[MASOCH-L] Nova forma de burlar anti-spam

Ricardo Walter - Opçãonet rick at opcaonet.com.br
Wed Jun 4 11:15:24 BRT 2014 

Eu faria desta forma (fiz alguns pequenos ajustes em alguns detalhes): 
/bin/egrep -c '\<script[^>]*window\.location[^<]+\<\/script\>' 
'$mime_decoded_filename' 

Teria que fazer alguns testes com atributos na tag script (Ex: <script type="text/javascript">) e também com a tag em maiúsculo só para ter certeza. 


Atenciosamente, 




	
Ricardo Walter 
Opcãonet Telecom 
+55 45 3253-2277 
rick @opcaonet.com.br 


----- Mensagem original -----

De: "Leandro" <leandro at allchemistry.com.br> 
Para: "Mail Aid and Succor, On-line Comfort and Help" <masoch-l at eng.registro.br> 
Enviadas: Quarta-feira, 4 de junho de 2014 10:42:48 
Assunto: Re: [MASOCH-L] Nova forma de burlar anti-spam 

Ricardo, 

Criei uma regex para a tag em HTML assim: 

/bin/egrep -c '\<meta[^>]+http-equiv *= *"refresh"[^>]+\>' 
'$mime_decoded_filename' 

Parece estar funcionando perfeitamente para todos os casos que tenho 
aqui. Uma coisa é bloquear todos os anexos de HTML e outra é bloquear 
todos aqueles que fazem redirecionamento. Acho que dá para implementar 
desta segunda forma sem medo. 

Porém este caso do redirecionamento em javascript, eu precisaria 
entender melhor para escrever um regex confiável. Se eu colocar algo do 
tipo: 

/bin/egrep -c '\<script\>[^>]*window\.location[^>]+\</script\>' 
'$mime_decoded_filename' 

você acha que ele vai pegar todos os casos corretamente sem dar falsos 
positivos? 

Leandro Carlos Rodrigues 
TI All Chemistry do Brasil 
(11) 3014-7100 

Em 04/06/2014 09:21, Ricardo Walter - Opçãonet escreveu: 
> Ele pode redirecionar via javascript tbm: 
> <script>window.location = 'http://endereco'; </script> 
> 
> Atenciosamente, 
> 
> 
> 
> 
> 
> Ricardo Walter 
> Opcãonet Telecom 
> +55 45 3253-2277 
> rick @opcaonet.com.br 
> 
> 
> ----- Mensagem original ----- 
> 
> De: "Leandro" <leandro at allchemistry.com.br> 
> Para: "Mail Aid and Succor, On-line Comfort and Help" <masoch-l at eng.registro.br> 
> Enviadas: Quarta-feira, 4 de junho de 2014 9:15:13 
> Assunto: Re: [MASOCH-L] Nova forma de burlar anti-spam 
> 
> Eu peguei todo o conteúdo de um destes anexos e, se ajudar, ele é 
> exatamente isto: 
> 
> <meta http-equiv="refresh" content="0; 
> url=http://tayyib.com/bostanciresi/Comprovante.php"> 
> 
> Para quem manja, esta é a única forma de redirecionar usando tag HTML? 
> 
> Leandro Carlos Rodrigues 
> TI All Chemistry do Brasil 
> (11) 3014-7100 
> 
> Em 04/06/2014 09:02, Leandro escreveu: 
>> Alan, 
>> 
>> Ideia genial fazer análise do conteúdo. Seria possível detectar as 
>> tags que fazem o redirecionamento. Agora só falta fazer um regex que 
>> seja capaz de fazer isto e implementar ele num script. 
>> 
>> Alguém da lista manja de conteúdo HTML para gerar deste regex para a 
>> comunidade? 
>> 
>> Leandro Carlos Rodrigues 
>> TI All Chemistry do Brasil 
>> (11) 3014-7100 
>> 
>> Em 04/06/2014 08:54, Alan C. Besen - TPA Telecomunicações escreveu: 
>>> Prezado 
>>> 
>>> Um site que eu sei que manda anexo HTML e o infoemail do Bradesco. 
>>> 
>>> Estava analisando como fazer o mesmo filtro/analise de conteudo no 
>>> anexo. 
>>> 
>>> 
>>> 
>>> -----Original Message----- 
>>> From: masoch-l-bounces at eng.registro.br 
>>> [mailto:masoch-l-bounces at eng.registro.br] On Behalf Of Leandro 
>>> Sent: quarta-feira, 4 de junho de 2014 08:51 
>>> To: Mail Aid and Succor, On-line Comfort and Help 
>>> Subject: [MASOCH-L] Nova forma de burlar anti-spam 
>>> 
>>> Pessoal, 
>>> 
>>> Estamos recebendo uma quantidade massiva de mensagens fraudulentas com 
>>> anexos em HTML cujo conteúdo redireciona para o site do criminoso. O 
>>> texto 
>>> da mensagem geralmente é muito convincente e acaba enganando até os 
>>> usuários 
>>> mais espertos. 
>>> 
>>> Estamos com muita dificuldade de criar um filtro eficiente que 
>>> elimine este 
>>> tipo de mensagem. A única forma que encontramos foi barrar todas as 
>>> mensagens que tenham anexos HTML. Como nunca fizemos isto antes, 
>>> gostaria de 
>>> saber se algum de vocês conhecem casos legítimos de envio de anexos 
>>> de HTML 
>>> e se são frequentes para eu implementar o filtro sem medo. 
>>> 
>>> Obrigado. 
>>> 
>>> -- 
>>> Leandro Carlos Rodrigues 
>>> TI All Chemistry do Brasil 
>>> (11) 3014-7100 
>>> 
>>> __ 
>>> masoch-l list 
>>> https://eng.registro.br/mailman/listinfo/masoch-l 
>>> 
>>> __ 
>>> masoch-l list 
>>> https://eng.registro.br/mailman/listinfo/masoch-l 
>> __ 
>> masoch-l list 
>> https://eng.registro.br/mailman/listinfo/masoch-l 
> __ 
> masoch-l list 
> https://eng.registro.br/mailman/listinfo/masoch-l 
> 
> __ 
> masoch-l list 
> https://eng.registro.br/mailman/listinfo/masoch-l 

__ 
masoch-l list 
https://eng.registro.br/mailman/listinfo/masoch-l

More information about the masoch-l mailing list