Bom meu caro colega Henrique,

Eu procurei por isso a um tempo atrás quando as minhas regras não estavam barrando os links de trojans e vc me ajudou, lembra?
Bom, no caso das minhas regras para barrar os trojans, descobri que o culpado era o cache do firefox... (putz... traido pelo meu melhor amigo).

No seu caso, vc já tentou isso abaixo?

acl Bloqueia_content_disposition rep_header Content-Disposition -i \.exe
http_reply_access deny Bloqueia_content_disposition

Mais detalhes: http://dropsdef.blogspot.com/2007/06/enganando-as-regras-do-squid-para.html




jmhenrique escreveu:

Olá, companheiros de lista..

recebi um link "virótico" logo pela manhã (novidade...)

ceubba.org.ar/web/modules/clock/%7E/.anexo/Agosto.pdf/?Verificado=SIM

o dansguardian barrou, mas fiquei admirado da esperteza dos "vireiros"..

em um passado distante, eu facilmente teria colocado a extensão pdf em uma
whitelist, ainda bem que não fiz...

vejam só, access.log do squid com "log_mime_hdrs on"

grep "eubba.org.ar/web/modules/clock" /var/log/squid/access.log | \
tail -n1| \
perl -pe "s/\\\n//g;s/\\\r/\n/g"

1219147512.985 35665 127.0.0.1 TCP_MISS/200 365981 GET
http://ceubba.org.ar/web/modules/clock/%7E/.anexo/Agosto.pdf/?Verificado=SIM -
DIRECT/200.58.120.22 text/html [User-Agent: Wget/1.11.4
Accept: */*
Host: ceubba.org.ar
X-Forwarded-For: 172.23.26.32
] [HTTP/1.0 200 OK
Date: Tue, 19 Aug 2008 12:07:34 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
X-Powered-By: PHP/5.1.2
Content-Disposition: attachment; filename="WINWORD.exe"
Content-Type: text/html
X-Cache: MISS from 172.23.26.169
X-Cache-Lookup: MISS from172.23.26.169:1000
Via: 1.1 172.23.26.169:1000 (squid/2.7.STABLE3)
Connection: close

]

como os colegas que não utilizam dansguardian fariam para realizar um bloqueio
disto ai? Fiquei curioso... por mime-types não funcionaria
(Content-Type: text/html)

por acls comuns de path, tambem não...

[ ]s, e divirtam-se.

Henry


-- 
______________________________
Cristiano Ricardo Peixoto Pena
Analista de Suporte/DBA/SysAdmin
NIT - Núcleo de Informação e Tecnologia
Fundação João Pinheiro
Tel : 55 31 3448-9525



Attachment: smime.p7s
Description: S/MIME Cryptographic Signature

Responder a