форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"sendmail netsky"
Сообщение от A Clockwork Orange on 08-Апр-04, 06:36  (MSK)
Для вируса netsky если регулярное выражения для тела письма что бы обнаружить вирус?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "sendmail netsky"
Сообщение от ipmanyak on 08-Апр-04, 07:14  (MSK)
>Для вируса netsky если регулярное выражения для тела письма что бы обнаружить >вирус? тело не надо, настрой анализ заголовков и реж аттачменты по расширениям pif scr vbs  и так далее
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "sendmail netsky"
	Сообщение от vav1107 (ok) on 08-Апр-04, 07:21  (MSK)
	>>Для вируса netsky если регулярное выражения для тела письма что бы обнаружить >>вирус? >тело не надо, настрой анализ заголовков и реж аттачменты по расширениям >pif scr vbs  и так далее Посоветуйте, плиз, как то же самое сделать в qmail?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "sendmail netsky"
	Сообщение от Brainbug on 08-Апр-04, 16:20  (MSK)
	>>>Dlya virusa netsky esli regulyarnoe vyrazheniya dlya tela pis'ma chto by obnaruzhit' >>>virus? >>telo ne nado, nastroj analiz zagolovkov i rezh attachmenty po rasshireniyam >>pif scr vbs  i tak dalee > > >Posovetujte, pliz, kak to zhe samoe sdelat' v qmail? jt ~/.qmail: |/var/qmail/bin/checkattach |/usr/local/bin/spamc -U /var/tmp/spamd.sock| maildir ./Maildir cat /var/qmail/bin/checkattach: printmsg () {         echo "The reason your email was rejected is filetype  $ATTYPE" } checktype () {         case $ATTYPE in                 VBS | VBE | JSE | CSS | WSH | SCT | HTA | VXD | EXE | HTM | DOT | HLP | PAK | DAT | PCX | PPS | COM | BAT | CMD | AVI | MOV | RAM | OCX | CAB | SHS | CLA | RA | BMP | MPE | MPG | MP3 | MP4 | WAV | AUD | AU | DLL)                         printmsg $ATTYPE                         exit 100;;                 *)                         ;;         esac } ATTACHTYPE=`awk 'BEGIN {FS="."};/name/ || /filename/{print toupper($NF)}' | cut -c -3` for ATTYPE in $ATTACHTYPE do         checktype $ATTYPE done exit 0 Dla qmail'a. Prosteckij filtr dla attachmentov. V princepe mozhno pisat luboj filtr i vklu4at lubije proverki dla pisma. Nabludajetca tolko odna problema. Esli pismo polu4eno i obrabotano filtrom, najdeno sovpadenije, to pismo ostajetca v o4eredi. Ne proveral pri realih nagruzkah. Esli smotret qmail-command: EXIT CODES command's  exit  codes  are  interpreted  as  follows: 0 means that the delivery was successful; 99 means that the delivery was successful, but that  qmail-local  should ignore all further delivery instructions; 100 means that the delivery failed permanently (hard error); 111 means that the  delivery  failed but should be tried again in a little while (soft error). exit 100 govorit o tom 4to eto permanent. Pravda ja e6e ne razobralsa kak reagirujut ostalnije sostavlaju6ije o4eredi na eto delo. V princepe mozhno  o4i6at o4ered vremaj ot vremeni. Budu rad usli6at mnenije po povodu vi6eskazannogo.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "sendmail netsky"
Сообщение от ipmanyak on 08-Апр-04, 14:39  (MSK)
>Для вируса netsky если регулярное выражения для тела письма что бы обнаружить >вирус? читай статью http://security.opennet.ru/base/net/sendmail_regex.txt.html
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "sendmail netsky"
	Сообщение от A Clockwork Orange on 08-Апр-04, 14:43  (MSK)
	Да не я к тому, что в зарженном письме написано этакое оригинальное по каким вещам делать regex?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "sendmail netsky"
	Сообщение от Medlar on 08-Апр-04, 16:03  (MSK)
	>Да не я к тому, что в зарженном письме написано этакое оригинальное >по каким вещам делать regex? Наверное, можно вооружиться патчем для сендмэйл, позволяющим фильтровать тело пиьсма, и потом с учетом всех возможных текстов зараженных писем (приведенных, например, здесь http://www.viruslist.com/viruslist.html?id=144858064) добавить соответсвующие оригинальные regex-шаблоны: http://web.abnormal.com/~thogard/sendmail/ Или воспользоваться приведенным там шаблоном для блокировки любых exe-шников. Но проще всего и правильнее (имхо :) скачать drweb ознакомительный, и голова не будет болеть над ложными срабатываниями фильтра.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "sendmail netsky"
	Сообщение от A Clockwork Orange on 08-Апр-04, 16:08  (MSK)
	И это понятно. Доктор стоит купленный. Хотелось бы что бы письмо все не получать, а уже определить вирус.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "sendmail netsky"
	Сообщение от Medlar on 08-Апр-04, 16:31  (MSK)
	>И это понятно. Доктор стоит купленный. Хотелось бы что бы письмо все >не получать, а уже определить вирус. Ясно, ну тогда фильтрация по специфическим сообщениям в теле письма как раз самое то.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "sendmail netsky"
	Сообщение от A Clockwork Orange on 08-Апр-04, 16:36  (MSK)
	Да только судя по тому сколько их может быть у netsky по сравнению с mydoom их слишком много
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "sendmail netsky"
	Сообщение от mAdDuke (ok) on 09-Апр-04, 08:42  (MSK)
	а анитивирь поставить в голову не приходило? поставил kav5-for-postfix все ловит идеально, да без лицензии не обновляются базы, но ведь работает ...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.