[FUGSPBR] Eliminando anexos suspeitos com snort
Carlos Augusto Silva
carlos em tvcultura.com.br
Qui Maio 9 16:00:07 BRT 2002
Galera, muito obrigado pelas mensagens, sou muito grato, mas ... (sempre
tem um mais) hehehehe.
Com o procmail, eu terei que executa-lo na mesma máquina que roda o servidor
de email. O que fará com que o serviço de email fique mais lento.
A idéia seria uma 3º máquina rodando o snort e bloqueando os anexos .pif
Qualquer ajuda será muitoooo bem vinda :)
Carlos
----- Original Message -----
From: "opcode" <opcode em viavale.com.br>
To: <fugspbr em fugspbr.org>
Sent: Thursday, May 09, 2002 3:45 PM
Subject: Re: [FUGSPBR] Eliminando anexos suspeitos com snort
>
> Voce naum pode deixar o ponto de fora, mas mesmo assim pode causar
> problemas e barrar outras mensagens. Voce pode barrar arquivos .pif com
> o procmail ou com seu smtpd.
>
>
> _________________
> Cristiano Maynart
> opcode em via.com.br
>
>
> Carlos Augusto Silva wrote:
> >
> > Tudo bem... Essa regra eu já tenho implementada aqui no servidor. :)
> > Mas no lugar do content eu coloco .pif ?
> > Porque ai, se tiver uma palavra contendo pif num email por exemplo, ele
não
> > vai barrar ?
> >
> > Obrigado,
> > Carlos
> >
> > ----- Original Message -----
> > From: "opcode" <opcode em viavale.com.br>
> > To: <fugspbr em fugspbr.org>
> > Sent: Thursday, May 09, 2002 2:29 PM
> > Subject: Re: [FUGSPBR] Eliminando anexos suspeitos com snort
> >
> > > Carlos.
> > >
> > > Uma maigo me passou essa configuracao mas naum cheguei a testar, sendo
> > > que nesta regra estah sendo barrado o virus KLEZ(aquele q andou
> > > visitando ateh nossa lista), o qual possui este conjunto de
caracteres,
> > > entaum eh soh alterar pra .pif
> > >
> > >
> > > alert tcp any any -> $HOME_NET 25 (msg:"Virus - KLEZ no trafego de
> > > email";
> > > content:"TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAA";
> > > classtype:misc-activity;
> > > rev:3; resp:rst_all;)
> > >
> > >
> > >
> > > ____________________
> > > Cristiano Maynart
> > > opcode em via.com.br
> > >
> > >
> > >
> > > Carlos Augusto Silva wrote:
> > > >
> > > > Pessoal,
> > > > Por Favor...
> > > > Será que alguém conhece alguma regra do Snort que barre emails com
> > anexos
> > > > suspeitos, tipo arquivos .pif
> > > > Sei que o rst_all corta a conexão TCP/IP quando encontra
determinados
> > dados
> > > > num pacote.
> > > >
> > > > Obrigado,
> > > >
> > > > Carlos
> > > >
> > > > ______________________________________
> > > > fugspbr em fugspbr.org
> > > > http://www2.fugspbr.org/mailman/listinfo/fugspbr
> > > ______________________________________
> > > fugspbr em fugspbr.org
> > > http://www2.fugspbr.org/mailman/listinfo/fugspbr
> > >
> >
> > ______________________________________
> > fugspbr em fugspbr.org
> > http://www2.fugspbr.org/mailman/listinfo/fugspbr
> ______________________________________
> fugspbr em fugspbr.org
> http://www2.fugspbr.org/mailman/listinfo/fugspbr
>
______________________________________
fugspbr em fugspbr.org
http://www2.fugspbr.org/mailman/listinfo/fugspbr
Mais detalhes sobre a lista de discussão freebsd