作者 主題: [分享]WORM_MIMAIL.R 解決方式  (閱讀 8450 次)

0 會員 與 1 訪客 正在閱讀本文。

istme

  • 憂鬱的高中生
  • ***
  • 文章數: 130
    • 檢視個人資料
    • http://www.wretch.cc/blog/istme/
[分享]WORM_MIMAIL.R 解決方式
« 於: 2004-01-28 10:31 »
一開春就忙的不得了 !!
有個CLIENT說收到 HELLO的MAIL就會想要HELLO回去
於是就....
真是令人笑不出來

原本嘗試用procmailrc 來擋特定的ZIP檔
後來發現檔名很多,而且還會變化!!
有位前輩指導我看一下有無特定內容
發現收到的有問題的 MAIL 中
都有這一段  

代碼: [選擇]
       charset="Windows-1252"

試試看用

代碼: [選擇]
:0 B
* charset="Windows-1252"
/tmp/tmpmail


加在/etc/procmailrc 中

先用一空間收起來,擔心會誤判~~
收了一天發覺還沒有誤判的 MAIL
和大家分享一下
順便請教  charset="Windows-1252" 是啥??
 上帝的歸上帝,凱薩的歸凱薩 ]

abelyang

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 1097
    • 檢視個人資料
[分享]WORM_MIMAIL.R 解決方式
« 回覆 #1 於: 2004-01-28 10:38 »
Window Codepage 1252 Latin I
說明這封信使用什麼樣的編碼

istme

  • 憂鬱的高中生
  • ***
  • 文章數: 130
    • 檢視個人資料
    • http://www.wretch.cc/blog/istme/
[分享]WORM_MIMAIL.R 解決方式
« 回覆 #2 於: 2004-01-28 14:18 »
喔!! 了解
那是不是說有可能MAIL的來源地區
是用這個編碼的嗎
還是單純巧合呢??
 上帝的歸上帝,凱薩的歸凱薩 ]

Jerry Liu

  • 鑽研的研究生
  • *****
  • 文章數: 536
  • 性別: 男
    • 檢視個人資料
[分享]WORM_MIMAIL.R 解決方式
« 回覆 #3 於: 2004-01-28 18:10 »
老實說,這樣的確會有誤刪的可能
剛剛去查了一下
西歐語系:windows-1252
http://www.microsoft.com/taiwan/exchange/using/tips/Mail_utf8.htm
用的人可能性蠻大的 = =
水泥森林中的狼

好懷念的暱稱啊 .................

istme

  • 憂鬱的高中生
  • ***
  • 文章數: 130
    • 檢視個人資料
    • http://www.wretch.cc/blog/istme/
[分享]WORM_MIMAIL.R 解決方式
« 回覆 #4 於: 2004-01-28 23:00 »
謝謝大家
我就是擔心會有問題
所以才不敢直接往 /dev/null 丟
這兩天一直有在注意是否有誤判!!
還沒有出現問題
我想再看一天看看!!
不知道是否還有其它方式呢??
 上帝的歸上帝,凱薩的歸凱薩 ]

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8830
    • 檢視個人資料
    • http://www.24online.cjb.net
[分享]WORM_MIMAIL.R 解決方式
« 回覆 #5 於: 2004-01-29 09:01 »
下面是我的規則, 還希望大家幫忙除錯一下^^
代碼: [選擇]
####### MyDoom virus test filiter ############
:0 HB
* ^.*Content-Type:.*
* ^.*[Nn]ame=.(test|message|document|readme|doc|text|file|data|body|TEST|MESSAGE|DOCUMENT|README|DOC|TEXT|FILE|DATA|BODY)\.(pif|scr|exe|cmd|bat|zip|PIF|SCR|EXE|CMD|BAT|ZIP)
:O B
* ( The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.)|( The message contains Unicode characters and has been sent as a binary.)|( Mail transaction failed. Partial message is available attachment.)
{
:O
/var/mail/nulluser
}

這個nulluser, 就是小弟機器上的垃圾信箱. 要用的人記得修改一下, 別直接對號入座唷^^
順便說一下, istme, 我有收到編碼是euc-jp的, 表示這種病毒會在感染過程中繁殖... 利用charset="Windows-1252"可能不行...
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8830
    • 檢視個人資料
    • http://www.24online.cjb.net
[分享]WORM_MIMAIL.R 解決方式
« 回覆 #6 於: 2004-01-29 09:42 »
我剛剛的script........ 我已經驗證失敗>.<

還不曉得是那裡錯誤, 請各位幫忙一下, 多謝^^
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8830
    • 檢視個人資料
    • http://www.24online.cjb.net
[分享]WORM_MIMAIL.R 解決方式
« 回覆 #7 於: 2004-01-29 09:49 »
以下是標準的條件式
代碼: [選擇]
####### MyDoom virus test filiter ############
:0 H
* ^Subject: (test|hi|hello|Mail Delivery System|Mail Transaction Failed|Server Report|Status|Error)
/var/mail/nulluser

####### MyDoom virus test filiter ############
:0 B
* Mail transaction failed. Partial message is available.
  /var/mail/nulluser


####### MyDoom virus test filiter ############
:0 B
* The message contains Unicode characters and has been sent as a binary
* attachment.
  /var/mail/nulluser

####### MyDoom virus test filiter ############
:0 B
* The message cannot be represented in 7-bit ASCII encoding and has been
* sent as a binary attachment.
  /var/mail/nulluser

####### MyDoom virus test filiter ############
:0 HB
* ^.*Content-Type:.*
* ^.*[Nn]ame=.(test|message|document|readme|doc|text|file|data|body|TEST|MESSAGE|DOCUMENT|README|DOC|TEXT|FILE|DATA|BODY)\.(pif|scr|exe|cmd|bat|zip|PIF|SCR|EXE|CMD|BAT|ZIP)
/var/mail/nulluser


小弟原本想把上面這堆整合在一起, 但是發生錯誤(完全沒作用>.<) 不曉得各位能幫忙指點一下出問題的地方嗎?
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

istme

  • 憂鬱的高中生
  • ***
  • 文章數: 130
    • 檢視個人資料
    • http://www.wretch.cc/blog/istme/
[分享]WORM_MIMAIL.R 解決方式
« 回覆 #8 於: 2004-01-30 08:58 »
三子兄
謝謝提醒啦!!
charset="Windows-1252"
確實無法完全擋住,有不足的地方
現在我是用你的方式來檔的

題外話!!
procmailrc 內容越來越豐富了 (快速成長中!!)
不曉的是喜還是憂~~
 上帝的歸上帝,凱薩的歸凱薩 ]

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8830
    • 檢視個人資料
    • http://www.24online.cjb.net
[分享]WORM_MIMAIL.R 解決方式
« 回覆 #9 於: 2004-01-30 09:08 »
引述: "istme"
三子兄
謝謝提醒啦!!
charset="Windows-1252"
確實無法完全擋住,有不足的地方
現在我是用你的方式來檔的

現在不只是這樣子, 我已經收到內文已經不是官方版本的病毒信件(據推測內文是日文或者是韓文, 但也有可能是東歐文字), 所以針對內文的方式也有不足的地方....

現在有個想法, 就是利用病毒附件大小的方式, 限制22500~22600這個範圍的, 且附檔名稱符合病毒描述的, 也符合Subject描述等三種方式, 至於內文判斷部份, 則需要一點時間來驗證....

引述: "istme"
procmailrc 內容越來越豐富了 (快速成長中!!)
不曉的是喜還是憂~~

多則是防護週到, 少則是可預期病毒變少.....

只是每次收信都會先去跑promailrc, 對系統本身是一個很大的負擔(假設你一天收到一千封信件, 相對你的promailrc要跑一千次, 也就是你的主機不論有沒有做其他事情都要先中斷來執行檢查1000次. 如果一個公司電子郵件流量夠大的話, 那就更恐怖了... 說不定你還沒檢查完下一封信件又來了, 到時候系統說不定會當機....)
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5396
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
[分享]WORM_MIMAIL.R 解決方式
« 回覆 #10 於: 2004-01-30 09:39 »
所以... 使用對的工具做對的事情吧.
用 procmail 來處理病毒信件本來就是吃力不討好的事情.

裝個 server side 的掃毒軟毒來用比較容易吧. 只要記得更新病毒碼就可以防止多數的病毒了.

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7312
    • 檢視個人資料
[分享]WORM_MIMAIL.R 解決方式
« 回覆 #11 於: 2004-01-30 10:02 »
假如是公司用的Mail Server,
還是買套像Sophos的防毒軟體...

現在粉討厭的是,
這毒讓我多收了不少信...

istme

  • 憂鬱的高中生
  • ***
  • 文章數: 130
    • 檢視個人資料
    • http://www.wretch.cc/blog/istme/
[分享]WORM_MIMAIL.R 解決方式
« 回覆 #12 於: 2004-01-30 11:33 »
嘿嘿!! 這我就要說一下了
我公司有買趨勢的防毒軟體
CLIENT端都有安裝 , 且登入時會UPDATE PATTEN
但還是有人中毒!!  

這個病毒好像會盜用 MAIL ADDRESS 亂發信給別人
因為收到的訊息中一直有人警告MAIL 有問題
查了一下發現 IP 不是我的!!
真討厭!! 如何做呢? 發信給對方說那不是我的MAIL 嗎
還是~~
 上帝的歸上帝,凱薩的歸凱薩 ]

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7312
    • 檢視個人資料
[分享]WORM_MIMAIL.R 解決方式
« 回覆 #13 於: 2004-01-30 11:47 »
引述: "istme"
這個病毒好像會盜用 MAIL ADDRESS 亂發信給別人
因為收到的訊息中一直有人警告MAIL 有問題
查了一下發現 IP 不是我的!!
真討厭!! 如何做呢? 發信給對方說那不是我的MAIL 嗎
還是~~


這幾天就是收到不少MIS寄來的警告信,
發信送信我都不認識....

更慘的是,
其中還有一堆求職徵才的信,
我公司還有Mail/IM的Filter,
老闆看到報表後,
真不知道會不會找我去約談...

假如你有中毒,
拜託處理完再上網路,
別再害人了....