The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"sendmail netsky"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"sendmail netsky"
Сообщение от A Clockwork Orange Искать по авторуВ закладки on 08-Апр-04, 06:36  (MSK)
Для вируса netsky если регулярное выражения для тела письма что бы обнаружить вирус?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "sendmail netsky"
Сообщение от ipmanyak Искать по авторуВ закладки on 08-Апр-04, 07:14  (MSK)
>Для вируса netsky если регулярное выражения для тела письма что бы обнаружить
>вирус?
тело не надо, настрой анализ заголовков и реж аттачменты по расширениям
pif scr vbs  и так далее
  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "sendmail netsky"
Сообщение от vav1107 Искать по авторуВ закладки(ok) on 08-Апр-04, 07:21  (MSK)
>>Для вируса netsky если регулярное выражения для тела письма что бы обнаружить
>>вирус?
>тело не надо, настрой анализ заголовков и реж аттачменты по расширениям
>pif scr vbs  и так далее


Посоветуйте, плиз, как то же самое сделать в qmail?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "sendmail netsky"
Сообщение от Brainbug Искать по авторуВ закладки on 08-Апр-04, 16:20  (MSK)
>>>Dlya virusa netsky esli regulyarnoe vyrazheniya dlya tela pis'ma chto by obnaruzhit'
>>>virus?
>>telo ne nado, nastroj analiz zagolovkov i rezh attachmenty po rasshireniyam
>>pif scr vbs  i tak dalee
>
>
>Posovetujte, pliz, kak to zhe samoe sdelat' v qmail?
jt ~/.qmail:
|/var/qmail/bin/checkattach
|/usr/local/bin/spamc -U /var/tmp/spamd.sock| maildir ./Maildir

cat /var/qmail/bin/checkattach:
printmsg () {
        echo "The reason your email was rejected is filetype  $ATTYPE"
}

checktype () {
        case $ATTYPE in
                VBS | VBE | JSE | CSS | WSH | SCT | HTA | VXD | EXE | HTM | DOT | HLP | PAK | DAT | PCX | PPS | COM | BAT | CMD | AVI | MOV | RAM | OCX | CAB | SHS | CLA | RA | BMP | MPE | MPG | MP3 | MP4 | WAV | AUD | AU | DLL)
                        printmsg $ATTYPE
                        exit 100;;
                *)
                        ;;
        esac
}

ATTACHTYPE=`awk 'BEGIN {FS="."};/name/ || /filename/{print toupper($NF)}' | cut -c -3`
for ATTYPE in $ATTACHTYPE
do
        checktype $ATTYPE
done

exit 0


Dla qmail'a. Prosteckij filtr dla attachmentov. V princepe mozhno pisat luboj filtr i vklu4at lubije proverki dla pisma.

Nabludajetca tolko odna problema. Esli pismo polu4eno i obrabotano filtrom, najdeno sovpadenije, to pismo ostajetca v o4eredi. Ne proveral pri realih nagruzkah. Esli smotret qmail-command:
EXIT CODES
command's  exit  codes  are  interpreted  as  follows: 0 means that the
delivery was successful; 99 means that the delivery was successful, but
that  qmail-local  should ignore all further delivery instructions; 100
means that the delivery failed permanently (hard error); 111 means that
the  delivery  failed but should be tried again in a little while (soft error).
exit 100 govorit o tom 4to eto permanent. Pravda ja e6e ne razobralsa kak reagirujut ostalnije sostavlaju6ije o4eredi na eto delo. V princepe mozhno  o4i6at o4ered vremaj ot vremeni.

Budu rad usli6at mnenije po povodu vi6eskazannogo.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "sendmail netsky"
Сообщение от ipmanyak Искать по авторуВ закладки on 08-Апр-04, 14:39  (MSK)
>Для вируса netsky если регулярное выражения для тела письма что бы обнаружить
>вирус?

читай статью
http://security.opennet.ru/base/net/sendmail_regex.txt.html

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "sendmail netsky"
Сообщение от A Clockwork Orange Искать по авторуВ закладки on 08-Апр-04, 14:43  (MSK)
Да не я к тому, что в зарженном письме написано этакое оригинальное по каким вещам делать regex?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "sendmail netsky"
Сообщение от Medlar Искать по авторуВ закладки on 08-Апр-04, 16:03  (MSK)
>Да не я к тому, что в зарженном письме написано этакое оригинальное
>по каким вещам делать regex?

Наверное, можно вооружиться патчем для сендмэйл, позволяющим фильтровать тело пиьсма, и потом с учетом всех возможных текстов зараженных
писем (приведенных, например, здесь http://www.viruslist.com/viruslist.html?id=144858064) добавить соответсвующие оригинальные regex-шаблоны:
http://web.abnormal.com/~thogard/sendmail/

Или воспользоваться приведенным там шаблоном для блокировки любых exe-шников.

Но проще всего и правильнее (имхо :) скачать drweb ознакомительный, и голова не будет болеть над ложными срабатываниями фильтра.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "sendmail netsky"
Сообщение от A Clockwork Orange Искать по авторуВ закладки on 08-Апр-04, 16:08  (MSK)
И это понятно. Доктор стоит купленный. Хотелось бы что бы письмо все не получать, а уже определить вирус.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "sendmail netsky"
Сообщение от Medlar Искать по авторуВ закладки on 08-Апр-04, 16:31  (MSK)
>И это понятно. Доктор стоит купленный. Хотелось бы что бы письмо все
>не получать, а уже определить вирус.


Ясно, ну тогда фильтрация по специфическим сообщениям в теле письма
как раз самое то.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "sendmail netsky"
Сообщение от A Clockwork Orange Искать по авторуВ закладки on 08-Апр-04, 16:36  (MSK)
Да только судя по тому сколько их может быть у netsky по сравнению с mydoom их слишком много
  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "sendmail netsky"
Сообщение от mAdDuke emailИскать по авторуВ закладки(ok) on 09-Апр-04, 08:42  (MSK)
а анитивирь поставить в голову не приходило?
поставил kav5-for-postfix все ловит идеально, да без лицензии не обновляются базы, но ведь работает ...
  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру