Comprobemos que el firewall funciona:
squid2:/# /etc/init.d/firewall.sh restart
Parando el Firewall...
Limpiando posibles configuraciones previas...
HECHO
Arrancando el Firewall...
Configuración existente de interfaces de red:
- Interfaz LAN: eth0 - 10.19.4.25
Limpiando posibles configuraciones previas...
Configurando las opciones sysctl...
HECHO
squid2:/# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
squid2:/# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
REDIRECT tcp — anywhere anywhere
tcp dpt:www redir ports 3128
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Justo lo que queriamos.
Ya podemos comprobar si Squid está cacheando.
Cambiaremos la configuración en una máquina de algún usario y le pondremos que el router por defecto es la maquina Squid. Previamente le tendremos que haber dicho a nuestro Squid que su puerta de enlace es la que nos dé acceso a Internet.
squid2:/# vi /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
auto eth0
iface eth0 inet static
address 10.19.4.25
network 10.19.4.0
netmask 255.255.255.0
broadcast 10.19.4.255
gateway 10.19.4.172
squid2:/# /etc/init.d/networking restart
Setting up IP spoofing protection: rp_filter.
Reconfiguring network interfaces...SIOCDELRT: No such process
ifup: interface lo already configured
done.
Con esto, debería funcionarnos a la perfección el proxy transparente.
Podemos ver como va creciendo la base de datos de Squid con estos comandos:
squid2:~# du -hlsc /var/spool/squid/*
1,3M /var/spool/squid/00
1,1M /var/spool/squid/01
1,1M /var/spool/squid/02
1,1M /var/spool/squid/03
1,1M /var/spool/squid/04
1,1M /var/spool/squid/05
1,1M /var/spool/squid/06
1,1M /var/spool/squid/07
1,1M /var/spool/squid/08
1,1M /var/spool/squid/09
1,1M /var/spool/squid/0A
1,1M /var/spool/squid/0B
1,1M /var/spool/squid/0C
1,1M /var/spool/squid/0D
1,1M /var/spool/squid/0E
1,1M /var/spool/squid/0F
4,0K /var/spool/squid/swap.state
17M total
Aquí vemos los 16 niveles del archivo de configuración.
Hasta aqui es la parte obligatoria para tener el proxy transparente con Squid, lo que cuento a partir de ahora es completamente opcional, pero recomnedable,
instalaremos Sarg (Squid Analysis Report Generator) para hacer la administración de los logs de Squid amigable, Sarg tambien nos dará los porcentajes de visitas cacheadas asi como las veces que ha tenido que salir a Internet a por nuestras peticiones. Instalaremos también el antivirus para los que tengan usuarios en Windows.
INSTALACION DE APACHE Y SARG Y CONFIGURACION Sarg como acabo de indicar, sirve para que visitemos y controlemos de una forma amigable de los logs de Squid. Al tener un interfaz web, necesitaremos instalar un servidor web previamente, como por ejemplo Apache, en nuestro servidor de Squid, para a continuación, poder instalar Sarg.
Comencemos con la instalación de Apache. Instalaré también php4, para su posterior utilización con clamav (antivirus). Si no váis a realizar esta instalación no es necesario que instaléis php4:
squid2:/# apt-get install apache apache-common apache2-utils libapache-mod-php4
libapr0 libexpat1 libzzip-0-12 php4 php4-common ucf
Cuando instalemos Apache nos preguntará si queremos utilizar suExec, yo le digo que no.
Ya podemos visitar nuestro nuevo servidor web,
http://direccionip Configurémoslo para que ejecute codigo php, editaremos el archivo de configuración de Apache:
squid2:/# vi /etc/apache/httpd.conf
Buscaremos una linea que está comentada y pone:
# And for PHP 4.x, use:
#
# AddType? application/x-httpd-php .php
# AddType? application/x-httpd-php-source .phps
Descomentaremos las dos últimas líneas
Perfecto, nuestro servidor Apache ya es capaz de ejecutar codigo php.
Instalaremos ahora Sarg:
squid2:/# apt-get install defoma libfreetype6 libgd2-noxpm
libjpeg62 libpng12-0 sarg ttf-bitstream-vera
Para configurar Sarg editaremos su archivo de configuración y cambiaremos las siguientes líneas para dejarlas como las pongo aquí, las demás no las toquéis:
squid2:/# vi /etc/squid/sarg.conf
language Spanish
title "Informes de Acceso a Squid"
Éstas han sido las unicas que he tocado, podemos incluir nodos para que no los saque en el informe (archivo /etc/squid/squid.nodes); si queréis hacer más cambios leeros el archivo de configuración de Sarg, tiene mas posibilidades.
Añadiremos al final del archivo de configuración de Apache las siguientes líneas:
squid2:/# vi /etc/apache/httpd.conf
AuthName? "Informes de Acceso a Squid"
AuthType? Basic
AuthUserFile? /etc/.htpasswdsquidreports
require valid-user
Options Indexes FollowSymLinks?
AllowOverride? None
Order allow,deny
Allow from all
Reiniciaremos Apache y Squid
squid2:/# /etc/init.d/apache restart
squid2:/# /etc/init.d/squid restart
Tenemos que crear el password para poder entrar a visitar los reports, cambiad lo de USUARIO por el que vosotros queráis:
squid2:/# htpasswd -c -m /etc/.htpasswdsquidreports USUARIO
Después de haber tecleado la password ejecutemos SARG para que nos haga el primer report; si todo va bien deberías haber hecho un para de pruebas un poco mas arriba, pues debe crearnos el report con esas entradas.
squid2:/# sarg
Perfecto, lo hemos ejecutado, intentemos ahora visitar la web en
http://ipservidorsquid/squid-reports/index.html ¿Todo bien?, deciros que la instalacion de Sarg añade automaticamente una nueva tarea que diariamente se ejecuta, es decir todas las mañanas tendremos nuestro nuevo informe.
INSTALACION DE CLAMAV
squid2:/#apt-get install clamav clamav-base clamav-daemon
clamav-freshclam libclamav1 libcurl3 libgmp3 arj unzoo unrar lha
Editaremos el archivo de configuración de Clamav para añadir la linea ScanRAR y dejarlo como os lo pongo aqui abajo:
squid2:/# vi /etc/clamav/clamd.conf
#Automatically Generated by clamav-base postinst
#To reconfigure clamd run #dpkg-reconfigure clamav-base
#Please read /usr/share/doc/clamav-base/README.Debian.gz for details
LocalSocket? /var/run/clamav/clamd.ctl
FixStaleSocket?
User clamav
AllowSupplementaryGroups?
ScanMail?
ScanArchive?
ScanRAR
ArchiveMaxRecursion? 5
ArchiveMaxFiles? 1000
ArchiveMaxFileSize? 10M
ArchiveMaxCompressionRatio? 250
ReadTimeout? 180
MaxThreads? 12
MaxConnectionQueueLength? 15
LogFile? /var/log/clamav/clamav.log
LogTime?
LogFileMaxSize? 0
PidFile? /var/run/clamav/clamd.pid
DatabaseDirectory? /var/lib/clamav
SelfCheck? 3600
ScanOLE2
ScanPE
DetectBrokenExecutables?
ScanHTML
ArchiveBlockMax?
Podemos ver las actualizaciones de las firmas de virus editando el log de Freshclam, lo hará sólo cada par de horas; la instalación añade en el cron la visita al servidor para su actualización:
squid2:/# vi /var/log/clamav/freshclam.log
--------------------------------------
freshclam daemon 0.88.1 (OS: linux-gnu, ARCH: i386, CPU: i386)
ClamAV update process started at Tue Apr 11 20:52:16 2006
main.cvd is up to date (version: 37, sigs: 46700, f-level: 7, builder: ccordes)
daily.cvd updated (version: 1393, sigs: 3875, f-level: 7, builder: arnaud)
Database updated (50575 signatures) from db.es.clamav.net (IP: 194.65.79.153)
Clamd successfully notified about the update.
--------------------------------------
INSTALACION DE PYTHON CLAMAV Para esta instalación me he tenido que bajar el paquete deb de la version testing, no está en la estable :-(
En la página
http://packages.debian.org/testing/python/python-clamav podéis ver las dependencias que tiene este paquete, las cumplimos todas, la libreria libc6.1 no la tenemos pero no pasa nada, tira perfectamente; no hace falta nada más que bajarnos el paque deb e instalarlo. Yo he bajado la de la versión testing para i386
squid2:/# dpkg -l libc6
Desired=Unknown/Install/Remove/Purge/Hold
| Estado=No/Instalado/Config-files/Unpacked/Failed-config/Half-installed
|/ Err?=(none)/Hold/Reinst-required/X=both-problems (Status,Err: mayúsc.=malo)
||/ Nombre Versión Descripción
+++-==========================-====
ii libc6 2.3.2.ds1-22 GNU C Library
squid2:/# dpkg -l libclamav1
Desired=Unknown/Install/Remove/Purge/Hold
| Estado=No/Instalado/Config-files/Unpacked/Failed-config/Half-installed
|/ Err?=(none)/Hold/Reinst-required/X=both-problems (Status,Err: mayúsc.=malo)
||/ Nombre Versión Descripción
+++-======================================
ii libclamav1 0.88.1-0volatile2 virus scanner library
squid2:/cosas# mkdir /cosas
squid2:/cosas# cd /cosas
squid2:/cosas# wget http://ftp.es.debian.org/debian/
pool/main/p/python-clamav/python-clamav_0.3.0-1_i386.deb
squid2:/cosas# dpkg -i python-clamav_0.3.0-1_i386.deb
Seleccionando el paquete python-clamav previamente no seleccionado.
(Leyendo la base de datos ...
24321 ficheros y directorios instalados actualmente.)
Desempaquetando python-clamav (de python-clamav_0.3.0-1_i386.deb) ...
Configurando python-clamav (0.3.0-1) ...
INSTALACION DE SCAVR Ahora nos toca bajarnos el Script
de la página del autor de Scavr (Squid ClamAV Redirector)
En estos momentos, la última versión es la 1.8.2. Una vez descomprimida en nuestro servidor tendremos que hacer lo siguiente:
squid2:/cosas/SCAVR# cp SquidClamAV_Redirector?.py /usr/local/bin
squid2:/cosas/SCAVR# chmod +x /usr/local/bin/SquidClamAV_Redirector.py
squid2:/cosas/SCAVR# cp SquidClamAV_Redirector?.conf /etc/squid/
squid2:/cosas/SCAVR# cp SquidClamAV_Redirector?.conf /etc/squid/
squid2:/cosas/SCAVR# chown proxy:proxy /etc/squid/SquidClamAV_Redirector.conf
Editaremos ahora el archivo de configuración:
squid2:/ vi /etc/squid/SquidClamAV_Redirector.conf
Yo los unicos cambios que he hecho aquí han sido las redirecciones, si no os la queréis currar podéis dejar las que vienen por defecto; aún así, como tenemos servidor web por el SARG, podemos utilizarlo para crear la siguiente página php.
squid2:/# vi /var/www/infeccion.php
Pagina INFECTADA ¡¡¡
¡¡¡ RESTRINGIDO !!!
Esta URL
esta infectada con este virus:
Ponte en contacto conmigo:
Esta dirección de correo electrónico está protegida contra los robots de spam, necesita tener Javascript activado para poder verla
Ahora tenemos que decirle a Squid que rediriga las paginas al antivirus, lo unico que tenemos que hacer es añadir las siguientes lineas a /etc/squid/squid.conf debajo de acl localhost ......
squid2:/# vi /etc/squid/squid.conf
redirect_program /usr/local/bin/SquidClamAV_Redirector.py
-c /etc/squid/SquidClamAV_Redirector.conf
redirect_children 5
redirector_access deny localhost
http_reply_access allow all
Reiniciaremos Squid:
squid2:/# /etc/init.d/squid restart
Ahora añadiremos la siguiente linea (local6.=.....) en /etc/syslog.conf, justo debajo de la linea (mail,news.none -/var/log/messages) para que nos cree el log de Scavr, dejo puesta la linea que hay que añadir y unas cuantas mas de arriba para que ubiqueis el sitio sin problema.
squid2:/# vi /etc/syslog.conf
#
# Some `catch-all' logfiles.
#
auth,authpriv.none;\
news.none;mail.none -/var/log/debug
- .=info;*.=notice;*.=warn;\
auth,authpriv.none;\
cron,daemon.none;\
mail,news.none -/var/log/messages
## La que esta aqui debajo es la que he añadido
local6.=info /var/log/squid/SquidClamAV_redirector.log
Reiniciemos el servicio para la creacion de logs
squid2:/# /etc/init.d/sysklogd restart
Comprobemos que todo funciona. Para ello, visitaremos esta página (contiene una versión del BackOrifice)
http://heanet.dl.sourceforge.net/sourceforge/bo2k/bo2k_1_0.zip y comprobaremos el mensaje
en la pantalla de nuestro navegador. Debería de ser algo asi:
¡¡¡ RESTRINGIDO !!!
Esta URL http://heanet.dl.sourceforge.net/sourceforge
/bo2k/bo2k_1_0.zip está infectada
con este virus: Trojan.Orifice2K.PI_ .
Pónte en contacto con el administrador.
Podemos visitar el log:
squid2:/# vi /var/log/squid/SquidClamAV_redirector.log
Apr 12 14:51:32 localhost SquidClamAV: Url:
http://www.google.es/search?hl=es&q=Hola&meta= Status OKAY
Apr 12 14:51:37 localhost SquidClamAV: Url:
http://heanet.dl.sourceforge.net/sourceforge/bo2k/ Status OKAY
Apr 12 14:51:37 localhost SquidClamAV: Url:
http://heanet.dl.sourceforge.net/icons/blank.gif Status OKAY
Apr 12 14:51:37 localhost SquidClamAV: Url:
http://heanet.dl.sourceforge.net/icons/binary.gif Status OKAY
Apr 12 14:51:37 localhost SquidClamAV: Url:
http://heanet.dl.sourceforge.net/icons/back.gif Status OKAY
Apr 12 14:51:37 localhost SquidClamAV: Url:
http://heanet.dl.sourceforge.net/icons/compressed.gif Status OKAY
Apr 12 14:51:37 localhost SquidClamAV: Url:
http://heanet.dl.sourceforge.net/icons/unknown.gif Status OKAY
Apr 12 14:51:40 localhost SquidClamAV: Url:
http://heanet.dl.sourceforge.net/sourceforge/
bo2k/bo2k_1_0.zip Status Infected Trojan.Orifice2K.PI_#1
Apr 12 14:51:40 localhost SquidClamAV: Url:
http://10.19.4.5/clam.png Status OKAY
