Od jakiegoś czasu uaktywniły się maile z eval code. Cżż nieraz coś nowego by nie zostało wyłapane ale dzięki temu znacznikowi łatwiej jest:) Oto reguła:
header ZABOJCASPAMU_EVAL_CODE X-PHP-Originating-Script=~/eval\(\)'d code/ describe ZABOJCASPAMU_EVAL_CODE X-PHP-Originating-Script zawiera eval\(\)'d code score ZABOJCASPAMU_EVAL_CODE 10
Pierwszy raz ten problem pojawił sie w komentarzach pod tą wiadomością
header LEMAT_316 X-PHP-Originating-Script =~ /eval\(\)’d code/
describe LEMAT_316 Spamer opcje binarne
header LEMAT_317 X-PHP-Script =~ /eval\(\)’d code|for 127\.0\.0\.1/
describe LEMAT_317 Spamer opcje binarne