[GTER] Dica: Postfix - body_checks - virus Mydoom at MM

Anderson Nadal security at onda.com.br
Mon Feb 2 08:14:15 -02 2004


Julio, só uma duvida,

Voce esta usando pcre ou regexp?

[]'s
Nadal


Julio Cesar Covolato wrote:

>	Olá Wyvern!
>
>	Não uso mais o sendmail a muito tempo, mas sei que dá pra fazer
>controle do "body" (e header) via regex no sendmail.cf a partir
>do sendmail.11.6 (eu acho...).
>
>	Algum guru de sendmail pode se pronunciar?
>
>	A propósito, acabei de atualizar o pattern, achei um
>padrão que não estava previsto no virus mydoom:
>
>http://psi.com.br/~julio/postfix/body_checks
>
>	Abraços,
>
>-----------------------------
>    _    Julio Cesar Covolato
>   0v0   <julio at psi.com.br>
>  /(_)\  F: 55-11-3129-3366
>   ^ ^   PSI INTERNET
>-----------------------------
>
>On Sat, 31 Jan 2004, Wyvern wrote:
>
>  
>
>>Essas regras valem apenas para o Postfix, ou podem ser aplicadas ao
>>Sendmail???
>>
>>[]s
>>----- Original Message -----
>>From: "Antonio Carlos Pina" <apina at infolink.com.br>
>>To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
>><gter at eng.registro.br>
>>Sent: Saturday, January 31, 2004 10:41 AM
>>Subject: Re: [GTER] Dica: Postfix - body_checks - virus Mydoom at MM
>>
>>
>>    
>>
>>>Julio,
>>>
>>>Otimos patterns.
>>>
>>>Eu costumo colocar minhas regras BASE64 dentro de um bloco assim:
>>>
>>>#So entra nos testes de BASE64 se for Base64
>>>IF /^[0-9a-z+\/=]{60,}\s*$/
>>>
>>>(... regras de BASE64, como as suas ...)
>>>
>>># Economiza tempo nao rodando body_checks para cada linha do attachment
>>>/^[0-9a-z+\/=]{60,}\s*$/ OK
>>>ENDIF
>>>
>>>Esse bloco fica no inicio do meu body_checks e dessa forma evito que o
>>>body_checks teste cada linha de um attachment inutilmente.
>>>
>>>Cordialmente,
>>>Antonio Carlos Pina
>>>Diretor de Tecnologia
>>>INFOLINK Internet
>>>http://www.infolink.com.br
>>>----- Original Message -----
>>>From: "Julio Cesar Covolato" <julio at psi.com.br>
>>>To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
>>><gter at eng.registro.br>
>>>Sent: Saturday, January 31, 2004 4:05 AM
>>>Subject: [GTER] Dica: Postfix - body_checks - virus Mydoom at MM
>>>
>>>
>>>
>>>Me desculpem pelo OT. E´ que já postei a alguns dias esta dica e
>>>descobri que ela tem um bug. O 'pattern' usado para bloquear o Mydoom at MM,
>>>pode dar falsos positivos em arquivos com extensão *.zip.
>>>
>>>Se alquém aplicou minha regra anterior, por favor atualize-a.
>>>Segue a url com o 'pattern' correto:
>>>
>>>http://psi.com.br/~julio/postfix/body_checks
>>>
>>>Esta url é um "hard link" para meu /etc/postfix/body_checks
>>>(pcre), portanto, podem consultá-la exporadicamente (sem abusos, hein ;-).
>>>
>>>PS.: Adicionei o pattern para o virus W32/Mimail.j at MM
>>>
>>>
>>>Abraços,
>>>
>>>
>>>-----------------------------
>>>    _    Julio Cesar Covolato
>>>   0v0   <julio at psi.com.br>
>>>  /(_)\  F: 55-11-3129-3366
>>>   ^ ^   PSI INTERNET
>>>-----------------------------
>>>
>>>--
>>>GTER list    https://eng.registro.br/mailman/listinfo/gter
>>>
>>>--
>>>GTER list    https://eng.registro.br/mailman/listinfo/gter
>>>
>>>Esta mensagem foi verificada pelo E-mail Protegido Terra.
>>>Scan engine: VirusScan / Atualizado em 29/01/2004 / Versão: 1.4.1
>>>Proteja o seu e-mail Terra: http://www.emailprotegido.terra.com.br/
>>>
>>>
>>>      
>>>
>>--
>>GTER list    https://eng.registro.br/mailman/listinfo/gter
>>
>>    
>>
>
>--
>GTER list    https://eng.registro.br/mailman/listinfo/gter
>
>  
>

-- 
+-------------------------------------------------------+
|                  Anderson Nadal                       |
|              nadal at ondacorp.com.br                    |
|        RHCE - Red Hat Certified Engineer              |
|                Coordenador Tecnico                    |
|             Onda Provedor de Serviços S/A             |
|           www.onda.com.br - (41) 3025-3000            |
|        Provendo Seguranca para seus negocios!         |
|          Registered Linux User: 56841                 |
|     PGP KEY: www.keyserver.net KEY ID 6ABB668D        |
+-------------------------------------------------------+ 




More information about the gter mailing list