Acesso direto ao conteúdo
Logotipo Dicas-L, por Ricardo Burile

Busca
Visite também: Segurança Linux ·  UnderLinux ·  VivaOLinux ·  LinuxSecurity ·  NoticiasLinux ·  BR-Linux ·  SoftwareLivre.org ·  [mais]   
 

Você está aqui: Home  → Arquivo Dicas-L

 

Assine a Lista Dicas-L

Receba diariamente por email as dicas
de informática publicadas neste site
Para se descadastrar, clique aqui.

Bloqueando o W95.Hybris no sendmail

Colaboração: Eduardo Maçan

Data de Publicação: 01 de Maio de 2001

Como parece que as pessoas não percebem que o e-mail que chega com o subject "Branca de Neve Pornô" também conhecido como "Snow white and the seven dwarfes" ou "Enanito si, pero con que pedazo!" (tinha uma versão em francês, mas eu não lembro) é um e-mail que carrega um worm anexado.

Não importando a variação linguística desta manifestação do W95.Hybris ele sempre vem com o campo From: do e-mail da seguinte forma: 

  	From: Hahaha <hahaha@sexyfun.net>

Podemos criar um Ruleset local no sendmail pra bloquear e devolver um erro caso a mensagem recebida possua tal header.

Para isso editemos nosso sendmail.mc e adicionemos o seguinte conjunto de regras logo antes do MAILER_DEFINITION: 

  ---------------adicionar ao sendmail.mc-------------------------
  LOCAL_RULESETS
  HFrom: $> CheckFrom
  SCheckFrom
  RHahaha$+               $#error $: 550 This message may contain the Hybris worm
  ------------------------sendmail.mc-----------------------------

Isso cria uma regra para checar o conteúdo do campo From: outras checagens do campo from podem ser adicionadas facilmente, adicionando-se regras (linhas R) ao ruleset acima, ou mesmo de outros headers, como Subject por exemplo criando seu próprio ruleset segundo o modelo.

Após esta adição ao sendmail.mc basta gerar o sendmail.cf novamente e instruir o sendmail a reler sua configuração com kill -HUP <sendmail_pid>

Agora toda mensagem que contiver em seu campo From: uma string começando por Hahaha será bloqueada e o erro 550 com a mensagem "This message may contain the Hybris worm" será devolvido ao remetente do vírus.

Por ser uma regra embutida no servidor SMTP tanto mensagens saindo de seu domínio, como mensagens chegando a ele são verificadas, sem praticamente nenhum impacto perceptível em performance.

Como sempre, a melhor fonte de referência para informação adicional que eu poderia citar é o incontestável "Livro do Morcego" da O'Reilly & Associates.

Veja a relação completa dos artigos de Eduardo Maçan

Formato PDF
 Newsfeed RSS
 Formato para impressão
PDF RSS Imprimir

Referências Adicionais

Referências adicionais sobre os assuntos abordados neste site podem ser encontradas em nossa Bibliografia.

Avalie esta dica

  • Currently 2.98/5
  • 1
  • 2
  • 3
  • 4
  • 5

Avaliação: 3.0 /5 (1575 votos)

Opinião dos Leitores

Seja o primeiro a comentar este artigo
*Nome:
Email:
Me notifique sobre novos comentários nessa página
Oculte meu email
*Texto:
 
  Para publicar seu comentário, digite o código contido na imagem acima
 


Powered by Scriptsmill Comments Script
Treinamentos, Consultorias e Soluçoes em TI. Baseados em softwares livres e padrões abertos para ambientes de missão crítica

Submarino.com.br

Guia Manga Universo

 

 

Inversão de URLs