Jak pozbyć się spamu „Jutro mozesz zaczynac prace” ?

128-spamassassinOd kilku dni serwery pocztowe męczone są uporczywym spamem pochodzącym z przejętych Wordpresów czy Jomli. Wiadomości mają różne tematy, treści oraz nadawców. Jednak wszystkie mówią o zarabianiu milionów i wysyłane są przez nadawców z losowymi polskimi imionami z nazwiskami. Dużo więc pomoże nam tutaj Bayes w Spamassassin jeżeli oczywiście go używamy ale można mu dodatkowo prosto pomóc dwoma regułkami:

 

  1. Pierwsza reguła szuka nagłówka który powinien być dołączany na hostingach i w nim treści wskazującej na przejęcie skryptu:

header SPAM_1 X-PHP-Originating-Script =~ /eval\(\)’d code/
describe SPAM_1 Spam X-PHP
score SPAM_1 5

Tak to wygląda w praktyce:

X-PHP-Originating-Script: 10059:start24.php(1946) : eval()’d code

2. Druga reguła jest już nastawiona na treść maila i szuka w niej URL’a który jest podobny do tego używanego w spamie. To tak naprawdę jedyna cecha wspólna tego spamu którą możemy użyć do reguł:

uri SPAM_2 /\.php\?\w{1}=\d{3}&\w+=\w+&\w+=\w+&\w+=\w+/i
describe SPAM_2 SPAM – URL1
score SPAM_2 10

URL w wiadomościach wygląda tak:

[ http://DOMAIN.TLD/footer.php?l=115&LVZ=MhKfFTLgoTHv&77p=HZp&B=JLhv ] Tutaj znajdziesz wszystkie szczegolowe informacje na ten temat

 

Dodatkowo można też dodać reguły wzmacniające Bayes i nastawione na określone ciągi słów jak np. „technologia zarabia pieniadze” „obrzydliwie bogaty” „Masz szanse zarobic prawdziwa fortune” i inne aczkolwiek powyższe dwie dość dobrze sobie radzą z tym naporem „bogactwa” 🙂