Quitar notificaciones de updates de drweb

En el fichero /etc/cron.daily/drweb-update
se ejecuta /opt/drweb/update.pl

y nos llega un mail diario con este log

/etc/cron.daily/drweb-update:
Dr.Web (R) update details:
Update server: http://update.msk6.drweb.com/unix/500
Update has begun at Fri Mar 22 10:22:49 2013
Update has finished at Fri Mar 22 10:24:12 2013

Following files has been updated:
        /var/drweb/bases/drwdaily.vdb
        /var/drweb/bases/drwtoday.vdb
        /var/drweb/bases/dwntoday.vdb
        /var/drweb/bases/dwrtoday.vdb
        /var/drweb/updates/timestamp

Para evitar que nos llegue, editamos el fichero /etc/drweb/drweb32.ini y cambiamos el CronSummary que por defecto está a yes por no

CronSummary = no

[xploit] Grave fallo de seguridad en el kernel 2.6

Aunque llegamos tarde para anunciar la noticia, es necesario comentar aquí la necesidad de aplicar los parches que salieron hace dos días 21 de Septiembre que corrijen un grabe fallo de seguridad en los kernels 2.6 bajo máquinas con arquitectura x86_64.

El fallo se puede explotar localmente en la máquina y consiste en acceder vía  «compat_alloc_user_space()» esta función no está correctamente securizada y no se verifican los tamaños de los punteros con lo que se puede hacer un buffer overflow y todo lo que ello conlleva… Al parecer el fallo lleva 2 años en el kernel y no fué comunicado en todo este tiempo por la gente que ha desarrollado el xploit pero sí lo han utilizado para su beneficio propio:

  • Signed-off-by: David L Stevens <dlstevens@us.ibm.com>
  • Signed-off-by: YOSHIFUJI Hideaki <yoshfuji@linux-ipv6.org>
  • Signed-off-by: David S. Miller <davem@davemloft.net>

El exploit lo podeis localizar en ABftw.c al menos se han preocupado de eliminar las partes jugosas para que los scriptkidies no hagan de las suyas.

Más interesante que leerse el exploit es comprobar que tu máquina no esté infectada y para ello debes descargar este binario y ejecutarlo con un usuario que no sea root ( recuerda que es sólo para máquinas x86_64 ->  uname -p  )$ wget -N https://www.ksplice.com/support/diagnose-2010-3081
$ chmod +x diagnose-2010-3081
$ ./diagnose-2010-3081
Diagnostic tool for public CVE-2010-3081 exploit — Ksplice, Inc.
(see http://www.ksplice.com/uptrack/cve-2010-3081)

$$$ Kernel release: 2.6.18-194.11.3.el5
$$$ Backdoor in LSM (1/3): checking…not present.
$$$ Backdoor in timer_list_fops (2/3): not available.
$$$ Backdoor in IDT (3/3): checking…not present.

Your system is free from the backdoors that would be left in memory
by the published exploit for CVE-2010-3081.

Para evitar que se explote el fallo hay una solución que lo mitiga y consiste en no permitir ejecutar binarios x86 o i386 en la máquina usando esta linea# echo ‘:32bits:M::x7fELFx01::/bin/echo:’ > /proc/sys/fs/binfmt_misc/register

Provoca que los binarios de 32 bits sólo hagan un «echo» con su nombre de fichero y sus parámetros. El problema es que necesites algunos binarios de 32 bits como es el caso del drweb-update.

De todas formas ya hay kernel nuevo para instalar, reiniciar y listo.

Más información en :

https://access.redhat.com/kb/docs/DOC-40265
https://www.ksplice.com/uptrack/cve-2010-3081
https://rhn.redhat.com/errata/RHSA-2010-0704.html
https://rhn.redhat.com/errata/RHSA-2010-0705.html
http://seclists.org/fulldisclosure/2010/Sep/268

[drweb] desactivar notificaciones ( actualizado )

Una de las cosas más tediosas del antivirus drweb para Plesk, son las notificaciones. Con los cambios recientes en Plesk, todos los correos para el administrador ahora sí son enviados a la cuenta de administrador del panel.

Uno de los mensajes más reptitivos es el aviso de caducidad de la licencia. Si usted tiene un panel de Plesk puede que esté recibiendo este email de forma reiterada:

Dear Administrator,
Your Dr.Web license key file /opt/drweb/drweb32.key will expire in 13 days !
The Dr.Web daemon will not work after this period if you have not another valid keys.
Key info: ...

La forma de desactivarlo es la siguiente:

  • Edita el fichero /etc/drweb/drweb32.ini
  • Localiza la variable NotifyPeriod y asignala el valor 0 de esta forma NotifyPeriod = 0
  • Reinicia drweb /etc/init.d/drweb restart

Otras notificaciones constantes son las de notificaciones de virus. Para desactivarlas :

  • Edita el fichero /etc/drweb/drweb_qmail.conf
  • Localiza y modifica las variables de forma que queden de la siguiente forma: [VirusNotifications]
    SenderNotify = no
    AdminNotify = no
    RcptsNotify = no
  • Reinicia drweb /etc/init.d/drwebd restart

Fuente de la información: rackerhacker.com y Plesk KB
disable DrWeb notifications when infected mail is found

ACTUALIZACION:
En la version Plesk 9.5 el fichero de configuración es /etc/drweb/drweb_handler.conf