[ext] Spam problem
Gerald Galster
list+postfixbuch at gcore.biz
Fr Jun 4 15:13:20 CEST 2021
>> Ja, musste sie entfernen, weil das Archiv als "problematisch" geflaggt
>> wurde.
>
> https://drive.google.com/file/d/11HuCiP9SC_qP9EIVaVXVlnGEKQ8k1E90/view?usp=sharing
>
> Jetzt als 7z, password protected. Passwort ist: "my_password" (ohne die "")
Danke für die Samples.
In vielen kamen folgende Strings vor, das sollte relativ sicher sein:
rule shab_pdf1 {
meta:
description = "shab pdf spam"
strings:
$x1 = "Users/root/Desktop"
$x2 = "/shab_html"
condition:
$x1 and $x2
}
Bei drei der Samples hab ich nur die URL-Action als Gemeinsamkeit gefunden:
001c8c0: 0a2f 4120 3c3c 0a2f 5479 7065 202f 4163 ./A <<./Type /Ac
001c8d0: 7469 6f6e 0a2f 5320 2f55 5249 0a2f 5552 tion./S /URI./UR
001c8e0: 4920 2868 7474 703a 2f2f 7169 7072 7269 I (http://qiprri
001c8f0: 6e2e 6368 6172 6d69 6e67 636f 6e64 6f2e n.charmingcondo.
001c900: 636f 6d29 0a3e 3e0a 3e3e 0a65 6e64 6f62 com).>>.>>.endob
Die Regel url_action_pdf1 sucht nach folgender Zeichenkette:
./Type /Action./S /URI./URI (http://
Je nachdem ob man http URLs in PDFs erwartet, könnte das zu weit gefasst sein.
rule url_action_pdf1 {
meta:
description = "url action pdf"
strings:
$x1 = { 0a2f 5479 7065 202f 4163 7469 6f6e 0a2f 5320 2f55 5249 0a2f 5552 4920 2868 7474 703a 2f2f }
condition:
$x1
}
Testen mit:
clamscan -d /var/lib/clamav/<datei-mit-regeln>.yara /pfad/datei.pdf
Viele Grüße
Gerald
Mehr Informationen über die Mailingliste Postfixbuch-users