커피닉스, 시스템 엔지니어의 쉼터 커피향이 나는 *NIX
커피닉스
시스템/네트웍/보안을 다루는 곳
* HanIRC의 #coffeenix 방
[ 장비 및 회선 후원 ]
HOME > 네트워크(network) > 메일 서버(mail) > 메일 필터링(스팸메일) / procmail 도움말
검색 : 사이트 WHOIS 웹서버 종류


  procmail을 이용해서 넷스카이 웜(NetSky Worm) 필터링 작성일 : 2004/08/12 19:49
 
  • 글쓴이 : 좋은진호 ( http://coffeenix.net/ )
  • 조회수 : 5261
          [ 이전화면 / 수정 ]   비밀번호 :     인쇄용 화면
      제  목 : procmail을 이용해서 넷스카이 웜(NetSky Worm) 필터링
    작성자 : 좋은진호(truefeel, http://coffeenix.net/ )
    작성일 : 2004.08.12

    여러종의 넷스카이 웜(NetSky Worm)이 기승을 부리고 있는데, 필터링에 대한 글을 찾아보기 힘들어 제가
    사용하고 있는 필터링 룰을 소개합니다. 워낙 변종들이 많고, 제목 유형도 다양하다 보니 많이 걸리는
    주요 변종을 제외하고는 그냥 주~욱 나열하였습니다.

    1. 필터링

    procmail을 통해 간단히 막는 방법을 알아봅시다.
    /etc/procmailrc 에 다음을 추가해서 수신 받은 웜을 별도 파일로 저장하거나 삭제할 수 있습니다.

     
    WORM_LOG= "/data/WORM.log"

    # -------------------------
    # Win32/Netsky.worm.28008 웜 (변종 Q)
    # http://info.ahnlab.com/smart2u/virus_detail_1358.html
    # http://www.symantec.com/region/kr/techsupp/avcenter/venc/data/kr-w32.netsky.q@mm.html
    # 제목 : 'Mail Delivery (failure 메일주소)'
    :0D
    * ^Subject:.*Mail Delivery.*failure
    $WORM_LOG

    :0D
    * ^Subject:.*(Deliver(y|ed)*|Error|Fail(ed|ure)|Mail System|Status|Unknown Exception|ReturnMail).*\(.*@.*\)
    $WORM_LOG

    # -------------------------
    # Netsky.worm.29568 웜
    # http://info.ahnlab.com/smart2u/virus_detail_1351.html
    :0D
    * ^Subject:.(Re: )*(Administration|Bad Request|Delivery (Protection|Server)|Encrypted Mail|(Message )*Error|Extended Mail( System)*|Failure|Mail (Authentification|Server)|Notify|Protected Mail (Delivery|Request|System)|SMTP Server|Secure (SMTP Message|delivery)|Status|Test|Thank you for delivery)$
    $WORM_LOG

    # -------------------------
    # Netsky.worm.16896.B 웜
    # http://info.ahnlab.com/smart2u/virus_detail_1342.html
    :0D
    * ^Subject:.*Re: *<.*>.*(Approved|Improved|Details|(My|Your) details|Document|(My|Your|Requested) document|Information|My information|(My|Requested) file)$
    $WORM_LOG

    # -------------------------
    # Netsky.worm.17424 (변종 D) 또는 Netsky.worm.27648 (변종 G)
    # 두 변종 웜의 메일 제목은 동일함
    # http://info.ahnlab.com/smart2u/virus_detail_1330.html
    # http://info.ahnlab.com/smart2u/virus_detail_1336.html
    :0D
    * ^Subject:.(Re: )*([Aa]pproved|[Dd]etails|Document|(Excel|Word) file|[Hh]ello|[Hh]i|here|My datails|Message|[Tt]hanks!)$
    $WORM_LOG

    :0D
    * ^Subject: *Re: *Your [a-z][a-z][a-z]+$
    $WORM_LOG

    # -------------------------
    # Netsky.worm 변종 및 기타 웜 변종
    # http://www.krcert.org/detail/2004/Win32_Netsky.html
    :0D
    * ^Subject:.(Re: )*(improved|(Approved |word |Your )*document|Info|hey|read it immediately|(important )*[i|I]nformation|something for you|Hello.*congratulations!|screensaver|Wow|test|important|[Tt]ext|website|(Error in|Stolen) document|Correction)$
    $WORM_LOG

    :0D
    * ^Subject:.(Re: )*(Is that your (document|password)\?|Here is the document|Does it matter\?)$
    $WORM_LOG

     

    * 다운로드 http://coffeenix.net/truefeel/files/worm_filter.rc.txt

    메일 내용은 $WORM_LOG 로 모두 저장. 필요없으면 /dev/null 로 하세요.

    - 모두 제목을 통해서만 합니다.
    - Re: Re: Hi 와 같이 'Re:' 가 여러 개 들어가도 필터링을 합니다.
    - 대소문자를 구합니다. (D 옵션 사용함)

    2. 참고글

    * Netsky.worm.29568 웜
      http://info.ahnlab.com/smart2u/virus_detail_1351.html
    * Netsky.worm.16896.B 웜
      http://info.ahnlab.com/smart2u/virus_detail_1342.html
    * Netsky 웜의 변종에 대해 정리된 글
      http://www.krcert.org/detail/2004/Win32_Netsky.html
      커피닉스 카페 최근 글
    [07/14] SSL АО
    [04/26] Re: 도스화면 원격조종 여부
    [04/25] 도스화면 원격조종 여부
    [10/30] Cshell에서 난수 설정
    [10/23] 공항철도주식회사 SE 구인 件
    [01/26] Re: wget으로 다른서버에있는 디렉토리를 가져오려고합니다.
    [01/25] wget으로 다른서버에있는 디렉토리를 가져오려고합니다.
    [01/11] 특정 안드로이드 WebView 버전에서 SSL 문제 (WebView 버그)
    [08/01] DNS forwarder (전달자) 서버를 통해서 쿼리하면 역방향을 받아오질 못합니다.
    [05/16] (주)후이즈 시스템엔지니어 (경력자) 모집
    [02/15] [AWS] Cloudfront edge 확인하기
    [01/20] Mobile Service/eCommerce 기업에서 Server / Java / PHP 개발자 구인
    [01/11] 탄탄한 퍼블리싱 모바일기업에서 Mobile 개발자를 모십니다.
    [01/11] 탄탄한 퍼블리싱 모바일기업에서 Web Front 개발자를 모십니다.
    [01/11] 탄탄한 퍼블리싱 모바일기업에서 Server 개발 팀장을 모십니다.
      New!   최근에 등록한 페이지
      KiCad EDA Suite project (Free/Libre/Open-Source EDA Suite) (CAD)
      오픈캐스케이드 캐드 (OpenCASCADE CAD)
      QCad for Windows --- GNU GPL (Free Software)
      The Hello World Collection
      IPMI를 활용한 리눅스 서버관리
      DNS 설정 검사
      nagiosgraph 설치 방법
      Slony-I 설치 방법 (postgresql replication tool)
      Qmail기반의 Anti spam 시스템 구축하기
      clusterssh

    [ 함께하는 사이트 ]




    운영진 : 좋은진호(truefeel), 야수(yasu), 범냉이, sCag
    2003년 8월 4일~