Od kilku dni serwery pocztowe męczone są uporczywym spamem pochodzącym z przejętych Wordpresów czy Jomli. Wiadomości mają różne tematy, treści oraz nadawców. Jednak wszystkie mówią o zarabianiu milionów i wysyłane są przez nadawców z losowymi polskimi imionami z nazwiskami. Dużo więc pomoże nam tutaj Bayes w Spamassassin jeżeli oczywiście go używamy ale można mu dodatkowo prosto pomóc dwoma regułkami:
- Pierwsza reguła szuka nagłówka który powinien być dołączany na hostingach i w nim treści wskazującej na przejęcie skryptu:
header SPAM_1 X-PHP-Originating-Script =~ /eval\(\)’d code/
describe SPAM_1 Spam X-PHP
score SPAM_1 5
Tak to wygląda w praktyce:
X-PHP-Originating-Script: 10059:start24.php(1946) : eval()’d code
2. Druga reguła jest już nastawiona na treść maila i szuka w niej URL’a który jest podobny do tego używanego w spamie. To tak naprawdę jedyna cecha wspólna tego spamu którą możemy użyć do reguł:
uri SPAM_2 /\.php\?\w{1}=\d{3}&\w+=\w+&\w+=\w+&\w+=\w+/i
describe SPAM_2 SPAM – URL1
score SPAM_2 10
URL w wiadomościach wygląda tak:
[ http://DOMAIN.TLD/footer.php?l=115&LVZ=MhKfFTLgoTHv&77p=HZp&B=JLhv ] Tutaj znajdziesz wszystkie szczegolowe informacje na ten temat
Dodatkowo można też dodać reguły wzmacniające Bayes i nastawione na określone ciągi słów jak np. „technologia zarabia pieniadze” „obrzydliwie bogaty” „Masz szanse zarobic prawdziwa fortune” i inne aczkolwiek powyższe dwie dość dobrze sobie radzą z tym naporem „bogactwa” 🙂