[Aktulizacja 2016-07-26 08:13] Dodanie kolejnych warunków do pierwszej reguły, druga działa cały czas
[Aktualizacja 2016-07-25 12:19] Dodanie kilku warunków do pierwszej reguły
Ostatnio się pojawił nowy-stary spam. Mowa o niemieckich naukowcach co wymyślili jak zarabiać na giełdzie. Kiedys było o tym ale zmienił sie format linku i stara reguła przestała działać. Dziś nowe dwie reguły na to badziewie.
- pierwsza reguła sprawdza czy występują frazy o naukowcach o bogactwie itd oraz czy czy link jest w nawiasach [ ] i pewnego jego właściwości. Link jest ogólny więc aby nie było false positive trzeba sprawdzić głupoty z treści maila
- druga reguła sprawdza sam link i wymaga od niego aby był w [ ] potem aby mial odpowiedni początek i powtórzoną odpowiednio 3 razy fraze Ten pomysł sprawdzania podsunął czytelnik bloga „kilobtes”. I co ciekawe wychwytuje on również inny spam zrobiony tym samym generatorem (tematyka, że sexy dziewczyny itd).Tu nic więcej nie jest sprawdzane ponieważ budowa linka jest tak specyficzna, że nie ma potrzeby robić tego.
I ostatnia uwaga: Sporo maili z giełdą łapie sie na regułe z EVAl_DOVE opisaną w poście Wysyp maili z eval code
A oto reguły
body __ZABOJCASPAMU_GIELDA_20160722_1 /\[ http:\/\/[0-9a-z.-]+\/[0-9a-z\/]+\.php\?[a-z]=\d+\&[^\s]+\s\]/
body __ZABOJCASPAMU_GIELDA_20160722_2 /ztuczn.{1,6} inteligencj|czlowiek .{1,6}pi|rogram zrobi wszystko|nwestuj.{1,6}c|owiedz si.{1,6} i zacznij|iemieccy matematycy |iemieccy uczeni|kt.{1,6}ry handluje|na gie.{1,6}dzie|rynek gie.{1,6}dowy|wszystko sam|pa niemieckich|zarabia pieniadze|bedzie zabroniony|niemieckich uczon|BankBot|odmienic twoje|wicie bogaty/
meta ZABOJCASPAMU_GIELDA_20160722 __ZABOJCASPAMU_GIELDA_20160722_1 && __ZABOJCASPAMU_GIELDA_20160722_2
describe ZABOJCASPAMU_GIELDA_20160722 Zarabiane na gieldzie, niemieccy uczeni https://zabojcaspamu.pl/niemieccy-naukowcy-wymyslili-zarabiac-gieldzie/
score ZABOJCASPAMU_GIELDA_20160722 10
body ZABOJCASPAMU_GIELDA_20160724 /\[ http:\/\/[0-9a-z.-]+\/[0-9a-z\/]+\.php\?[a-z]=\d\d\d(\&[a-zA-Z0-9]+\=[a-zA-Z0-9]+){3} \]/
describe ZABOJCASPAMU_GIELDA_20160724 Gielda ,zarabianie,niemieccy uczeni https://zabojcaspamu.pl/niemieccy-naukowcy-wymyslili-zarabiac-gieldzie/
score ZABOJCASPAMU_GIELDA_20160724 7
Dzięki, niestety jeszcze niektóre przechodzą.
From: Piotr Kowalczyk
Subject: Chcesz byc naprawde bogaty?
Message-ID:
X-Priority: 3
X-Mailer: PHPMailer 5.2.9 (https://github.com/PHPMailer/PHPMailer/)
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=”b1_4a1d40787fc0d9f1546e38ee11a71368″
Content-Transfer-Encoding: 8bit
–b1_4a1d40787fc0d9f1546e38ee11a71368
Content-Type: text/plain; charset=us-ascii
Niesamowite!
Zdumiewajace odkrycie matematykow daje ludziom mozliwosc zarabiania milionow, nie robiac praktycznie NIC!
Sztuczna inteligencja zawiera na gieldzie same korzystne transakcje, wykluczajac jakiekolwiek ryzyko strat.
Pozbawiony emocji, sklonnosci do hazardu i agresji program zawsze „trafia w dziesiatke” w 100 przypadkach na 100!
Mam jednak powazne obawy, ze wkrotce ten program „szczescia” zostanie zabroniony.
W przeciwnym razie swiatowy system finansowy znajdzie sie w zagrozeniu.
[ http://www.bvbr.ca/proxy.php?b=113&2Zeiaf61=QTTEMr8CfhjSNbRZdHaT&AKC=2NA&3ogHS=Q ] Jednak masz jeszcze szanse wzbogacenia sie – kliknij w odnosnik!
–b1_4a1d40787fc0d9f1546e38ee11a71368
Content-Type: text/html; charset=us-ascii
Niesamowite!
Zdumiewajace odkrycie matematykow daje ludziom mozliwosc zarabiania milionow, nie robiac praktycznie NIC!
Sztuczna inteligencja zawiera na gieldzie same korzystne transakcje, wykluczajac jakiekolwiek ryzyko strat.
Pozbawiony emocji, sklonnosci do hazardu i agresji program zawsze „trafia w dziesiatke” w 100 przypadkach na 100!
Mam jednak powazne obawy, ze wkrotce ten program „szczescia” zostanie zabroniony.
W przeciwnym razie swiatowy system finansowy znajdzie sie w zagrozeniu.
Jednak masz jeszcze szanse wzbogacenia sie – kliknij w odnosnik!
–b1_4a1d40787fc0d9f1546e38ee11a71368–
Sprawdzilem i ten mail powinien zostac ubity przez pierwszą regułe. I przez kilka innych reguł na tej stronie
X-Spam-Flag: NO
X-Spam-Score: -0.452
X-Spam-Level:
X-Spam-Status: No, score=-0.452 tagged_above=-10 required=3
tests=[BAYES_00=-1.9, HTML_MESSAGE=0.001, RCVD_IN_BRBL_LASTEXT=1.449,
SPF_HELO_PASS=-0.001, SPF_PASS=-0.001] autolearn=no autolearn_force=no
Co jakiś czas przechodzą. Nie rozumiem dlaczego. Czyżby co jakiś czas nie używał Twoich reguł?
Jak wziąłem i sprawdziłem załączony mail w test-mode i wychwycil wszystko. Może domene nadawcy masz w wwhitelist?
Nie mam. Znowu wskoczył jeden. Ale to jest nic w porównaniu z dniem wczorajszym – 200szt złapałem.
Właśnie zauważyłem, że coś dopisałeś. Dzięki – mam nadzieje, że uszczelni.
Dodaj to https://zabojcaspamu.pl/wysyp-maili-z-eval-code/ i moze zwieksz BAYES_00 tak np -1 daj.
Od wczoraj przyszło 14, jest duże lepiej. Jednak niektóre przechodzą, pomimo ‚X-PHP-Originating-Script=~/eval\(\)’d code/’ (jest to w Twoich regułach, więc miałem tą regułę już wcześniej). Po prostu nie zostaje to zauważone. Jakby co jakiś czas nie zwracał uwagi na Twoje reguły. Muszę się temu dokładnie przyjrzeć.
Ta pierwsza reguła czasem nie działa bo nie ma wyszukiwanych fraz(dodaje je co jakiś czas). Ale druga reguła zawsze działa.
Sprawdz pojedycze maile
spamassassin –tes-mode < mail i zobacz punktacje. I wizualnei czy reguła powinna zadziałać
[code]
Content analysis details: (19.8 points, 5.0 required)
pts rule name description
—- ———————- ————————————————–
10 ZABOJCASPAMU_EVAL_CODE X-PHP-Originating-Script zawiera eval\(\)’d
code
4.0 LOCAL_X_PHP_Originating Has X-PHP-Originating-Script header
0.1 ZABOJCASPAMU_X_PHP_Originating Has X-PHP-Originating-Script header
-1.3 RP_MATCHES_RCVD Envelope sender domain matches handover relay domain
0.0 HEADER_FROM_DIFFERENT_DOMAINS From and EnvelopeFrom 2nd level mail
domains are different
7.0 ZABOJCASPAMU_GIELDA_20160724 BODY: Gielda ,zarabianie,niemieccy
uczeni
https://zabojcaspamu.pl/niemieccy-naukowcy-wymyslili-zarabiac-gieldzie/
0.0 HTML_MESSAGE BODY: HTML included in message
[/code]
Wszystko ok, tylko dlaczego ten mail przeszedł podczas systemowego skanowania? Dopiero został złapany „ręcznie”.
Witam super strona dzięki, że coś takiego stworzyłeś !!
Ale do rzeczy myślę ale nie jetem pewien czy czasem w tej regule nie ma błędu?
body __LOCAL_GIELDA_20160722_2 /ztuczn.{1,6} inteligencj|czlowiek .{1,6}pi|rogram zrobi wszystko|nwestuj.{1,6}c|owiedz si.{1,6} i zacznij|iemieccy matematycy |iemieccy uczeni|kt.{1,6}ry handluje|na gie.{1,6}dzie|rynek gie.{1,6}dowy|wszystko sam|pa niemieckich|zarabia pieniadze|bedzie zabroniony|niemieckich uczon|BankBot|odmienic twoje|wicie bogaty/
meta ZABOJCASPAMU_GIELDA_20160722 __ZABOJCASPAMU_GIELDA_20160722_1 && __ZABOJCASPAMU_GIELDA_20160722_2
bo w BODY definiujemy __LOCAL_GIELDA_20160722_2 a w META jest już odniesienie do __ZABOJCASPAMU_GIELDA_20160722_2 może się mylę ale zamiast tego __LOCAL powinno być __ZABOJCASPAMU_GIELDA_20160722_2 ??
Wstyd mi straszny ale faktycznie masz racje. Dzieki za info.Poprawione w pliku rowniez.
na szczescie druga reguła była dobrze ona uwalala
Hehe nic się nie stało – jeszcze raz gratki za super stronę. Jeszcze przechodzi trochę tego spamu, ale dam Twoją regułę na 3 frazy z tym że wyżej bo 5 punktów i zobaczymy 🙂
A spoko, fajnie ze ktos czyta ta strone:)
A co do liku 3 frazy to taka punktacja ryzykowna bo moga miec normalne linki takie uklad
Cześć. Od 3tyg atakują mnie Ci naukowcy w pracy i codziennie po 20 wiadomości do usunięcia. W pracy korzystam z roundcuba i na filtrach mam coś takiego.
http://images75.fotosik.pl/820/5558147aee4688ef.png
Twoich reguł chyba nie mogę tam jakoś wkleić?
Tez uzywam Roundcuba ale nie bedzie to dzialać. To tylko na serwery. Program ten ni eobsluguje wyrazem regularnych
To co w takim razie zrobić korzystając z Roundcuba? Przenieść się na inną skrzynkę? A Ci naukowcy z czasem sobie pójdą czy będą mnie męczyć do usranej śmierci? Na koncie prywatnym z gmaila cała armia tych naukowców siedzi w spamie, nic się nie przedostaje…
Tzn. naukowców już też nie mam. Wszystko przychodzi pod innymi nazwami. Dużo Lewandowskich teraz mam
np.
///
Joanna Lewandowski
Ten sposob NAPRAWDE zwiekszyl moje dochody o 79%
Rok temu nie bylam w stanie kupic dziecku nawet zabawki, poniewaz sa drogie a ja jako manager zarabialam niewiele. Placz dziecka – to dla matki silny bodziec.
Przekopalam caly Internet zanim znalazlam SPRAWDZONY sposob na to, aby zapewnic utrzymanie sobie i swojemu dziecku. Nakrecilam nawet filmik, w ktorym szczegolowo opowiadam w jaki sposob KAZDY moze zarobic w Internecie swoje $. Klikajcie tutaj i patrzcie.
Pierwsze moje porady i wsparcie BEZPLATNIE.
///
No i link gdzieś w środku ..
Zaznacz w Roundcube „treść” „pasuje do regex” i wklej wyrażenie, ja dziś wykminiłem takie:
http:\/\/\w+(\-\w*)?(\.\w*)?\.\w{2,3}\/\w+\.php\?\w{1}=116&2xAuW
i działa na wszystkich naukowców i ich następców jakie do tej pory dostałem
Druga opcja: w Roundcube masz zainstalowane bądź powinieneś móc zainstalować skrypty sieve i to również obsługuje regex, tylko trzeba się douczyć składni tego języka
ale powinno sie łapac na te regułe jedną.z budowa linku.
U mnie nie działała. Zacząłem tworzyć po kolei od początku i wyszło, że chyba nie obsługuje nawiasów kwadratowych [ ]
musi obslugiwac . Sprawdz piszac tak \[
Witam
U mnie niemieccy naukowcy wyewoluowali do postaci maila z co chwila zupełnie inną treścia i tematem, pojawia sie ok 5 dziennie . link jest również za każdym razem inny. Co z tym robić?
Wyslij mi przez formularz kontaktowy kilka przykladow
Koledzy podpowiedzcie w jaki sposób wykorzystać proponowane reguły do wyłapywania spamu po stronie PC?
Mój serwer pocztowy nie obsługuje wyrażeń regularnych, klient (Thunderbird) z tego co wiem też nie, a reguła sprawdzająca link wycinałaby 90% spamu, który aktualnie zalewa moje konto firmowe. Może jakiś inny przystępny klient poczty?
TB mozna uczyć co jest spamem i nawet to dobrze dziala
https://support.mozilla.org/pl/kb/thunderbird-i-niechciane-wiadomoci
no niby tak, ale nie na „niemieckich naukowców” i tym podobne…
uczyłem go z miesiąc i dopisywałem sam filtry – było już ok, ale kilka dni temu znów zmieniły się tematy i treść maili i cała fatyga na marne, tylko ten link cały czas się łapie na Twoją regułę
Tego rodzaju spam przychodzi najczęściej z adresów, można dostrzec podobieństwo , nazwiska zawsze w rodzaju męskim, kreska między imieniem a nazwiskiem, domeny przeróżne:
jerzy_wisniewski@*
ewa_kowalczyk@*
marcin_wisniewski@*
marek_nowak@*
tomasz_kaminski@*
pawel_kaminski@*
joanna_zielinski@*
zbigniew_lewandowski@*
jozef_kowalczyk@*
Tematy wiadomości:
Wiem w jaki sposob zarobic na samochod oraz dom w ciagu 6 miesiecy
Bylem w stanie splacic wszystkie kredyty w ciagu 2 miesiecy
Wyrwij sie z finansowej niewoli i badz niezalezny
Program, ktory zarabia pieniadze
Chcesz byc niezalezny pod wzgledem finansowym?
Program pracuje przez 24 godziny na dobe i zarabia na moj samochod
Pragniesz kupic dom i samochod? wiec czytaj
Inwestycja, ktora odmieni twoje zycie
Dam ci pieniadze jutro
ostatnia mutacja tego spam to tematy w języku polskim np.:
Dzisiaj będzie super gra – zapraszamy do rejestracji
Jackpot jest dostępny w wysokości 5 000 000 dolarów
Przestań marnować czas – wejdź do klubu milionerów
Weź znajomych na przejażdżkę swoim jachtem – po wygranej u nas