<=====================================8<=====================================>
Posted By: Ozzy (Inkvizitor) on 'Koudink'
Date: Fri 30.1.2004 8:21.53
Title: Re: Win32/Mydoom (Novarg) a Postfix
Velmi hezka prace :-)
bohuzel prilis jednoucelova. Situaci jsem na primaru vyresil tak ze filtruju
vbe,vbs,com,jb,bat,pif,scr a lnk, cimz jsem odlehcil antiviru
.zip a .exe pochyta antivir ktery driv chudak chytal vsechno.
no a protoze antivir na "relay server" se mi zda jako nespravne reseni, tak
jsem pro dobu nakazy natvrdo zafiltroval na relayserveru krome vyse uvedenych
i .zip a .exe s hlaskou 550 Error: Message content rejected; we do not accept
executable attachments.
a "po prdeli" :)
Nicmene bych kdyz uz se o tom bavime chtel poprosit vsechny kdo administruji
nejaky server s antivirem, at posilaji hlaseni o viru sobe, ale ne na odchozi
zfalsovanou adresu :) Diky :)
Ahoj.
Anzto se tento tyden bavim tim, ze se snazim jeden relay udrzet v chodu
pod
naporem tohohle cerva, posilam, co by se mohlo taky hodit, pokud provozujete
mailserver, a
- neprovozujete antivirus, a snahy dorucit vir na neexistujici adresy, a
snahy dorucit hlaseni o nedorucitelnosti na neexistujici adresy :) plni
frontu serveru nad umerne meze
- provozujete antivirus, a narust scannovanych mailu stroj neumerne
vytezuje
- jste unixak a stve vas prisun Novargu do mailboxu
Udelal jsem statistiku z hafa mailu z virem a vytahl dlouhe stringy z
jeho
base64 zakodovanych casti, ktere jednoznacne identifikuji nektere vetve toho
worma bez parsovani mime a rozbalovani wormova zipu. Urcite ne vsechny, ale
staci to, aby fronta toho meho relaye zustala pod beznymi dvemi tisici mailu
(oproti 35 tisicum ve spicce). Jinymi slovy - od te doby se zatim zadny
Novarg
na server nedostal.
Takze tady, co radek, to vyrez z jedne mutace worma, pokud si to chcete
prelouskat do vlastniho formatu (pro sendmail, pro procmail, pro maildrop,
pro
naklikani do filtru mailoveho programu...). Pokud se nektera ze radek
vyskytne
v tele mailu, je vhodne ho dal do sveta nepoustet. :)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 na http://rook.cz/regexp_body_check je soubor, vhodny primo k
podstrceni direktive body_checks Postfixu (upraveny na regexpy), takhle:
body_checks = regexp:/etc/postfix/regexp_body_check
Mozna budete chtit zmenit REJECT na DROP, ja jsem zlej a soucasne
neporusuju RFCcka. :)
Uzijte ve zdravi.
____________________________________________________________________pharook_
"Mesic je dulezitejsi nez Slunce", reklo dite. "Protoze sviti, kdyz je tma."
Martin OZZY Lipinsky
"Mam tu draka a NEBOJIM SE HO POUZIT !"
<=====================================8<=====================================>
Posted By: pharook (dee do de de) on 'Koudink'
Date: Fri 30.1.2004 12:00.00
Title: Re: Win32/Mydoom (Novarg) a Postfix
Velmi hezka prace :-)
bohuzel prilis jednoucelova. Situaci jsem na primaru vyresil tak ze filtruju
vbe,vbs,com,jb,bat,pif,scr a lnk, cimz jsem odlehcil antiviru
.zip a .exe pochyta antivir ktery driv chudak chytal vsechno.
Jednoucelova? Jo, je to tak, ucel byl v tomhle konkretnim pripade odlehcit
serveru a nemenit za behu zasadne politiku, protoze to bych si na relayi nemel
dovolit. Ucel nebyl zamezit sireni viru, at me ted woknari klidne sezerou. :)
Ale na cilovem mailserveru (kde je navic antivir) je tohle (filtrovat
spustitelne pripony) myslim mnohem rozumnejsi reseni, nez to moje. Pouzivas
tam postfix? Jak tyhle pripony filtrujes spolehlive na smtpd?
no a protoze antivir na "relay server" se mi zda jako nespravne reseni, tak
jsem pro dobu nakazy natvrdo zafiltroval na relayserveru krome vyse
uvedenych
i .zip a .exe s hlaskou 550 Error: Message content rejected; we do not
accept executable attachments.
a "po prdeli" :)
No, to mi prave na relayi pripada jako slusny podraz. Za to, ze filtrujes
viry, Te nikdo bit nebude, ale kdyz mu relay odfiltruje nevinny zip (v exe a
zbyvajicich spustitelnych nevidim problem), ktery je pro spoustu uzivatelu
jedinym zpusobem, jak si predat nejaka vetsi data, spousta firem, kterym ten
relay delas, by Te nemusela mit rada. A ja velmi nerad omezuju bezne
pouzivanou sluzbu, pokud to neni nezbytne nutne. Zakazovat zip uz zavani
takovym - siri se viry, tak proste nebudete posilat prilohy, mate smulu,
stejne je mail vlastne jenom na predavani textovych zprav. :)
Nicmene bych kdyz uz se o tom bavime chtel poprosit vsechny kdo administruji
nejaky server s antivirem, at posilaji hlaseni o viru sobe, ale ne na
odchozi zfalsovanou adresu :) Diky :)
Souhlas, v pripade antiviru to jde a melo by se to tak delat.
Na druhou stranu my, kteri to odfiltrujeme 550kou na smtpd, v podstate
serverum, ktere odmitame, nedavame jinou moznost, nez tohle delat. :))
(Jak rikal jeden muj kolega: Vy rikate, ze jste z Bileho domu? No, tak k
nam do Pentagonu vas nepustime, protoze to vypada, ze mate SARS. Ale pekne
se do toho Bileho domu vratte, a vsem jim tam reknete, ze ten SARS mate. :)))
)
Martin OZZY Lipinsky
____________________________________________________________________pharook_
"Mesic je dulezitejsi nez Slunce", reklo dite. "Protoze sviti, kdyz je tma."
<=====================================8<=====================================>
Posted By: Ozzy (Inkvizitor) on 'Koudink'
Date: Fri 30.1.2004 21:07.48
Title: Re: Win32/Mydoom (Novarg) a Postfix
Ale na cilovem mailserveru (kde je navic antivir) je tohle (filtrovat
spustitelne pripony) myslim mnohem rozumnejsi reseni, nez to moje. Pouzivas
tam postfix? Jak tyhle pripony filtrujes spolehlive na smtpd?
JJ, postfix:
/etc/postfix/main.cf
header_checks = pcre:/etc/postfix/header_checks
body_checks = pcre:/etc/postfix/header_checks
/etc/postfix/header_checks
/^begin \d\d\d .*\.(vbe|vbs|com|jb|bat|pif|scr|lnk)/ REJECT Message content
rejected; we do not accept executable attachments.
/^Content-(Disposition|Type)\:.*name="?.*\.(vbe|vbs|com|jb|bat|pif|scr|lnk)"?/
REJECT Message content rejected; we do not accept executable attachments.
/^\s*(file)?name="?.*\.(vbe|vbs|com|bat|pif|scr|lnk)"?/ REJECT Message
content rejected; we do not accept executable attachments.
(tri radky, tady mi to zalamalo ale snad je to s toho jasne, stazeno nekde
na netu).
no a protoze antivir na "relay server" se mi zda jako nespravne reseni,
tak
jsem pro dobu nakazy natvrdo zafiltroval na relayserveru krome vyse
uvedenych
i .zip a .exe s hlaskou 550 Error: Message content rejected; we do not
accept executable attachments.
a "po prdeli" :)
No, to mi prave na relayi pripada jako slusny podraz. Za to, ze filtrujes
viry, Te nikdo bit nebude, ale kdyz mu relay odfiltruje nevinny zip (v exe
Ah .. tady jde jen o neporozumeni. Tohle neni relay pro odesilani klientu, ale
backup relay pro par domen.
V pripade ze zije primar server pro tu domenu ... nic se nedeje, primar zip
klidne vezme a vyresi si to antivirem.
V pripade ze nezije, tak to zazalohuje vsechny maily krome vyse vyjmenovanych
priloh a o tom prijde slusne upozorneni odesilateli ze to nedorazilo.
Problem totiz je ze ty viry svine kdyz si vezmou na odstrel domenu, tak perou
maily na vsechy MXka dane domeny bez rozdilu priorit. Zatimco primar je v
pripade neexistujiciho usera muze vyfakovat prze hned pri rcpt to: vidi
jestli je to pro validniho usera, tak ten sekundar to nevidi a mail
schroupne. Pak ho primar vyfakuje, a on pak chudak dny a tydny dorucuje
upozorneni na nedojity mail bud nic nechapajicim userum, nebo tak dlouho az
expiruje prze ho neni komu vratit (a fronta se plni).
Kdyz ten vir posle do pryc s 550kou zrovna ze .zip nechce, tak je klid. Dopad
na uzivatele minimalni (zije primar, nikoho nic neomezuje a vsechny zipy co
relay dropuje sou faskt viry), prinos pro server maximalni. A az silena nakaza
pomine tak jednoduse ty .zipy zas umaznu. Mozna. (jasne, stejne jednoucelovy
jak u tebe, s tim rozdilem ze todle "podrti" hodne viru, ne jen tenhle
jeden konkretni).
Nicmene bych kdyz uz se o tom bavime chtel poprosit vsechny kdo
administruji
nejaky server s antivirem, at posilaji hlaseni o viru sobe, ale ne na
odchozi zfalsovanou adresu :) Diky :)
Souhlas, v pripade antiviru to jde a melo by se to tak delat.
Na druhou stranu my, kteri to odfiltrujeme 550kou na smtpd, v podstate
serverum, ktere odmitame, nedavame jinou moznost, nez tohle delat. :))
tam je to v poradku, prze ten vir "se posila primo" takze vyfakujes rovnou
jeho a nikomu nic zpatky neprijde.
Martin OZZY Lipinsky
"Mam tu draka a NEBOJIM SE HO POUZIT !"
<=====================================8<=====================================>
Posted By: Covex (mi'lius) on 'Koudink'
Date: Fri 30.1.2004 21:40.10
Title: Re: Win32/Mydoom (Novarg) a Postfix
Nejvic me dostal "Havetometr"
http://www.viry.cz/go.php
BTW: MyDoom nema jen .zip ale i spoustu jinych ne?
Covex
<=====================================8<=====================================>
Posted By: Covex (mi'lius) on 'Koudink'
Date: Sat 31.1.2004 9:56.32
Title: zase pine
Nevi nekdo z odborniku na pine, lze nejak komprimovat adresare s postou v pine?
Proste mam nektere adresare s v podstate zalozni postou - koukam do ni
jen obcas kdyz hledam nejake informace. U takovych adresaru by mi vubec
nevadilo, kdyby byly na disku zkomprimovane ci tak neco..
Vim ze to muzu presunout jinam a gzipnout, ale az k tomu budu potrebovat..
znate to.:)
Covex
|
