我要投稿
  • 您当前的位置:57365.com -> 技术教程 -> 服务器网络 -> 服务器教程 -> 邮件服务器教程 -> 教程内容
  • [ 收藏本页教程 ]
  • 【转贴】利用掐断Sircam的传播途径邮件服务器教程

    教程作者:佚名    教程来源:不详   教程栏目:邮件服务器教程    收藏本页
                  摘要:【转贴】利用掐断Sircam的传播途径
    这篇文章和qmail的杀毒插件,qmail-scanner的原理是一样的,给大家做个参考。

    想从系统级对邮件进行处理,就可以采取这种思路。

    转自:http://buy.sky.net.cn/minisite/sc_scricam.htm


    掐断Sircam的传播途径  
    http://sky.net.cn 天网安全在线 

    ——如何在邮件服务器过滤Sircam

    一种名为Sircam的病毒正悄悄在肆虐、感染电脑,并传送出可能具有高敏感度的档案。该报道,美国联邦调查局(FBI)全国基础设施保护中心的一台电脑上月底感染此种病毒,并以电子邮件方式传送出FBI部分的私人文件。
    多数防毒软件商都把Sircam列为高度危险病毒。据防毒软件公司Central Command称,此病毒7月份名列前茅,当月电脑病毒感染案例中有超过38%由它引起。公众对Sircam的注意不多,与“代号红色”不同,但Sircam病毒的危害却可能更为严重。Sircam病毒主要的危害在于重要信息甚至机密文件的泄漏,且它所传播的邮件地址和主题具有极大的随机性,使用户很难判断所收邮件是否带有病毒。此外,Sircam能够删除C盘所有文件及其目录;同时,每次机器启动时,病毒还将自动在硬盘中写入垃圾文件,直至吞噬硬盘所有可用空间。Sircam病毒比专家预期的更难以对付且存活时间更长,部分原因是该病毒在传播过程中会不断改变。
    现在,各个防病毒软件公司已经推出的各种防护和杀除Sircam的病毒升级包,而且,网络上也列出了手工查杀Sircam的有效方法,可以有效地防止个人用户的机器受Sircam病毒的危害。但是由于Sircam病毒本身具有很强的隐藏性,许多个人用户在感染的Sircam病毒以后还是浑然不觉,而由于Sircam传播的广泛性,还是有相当大量的个人用户受到了Sircam病毒的危害,不断地向外部发出带有本机硬盘文件的邮件,而在整个发送过程中,用户是毫不知情的。因此,为了有效地防止Sircam病毒发作所带来的巨大危害,除了在个人用户中发布各种查杀手段和软件外,还需要掐断Sircam的传播途径,Sircam的危害和传播主要是通过电子邮件来实现的,因此,在邮件服务器上过滤Sircam病毒,便成了掐断传播途径的最有效的方法。
    Sircam病毒所发出的电子邮件具有很典型的表现形式,邮件正文是如下的一段英文或西班牙文,中间内容有可能出入,但首尾两句不变。
    英文:Hi! How are you? 
    I send you this file in order to have your advice (中间一句有可能不是这样的) 
    See you later. Thanks 
    西班牙文: Hola como estas ? 
    (中间内容有可能是多种情况,首尾不变) 
    最后一行: Nos vemos pronto, gracias.
    Sircam发出的电子邮件具有如此明显的表现特征,客观上也为邮件服务器进行有效的过滤提供了解决思路。只要我们在邮件服务器上把含有这些内容特征的邮件过滤掉,Sircam病毒就会失去传播的媒体介质。
    如何在邮件服务器上过滤掉这些含有内容特征的邮件呢?
    下面,我们以运行在Linux下的Qmail邮件服务器为例,来具体说明如何在邮件服务器上对Sircam所发出的电子邮件进行过滤。

    一、要把邮件过滤程序qmfilt的各个文件取回来,具体地址如下:
    http://cvs.sourceforge.net/cgi-bin/viewcvs.cgi/qmfilt/qmfilt/qmfilt.py(这是邮件过滤主程序)
    http://cvs.sourceforge.net/cgi-bin/viewcvs.cgi/qmfilt/qmfilt/qmfilt?rev=1.3&content-type=text/vnd.viewcvs-markup(这是邮件过滤程序的配置文件)

    二、在安装qmfilt之前,需要先对Qmail的Qmail-queue打个补丁,具体的补丁源程序在地址http://www.qmail.org/qmailqueue-patch下载

    三、补丁打好后,就可以开始安装Qmfilt,先把主程序qmfilt.py拷贝到系统的/var/qmail/bin里,同时把配置文件qmfilt拷贝到/var/qmail/control里,建立一个文件/var/log/qmfilt,来记录邮件过滤的日志,把这个文件改成是属于qmaild的,让qmaild可以有写入数据的权限。一切准备好以后,可以以测试模式运行一下Qmfilt,“./qmfilt.qy –test”,如果一切正常,就可以开始做配置文件的设置。

    四、接下来我们需要设置邮件服务器的过滤程序,我们通过修改/etc/tcp.stmp使邮件服务器启动mfilt.py来对邮件进行检查及过滤,具体步骤如下:

    修改/etc/tcp.stmp成一下的样子:
    127.:allow,RELAYCLIENT="",QMAILQUEUE="bin/qmfilt.py"
    :allow,QMAILQUEUE="bin/qmfilt.py"
    然后重新生成cdb库:
    /usr/local/bin/tcprules /etc/tcp.smtp.cdb /etc/tcp.smtp.tmp < /etc/tcp.smtp
    这样,当有邮件到达邮件服务器的时候,邮件服务器就会启动qmfilt.py来对邮件进行检查及过滤。

    五、这里我们开始要设置qmfilt过滤程序,需要把要过滤的字符串加入到qmfilt的过滤配置文件中。根据Sircam病毒的特点,我们必须配置好配置文件qmfilt,根据Sircam邮件的表现形式,可以把qmfilt配置成以下形式:

    SirCam %%^Hi!How are you%%
    SirCam2 %%^I send you this file in order%%

    六、重新启动邮件服务器使刚才我们所进行的过滤设置生效,重启后查看Qmail的服务进程,如果可以看到以下信息,就表明Qmfilt过滤程度已经正常运作了:
    `-tcpserver-+-4*[qmail-smtpd]
    -3*[qmail-smtpd---qmfilt.py]

    七、你可以通过查看log文件/var/log/qmfilt,可以看到,满足条件的Sircam邮件都已经被邮件服务器过滤掉了:
    Thu Aug 9 00:28:53 2001 - Matched [SirCam2 ]
    Thu Aug 9 00:28:53 2001 - storeInTrap Skiped.
    Thu Aug 9 00:28:59 2001 - Matched [SirCam2 ]
    Thu Aug 9 00:28:59 2001 - storeInTrap Skiped.
    Thu Aug 9 00:29:02 2001 - Matched [SirCam2 ]
    Thu Aug 9 00:29:02 2001 - storeInTrap Skiped.
    Thu Aug 9 00:29:07 2001 - Matched [SirCam2 ]
    Thu Aug 9 00:29:07 2001 - storeInTrap Skiped.
    Thu Aug 9 00:29:42 2001 - Matched [SirCam2 ]
    Thu Aug 9 00:29:42 2001 - storeInTrap Skiped.

    在其他的邮件服务器,也可以采用相类似的办法,对Sircam邮件进行过滤,只要能有效的把Sircam邮件的传播途径消灭掉,再结合对个人电脑进行有效的查杀,很容易就能把Sircam带来的危害减到最低程度,并可以逐渐消灭掉Sircam病毒。
    不光对于Sircam邮件病毒,对所有和Sircam邮件病毒相似的,通过邮件传递并且邮件正文带有明显字符特征的其它邮件病毒,都可以采取类似方法加以阻止。

    我要投稿   -   广告合作   -   关于本站   -   友情连接   -   网站地图   -   联系我们   -   版权声明   -   设为首页   -   加入收藏   -   网站留言
    Copyright © 2009 - 20012 www.www.hxswjs.com All Rights Reserved.57365.com 版权所有