老地方冰果室交流區

不曉得是前一陣子兩個大病毒的後遺症還是微軟又吃錯了什麼藥，從昨天晚上開始就有一大堆 Windows 機器瘋狂的發信。:evil:

小弟我今天一早一開信箱，赫！450封信。全都是 .pif 夾檔的病毒信！我的信件主機是 RH73 + Postfix 2.0.13，雖然不受影響，可是 log 檔一夜之間就長了 500 多 M，每個使用者的 Spool 也都長到 100 多 M，硬碟分割區吃掉了 45%。:evil:

花了一個上午搶救信件，然後找出亂發信的來源把 ip 封鎖。可是到了下午三點...又是一百多封信啦...

於是上午的動作再來一次...

冰果室這邊的讀者群臥虎藏龍，有不少功力高深之士。拜託哪位高人救救小弟吧！要是明天再來一次的話...我就要把網路線拔掉然後宣稱是中華電信斷線。

ulysses 寫:小弟我今天一早一開信箱，赫！450封信。全都是 .pif 夾檔的病毒信！我的信件主機是 RH73 + Postfix 2.0.13，雖然不受影響，可是 log 檔一夜之間就長了 500 多 M，每個使用者的 Spool 也都長到 100 多 M，硬碟分割區吃掉了 45%。:evil:

你試試看 SPAMASSASSIN 吧 http://au2.spamassassin.org/index.html

這個東西雖然是檔 spam, 不過因為 Sobig 的 pattern 非常明確，你可以在收到 /var/mail 之前把這些垃圾先丟掉

未來如果有 跑 port 80 的蟲的話，httpd 的 error_log 也是很可怕的, 你可以事先做點研究，避免記錄那種錯誤訊息. 大概利用的是 SetEnvIfNoCase 之類的設定。

why not install a mail filter on the server to reject mail with .pif,.vbs, .bat , etc. attachment?

Filter 我試過 SpamAssassian 還有一個叫啥子 JunkNinja 之類的，都是 Perl 寫的，不過不知為啥都一直跑不起來。似乎是 RH73 的 Perl 有缺什麼東西，SpamAssassian 設定的時候自動抓和手動抓都連線失敗。寫信到 Maillist 去問有個傢伙叫我重新 Compile Kernel，我就放棄了。我也有裝過一個 OpenSource 的 AntiVirus，不過似乎沒啥路用。之前的 Nimda 都攔不下來，後來就沒裝了。我現在都是用 Postfix 自己的 access 和 pcre:header_checks 來濾廣告信。語法比 SpamAssassian 簡單，可是似乎功能不大夠，而且碰到 2Byte 字元就失效。

這次的事件是 Sobig 搞的嗎？有沒有什麼現成的 pattern 可以讓我參考一下？我不大會設 multypart 形式的信件的過濾器。

另外，請教一下有沒有什麼比較好用的 Filter？我希望不只是在進到 spool 之前砍掉，最好是在 header 階段就砍。我的信件主機平常就平均每秒鐘有兩個連線在傳送信件，每天的 Log 正常狀況大約是 30M 左右，百分之九十九的信件都是垃圾，我用 GREP 統計過。ADSL 的頻寬有一大半都是被這些東西吃掉的，想到心裡就氣得牙癢癢。