Spam problem

[Gerald Galster]

> Da kann ich noch ein paar Namen beisteuern 
> 
> 8c5n201.pdf
> Ypml63k.pdf

schau Dir mal das PDF näher an (strings, less, ...)

Vor einiger Zeit gingen viele PDFs rum, die mit skia erstellt wurden.
Sowas könnte man über den clamd mit yara rules blocken.


[root at server ~]# cat /var/lib/clamav/rules.yara 
rule skia_pdf1 {
	meta:
		description = "skia pdf spam"
	strings:
		$x1 = "Skia/PDF m80"
	condition:
		$x1 and (filesize > 50KB and filesize < 329KB)
}

Signaturen neu laden:
killall -USR2 clamd


Viele Grüße
Gerald