Ostatnio pojawiła się duża ilość spamu z loginem support@ w mailu. Znany i nielubiany BinBot znaczy się. Nie ma już w treści tego słowa ale odsyła na taką stronę. Domeny są zmieniane i ciężko po domenie wychwycić tego rodzaju spam. Ale i na to programy antyspamowe mogą poradzić. We wpisie o X-PHP-Script jest pokazane jak zbudować regułę wychwytującą istnienie nagłówka. Jest też uwaga uwaga o tym, że podobne reguły są już w SA. jak wychwycić spam z support@ i zmieniającymi się domenami? W loginie musi byc oczywiście support@ i oprocz tego jeden z dwóch nagłówków: X-PHP-Originating-Script (która jest opisana w tym wpisie lub X-PHP-Script. Czasem pojawia się mail i należy wykorzystać regułę z wcześniejszym wpisie ZABOJCASPAMU_XMAILER_PHP.
Oto reguły wychwytujące nagłówki (wszystkie potrzebne do działania tej reguły)
header ZABOJCASPAMU_X_PHP_Script exists:X-PHP-Script describe ZABOJCASPAMU_X_PHP_Script Zawiera naglowek X-PHP-Script score ZABOJCASPAMU_X_PHP_Script 4 header ZABOJCASPAMU_X_PHP_Originating exists:X-PHP-Originating-Script score ZABOJCASPAMU_X_PHP_Originating 0.1 describe ZABOJCASPAMU_X_PHP_Originating Has X-PHP-Originating-Script header header ZABOJCASPAMU_XMAILER_PHP X-Mailer=~/^(?:PHP|php)/ describe ZABOJCASPAMU_XMAILER_PHP Send by X-Mailer spam score ZABOJCASPAMU_XMAILER_PHP 0.5
A oto reguła:
header __ZABOJCASPAMU_SUPPORT_LOGIN_1 From=~/<support\@/ meta ZABOJCASPAMU_SUPPORT_LOGIN_1 __ZABOJCASPAMU_SUPPORT_LOGIN_1 && (ZABOJCASPAMU_XMAILER_PHP ||ZABOJCASPAMU_X_PHP_Script || ZABOJCASPAMU_X_PHP_Originating) describe ZABOJCASPAMU_SUPPORT_LOGIN_1 mail z support@ i majacy naglowki X-PHP-Script lub X-PHP-Originating-Script score ZABOJCASPAMU_SUPPORT_LOGIN_1 8
[Aktualizacja 2015-02-21]
Dzięki komentarzom okazało się, że jednak reguły FSL_* nie są wbudowane w spamassassina. Po prostu ściągnąłem je kiedyś z sieci i oczywiście nie zaznaczyłem, że nie są wbudowane. Stąd całe zamieszanie. Wpis i reguły został zaktualizowany o wszystkie co potrzebne. Oznaczam je z prefixem ZABOJCASPAMU a źródłem ich jest wpis na stronei SpamAssassina z testowymi regułami i moje własne reguły
Zdaje się iż w regułce jest błąd – dwa razy powtórzono ZABOJCASPAMU_XMAILER_PHP w nawiasie.
Faktycznie, Dzięki za zgłoszenie uwagi. Przy przepisywaniu musiało się coś nie ten teges:) Poprawione.
Dzięki za poprawkę 🙂 To musiał być dzień deja vu : „Jest też uwaga uwaga „.
Z innej beczki – czy wiesz może czy regułki FSL_ABUSED_WEB_* są dostępne w SA 3.3.x ?
No i okazało się, że nie ma ich w żadnym SA bo ściągnąłem je z sieci:) Poprawiłem wpis i teraz już wszystkie potrzebne reguły są już na swoim miejscu. Dzięki za informacje bo inaczej by nie działało
Dzięki ! 🙂
A co sądzisz o bonus za eval() w nagłówku typu:
X-PHP-Originating-Script: 1289:.dirs37.php(1482) : eval()’d code
Nagłówka X-PHP-Originating nie sprawdzałem jeszcze. Ale jest na tyle oryginalny, że można punktować za jego obecność więcej niż jest tutaj. Ale trzeba sprawdzić. A co do samego eval to nie zwróciłem uwagi na niego.
Użycie funkcji eva() w skrypcie php jest domeną szkodliwego ‚rozmytego’ kodu. Zwykle w zawirusowanym wordpressie czy innej joomli. W przypadku tego konkretnego spamu obserwujemy obecność nagłówka X-PHP-Script lub X-PHP-Originating-Script z wskazaniem właśnie na „ewaluowany” kod (http://php.net/manual/en/function.eval.php)
sprawdziłem ten nagłówek i ma jedną wadę; występuje bardzo sporadycznie. Przyjrzę się temu jeszcze. u Ciebie jak występuje?
Tak – zdarza się ostatnio w tym spamie z „support@” – i jest do doskonałe ustawienie poczynione przez serwery nadawców. Pozwala wyłapać takie kwiatki. Chociaż z drugiej strony trzeba by się zastanowić czy ustawienie takiego nagłówka w mailach wychodzących nie dyskredytuje trochę bezpieczeństwa. Ujawniamy w końcu delikatnie budowę softu.
No pojawia się faktycznie ale ubijany jest z innych reguł , dodanie tej reguły to ‚zabijanie zabitego’:) poobserwuje to tydzień i zobaczę
Sprawdziłem to i ta reguła jak wystepuje to tylko i wyłącznie jak jest juz wyłapana przez ta z tego postu