Hi Guys, Ik hebben wat bedacht tijdens RIPE-48 (ja, op de eerste dag al!) :) Check dit en shoot: http://virbl.bit.nl/ -- Met vriendelijke groet, Alex Bik, BIT BV AB2298-RIPE
On Monday, May 03, 2004 9:37 PM [GMT+1=CET], Alex Bik <alex at bit.nl> wrote:
Hi Guys,
Ik hebben wat bedacht tijdens RIPE-48 (ja, op de eerste dag al!) :)
Check dit en shoot:
heyhey, Word ik nu geblacklist als ik je een EICAR stuur? ;-) Een andere belangrijke vraag (naast die je al noemt op je site) is denk ik hoe je om wilt gaan met die data: kun je _alle_ mail van iemand weigeren omdat hij geinfecteerd is met een virus? In sommige gevallen wel denk ik gezien de agressieviteit van sommige virussen, maar in andere gevallen is het misschien wat twijfelachtiger. Ik vind het zeker wel een interessant project verder... mocht je data nodig hebben, dan heb ik ook nog wel eea voor je denk ik. groetjes, Teun Vink Luna.nl
On Mon, 3 May 2004, Teun Vink wrote:
Word ik nu geblacklist als ik je een EICAR stuur? ;-)
Op dit moment kom je met Eicar inderdaad in de db. Dat kan ik er nog wel ff uit filteren.
Een andere belangrijke vraag (naast die je al noemt op je site) is denk ik hoe je om wilt gaan met die data: kun je _alle_ mail van iemand weigeren omdat hij geinfecteerd is met een virus? In sommige gevallen wel denk ik gezien de agressieviteit van sommige virussen, maar in andere gevallen is het misschien wat twijfelachtiger.
Ik zou zeggen: Als iemand een virus stuurt -> IP in de database zetten. Als het niet zo'n aggressief virus is, is hij ook zo weer uit de database.
Ik vind het zeker wel een interessant project verder... mocht je data nodig hebben, dan heb ik ook nog wel eea voor je denk ik.
Ok, thanks. -- Met vriendelijke groet, Alex Bik, BIT BV AB2298-RIPE
On Mon, May 03, 2004 at 11:22:24PM +0200 Alex Bik(alex at bit.nl) wrote:
On Mon, 3 May 2004, Teun Vink wrote:
Word ik nu geblacklist als ik je een EICAR stuur? ;-)
Op dit moment kom je met Eicar inderdaad in de db. Dat kan ik er nog wel ff uit filteren.
je wil zowiezo zo weinig mogelijk false-positives hebben, dus uberhaupt filteren op dergelijk is een goed idee.
Een andere belangrijke vraag (naast die je al noemt op je site) is denk ik hoe je om wilt gaan met die data: kun je _alle_ mail van iemand weigeren omdat hij geinfecteerd is met een virus? In sommige gevallen wel denk ik gezien de agressieviteit van sommige virussen, maar in andere gevallen is het misschien wat twijfelachtiger.
Ik zou zeggen: Als iemand een virus stuurt -> IP in de database zetten. Als het niet zo'n aggressief virus is, is hij ook zo weer uit de database.
misschien een model gebaseerd op de bgp dampening? met penalties en halverings waarde met intervallen? als de counter voor dat ip beneden de threshold komt, dan is 'ie niet meer actief, maar wel nog geregistreerd, zodat ie zo weer "gepromoveerd" kan worden. Just a lot of IMHOs and 0.02 euro. Grtz, Tycho -- Tycho Eggen (Unix|Network|Social) Engineer tycho at e-dude.org +31 6 41 824 855 Jesus saves, but only Buddha makes incremental backups.
| Ik zou zeggen: Als iemand een virus stuurt -> IP in de database zetten. | Als het niet zo'n aggressief virus is, is hij ook zo weer uit de | database. Dit schaalt niet omdat er zo'n 2e9 IP adressen in gebruik zijn, waar de meeste SQL servers niet blij van worden. Iets met een hashed dirstructuur lijkt dus wat beter tegen grote hoeveelheden data te kunnen. Iets van ./213/136/31/1 met daar in '"VIRUSNAAM" "COUNT" "LAST SEEN"; met eventueel ook wat indexes her en der voor het snel doorzoekbaar maken. groet, Pim -- Met vriendelijke groet, BIT BV / Ing P.B. van Pelt PBVP1-RIPE (PGPKEY-4DCA7E5E)
Zoiets dergelijks draait al op Matt's Mailtoaster voor FreeBSD. http://www.tnpi.biz/internet/mail/toaster/ Je kunt in de config aanzetten of je wilt dat je vpopmail/etc/tcp.smtp wordt aangepast zodat hij de virus senders blockt. Dit is echter alleen zo met qmail-vpopmail. Ik zelf gebruik het niet vanwege de al eerder aangegeven redenen, wie weet block je ineens freebsd.org ofzo(argh) Henk Alex Bik wrote:
Hi Guys,
Ik hebben wat bedacht tijdens RIPE-48 (ja, op de eerste dag al!) :)
Check dit en shoot:
participants (6)
-
alex@bit.nl -
henk@wevers.org -
pim@bit.nl -
raymond@prolocation.net -
teun@luna.nl -
tycho@e-dude.org