SoBig.Worm Virus 퇴치 방법 | |||
| |||
sendmail.cf에 아래의 내용을 추가해 주세요. #### Sobig.worm HSubject: $>Check_Sobig D{Sobigmsg}Access Denied - This message may contain a virus. SCheck_Sobig RThank you! $#error $: 550 ${Sobigmsg} RYour details $#error $: 550 ${Sobigmsg} RRe: Thank you! $#error $: 550 ${Sobigmsg} RRe: Details! $#error $: 550 ${Sobigmsg} RRe: Re: My details $#error $: 550 ${Sobigmsg} RRe: Approved $#error $: 550 ${Sobigmsg} RRe: Your application $#error $: 550 ${Sobigmsg} RRe: Wicked screensaver $#error $: 550 ${Sobigmsg} RRe: That movie $#error $: 550 ${Sobigmsg} ** 참고 $#error앞은 <tab>입니다. 사례2) ####################################################### ### 작성자 : Han sang heon ### 작성일 : 2003. 08. 26 ### 플그램명 : spam.sh ### 용 도 : 메일서버에 침투한 Sobig.F 웜 제거 스크립트 ### 사용법 : sh spam.sh directory명 ### 주의사항: 만약 cdb방식 qmail+vpopmail을 사용한다면 vpasswd,vpasswd.cdb가 message.txt파일의 정보와 매칭시 삭제될 수 있으니 반드시 백업후 사용해야 합니다.. ####################################################### #!/bin/bash FILE=message.txt Mess=`cat $FILE | sed -n '1,$p'` for x in $Mess do grep_result=`grep -r -l $x $1 | awk -F: '{print $1}'` for file in $grep_result do echo $file rm -f $file* done done ### message.txt 파일 생성 Thank you! Your details Details My details Approved Your application Wicked screensaver That movie 사례3) #!/bin/sh # usage : grep_in_file [find string] # 현재의 디렉토리의 파일들의 내용중에 [fund string] 가 있나 없나를 찾아줌 # in file search finding() { for filename in `ls` do if [ -f "$filename" ] then result=`cat $filename | grep $1 | wc -l` if [ $result > 0 ] then echo "$filename $result [ OK ] "; fi fi done return 0 } if [ $1 ] then finding "$1" else echo 사례4) 작성자 : 좋은진호(truefeel, http://coffeenix.net/ ) Sobig.F 웜 때문에 메일이 엄청나게 들어오네요. AntiVir Milter 설치할만한 환경이 안되면 procmail로 막아보세요. /etc/procmailrc 에 다음을 추가해서 메일이 오는 것을 막을 수 있습니다. 외국의 메일링리스트 중에 다음과 같이 쓰는 곳이 있더군요. (빈줄 포함 9줄) --------------------------------------------------------- SPAM_LOG = "/var/log/spam.log" :0HBw * > 70000 * < 120000 * ^Subject:.(Re:.)*(Thank you!|Your details|Details|My details|Approved|Your application|Wicked screensaver|That movie) * [.pif|.scr] * the attached file for details $SPAM_LOG --------------------------------------------------------- 메일 내용은 $SPAM_LOG 로 모두 저장. 필요없으면 /dev/null 로 하세요. 메일 크기는 70K~120K이고, 제목에 위와 같이 있고, 첨부파일이 .pdf 또는 .scr 본문에 the attached file for details 가 들어간 것을 Sobig.F 로 판단합니다. 간단히 다음과 같이 해도 됩니다. (3줄) --------------------------------------------------------- :0 : * ^Subject:.(Re:.)*(Thank you!|Your details|Details|My details|Approved|Your application|Wicked screensaver|That movie) /var/log/spam.log --------------------------------------------------------- 참고 : /etc/mail/sendmail.cf에서 Mlocal, P=/usr/bin/procmail, ... 생략 ... 와 같이 되어 있어야하는 것은 당연 | |||
| |||
| |||
Login for comment |