[MASOCH-L] Nova forma de burlar anti-spam
Ricardo Walter - Opçãonet
rick at opcaonet.com.br
Wed Jun 4 11:15:24 -03 2014
Eu faria desta forma (fiz alguns pequenos ajustes em alguns detalhes):
/bin/egrep -c '\<script[^>]*window\.location[^<]+\<\/script\>'
'$mime_decoded_filename'
Teria que fazer alguns testes com atributos na tag script (Ex: <script type="text/javascript">) e também com a tag em maiúsculo só para ter certeza.
Atenciosamente,
Ricardo Walter
Opcãonet Telecom
+55 45 3253-2277
rick @opcaonet.com.br
----- Mensagem original -----
De: "Leandro" <leandro at allchemistry.com.br>
Para: "Mail Aid and Succor, On-line Comfort and Help" <masoch-l at eng.registro.br>
Enviadas: Quarta-feira, 4 de junho de 2014 10:42:48
Assunto: Re: [MASOCH-L] Nova forma de burlar anti-spam
Ricardo,
Criei uma regex para a tag em HTML assim:
/bin/egrep -c '\<meta[^>]+http-equiv *= *"refresh"[^>]+\>'
'$mime_decoded_filename'
Parece estar funcionando perfeitamente para todos os casos que tenho
aqui. Uma coisa é bloquear todos os anexos de HTML e outra é bloquear
todos aqueles que fazem redirecionamento. Acho que dá para implementar
desta segunda forma sem medo.
Porém este caso do redirecionamento em javascript, eu precisaria
entender melhor para escrever um regex confiável. Se eu colocar algo do
tipo:
/bin/egrep -c '\<script\>[^>]*window\.location[^>]+\</script\>'
'$mime_decoded_filename'
você acha que ele vai pegar todos os casos corretamente sem dar falsos
positivos?
Leandro Carlos Rodrigues
TI All Chemistry do Brasil
(11) 3014-7100
Em 04/06/2014 09:21, Ricardo Walter - Opçãonet escreveu:
> Ele pode redirecionar via javascript tbm:
> <script>window.location = 'http://endereco'; </script>
>
> Atenciosamente,
>
>
>
>
>
> Ricardo Walter
> Opcãonet Telecom
> +55 45 3253-2277
> rick @opcaonet.com.br
>
>
> ----- Mensagem original -----
>
> De: "Leandro" <leandro at allchemistry.com.br>
> Para: "Mail Aid and Succor, On-line Comfort and Help" <masoch-l at eng.registro.br>
> Enviadas: Quarta-feira, 4 de junho de 2014 9:15:13
> Assunto: Re: [MASOCH-L] Nova forma de burlar anti-spam
>
> Eu peguei todo o conteúdo de um destes anexos e, se ajudar, ele é
> exatamente isto:
>
> <meta http-equiv="refresh" content="0;
> url=http://tayyib.com/bostanciresi/Comprovante.php">
>
> Para quem manja, esta é a única forma de redirecionar usando tag HTML?
>
> Leandro Carlos Rodrigues
> TI All Chemistry do Brasil
> (11) 3014-7100
>
> Em 04/06/2014 09:02, Leandro escreveu:
>> Alan,
>>
>> Ideia genial fazer análise do conteúdo. Seria possível detectar as
>> tags que fazem o redirecionamento. Agora só falta fazer um regex que
>> seja capaz de fazer isto e implementar ele num script.
>>
>> Alguém da lista manja de conteúdo HTML para gerar deste regex para a
>> comunidade?
>>
>> Leandro Carlos Rodrigues
>> TI All Chemistry do Brasil
>> (11) 3014-7100
>>
>> Em 04/06/2014 08:54, Alan C. Besen - TPA Telecomunicações escreveu:
>>> Prezado
>>>
>>> Um site que eu sei que manda anexo HTML e o infoemail do Bradesco.
>>>
>>> Estava analisando como fazer o mesmo filtro/analise de conteudo no
>>> anexo.
>>>
>>>
>>>
>>> -----Original Message-----
>>> From: masoch-l-bounces at eng.registro.br
>>> [mailto:masoch-l-bounces at eng.registro.br] On Behalf Of Leandro
>>> Sent: quarta-feira, 4 de junho de 2014 08:51
>>> To: Mail Aid and Succor, On-line Comfort and Help
>>> Subject: [MASOCH-L] Nova forma de burlar anti-spam
>>>
>>> Pessoal,
>>>
>>> Estamos recebendo uma quantidade massiva de mensagens fraudulentas com
>>> anexos em HTML cujo conteúdo redireciona para o site do criminoso. O
>>> texto
>>> da mensagem geralmente é muito convincente e acaba enganando até os
>>> usuários
>>> mais espertos.
>>>
>>> Estamos com muita dificuldade de criar um filtro eficiente que
>>> elimine este
>>> tipo de mensagem. A única forma que encontramos foi barrar todas as
>>> mensagens que tenham anexos HTML. Como nunca fizemos isto antes,
>>> gostaria de
>>> saber se algum de vocês conhecem casos legítimos de envio de anexos
>>> de HTML
>>> e se são frequentes para eu implementar o filtro sem medo.
>>>
>>> Obrigado.
>>>
>>> --
>>> Leandro Carlos Rodrigues
>>> TI All Chemistry do Brasil
>>> (11) 3014-7100
>>>
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
__
masoch-l list
https://eng.registro.br/mailman/listinfo/masoch-l
More information about the masoch-l
mailing list