dziwny spam?

[TMK]

Hej od kilku dni dostaję spam wysyłany jakby z mojego konta.

Albo też z konta z dodaną nazwą 3D

Wyglada to tak:

Return-Path: <0-dnkar@icicibank.com>

Delivered-To: 3dkrzysiek@ka---.com.pl

Received: from b0.ovh.net (HELO queue) (213.186.33.50)

by b0.ovh.net with SMTP; 9 Sep 2011 07:30:27 +0200

Received: from rbnorelaypool2-22.ustconline.net (12.37.199.24)

by mx3.ovh.net with SMTP; 9 Sep 2011 07:30:25 +0200

Received: from 12.37.199.24(helo=ka---.com.pl)

by ka---.com.pl with esmtpa (Exim 4.69)

(envelope-from )

id 1MM93D-1586oh-VB

for <3dkrzysiek@ka---.com.pl>; Thu, 8 Sep 2011 23:30:24 -0600

From: <3dkrzysiek@ka---.com.pl>

To: <3dkrzysiek@ka---.com.pl>

Subject: Working Part Time

Date: Thu, 8 Sep 2011 23:30:24 -0600

MIME-Version: 1.0

Content-Type: text/plain;

charset="Windows-1252"

Content-Transfer-Encoding: 7bit

X-Mailer: hkdwlbofdp_31

Message-ID: <6807177206.2W47TXGC776931@clixpxdrb.owqidgckakikxb.va>

X-Ovh-Tracer-Id: 11849252095173367608

X-Ovh-Remote: 12.37.199.24 (rbnorelaypool2-22.ustconline.net)

X-Ovh-Local: 213.186.33.73 (mx3.ovh.net)

X-Spam-Check: DONE|U 0.510075/N

X-Antivirus: avast! (VPS 110908-2, 2011-09-08), Inbound message

X-Antivirus-Status: Clean

Domena jest moja- konto męza to krzysiek@... moje tamara...

Podsumowując dostaję spam od krzysiek@ tamara@ i3dkrzysiek.

jakieś opcje? Czy mogę z tym cos zrobić?

[pooh]

tak na szybko:

Return-Path: <0-dnkar@icicibank.com> - cos przylazi chyba z tego adresu

hosting jest na ovh.net (213.186.33.73) ? jesli nie to przelazi przez ten hosting;

i tak sobie pomyslalem, czy czasem na domenie nie jest catch-all z przekazywaniem na istniejace konto ?

czyli ktos wysyla maila na 3dkrzysiek@ka--.com.pl, ktorego nie ma, ale dziala catch-all i podaje na istniejacy adres...

choc oczywisice moze w tym brac udzial tez jakis robal lub wirus

???

[Tester]

icicibank.com to najwiekszy bank w Indiach

[pooh]

no i jeszcze ten serwer ze Stanow 12.37.199.24, jakis atak spamerow, czy cos :/

[ejerzyk]

linijka: Received: from b0.ovh.net (HELO queue) (213.186.33.50)

wygląda jak w przypadku ataku DoS, a to jest dziwne, bo to najprostszy atak, na który nawet mój router za 160 zł jest zabezpieczony.

[TMK]

Return path jest rózny- nie zawsze z tego samego miejsca...

[VDR]

linijka: Received: from b0.ovh.net (HELO queue) (213.186.33.50)

wygląda jak w przypadku ataku DoS, a to jest dziwne, bo to najprostszy atak, na który nawet mój router za 160 zł jest zabezpieczony.

A po czym wnosisz ze to atak DOS ? Dwa - ten feature w Twoim routerze to tylko zabawka. W koncu jesli pakiet dotrze do Twojego routera to cos z tym pakietem bedzie musial zrobic (chocby proste drop) i zajac czas prockowi.

TMK czy tresc wiadomosci wyglada mniej wiecej tak:

"Are you finding it hard to get your career started?

Our company is established insurance firm who needs a talented candidate to join our operations

and administrative team as a Regional Assistant.

...."

w temacie wiadomosci jest czesto: working time part, virtual assistant position, database assistant position, current vacancy itd itd.

Od kilku dni obserwuje wzmozony ruch pocztowy wlasnie z podobnymi objawami do ktorych opisujesz. Pole FROM i TO ustawione w naglowku wiadomosci na ta sama domene albo wrecz na tego samego nadawce i odbiorce. Niestety spam dociera z roznych miejsc wiec jakis botnet czy cos to rozsyla. Ja nauczylem moje filtry bayesowskie ze maile z taka trescia to spam i problem sie rozwiazal. Leci do /dev/null.

[TMK]

Tak właśnie taka treść.

Czyli z tego wynika,że nie jest to wirus w moim kompie, nikt nie włamał się do mojej poczty tylko coś paskudnie rozsyła śmieci.

Adres emailowy nie dostaje duzo spamu,zwykle jakiś śmieć raz na kilka tygodni). (w porównaniu z nastoletnim adresem w poczta.onet.pl to pomijalne.)

Pozostaje jak rozumiem tylko jakieś filtrowanie? To adresy firmowe więc dobrze by było gdyby nie odfiltrowały czegoś ważnego.

To pytanie- czy dzwonic do pomocy technicznej ovh.pl ,czy to ma sens? moga cos zrobić poradzić?

a i dzięki wielkie za pomoc

[VDR]

Ten spam zalewa caly swiat Tak wiec to nie tylko u Ciebie - ja na jedno konto w domenie @irc.pl dostawalem dziennie po kilkadziesiat takich wiadomosci. Mozesz zadzwonic do ovh aby nauczyli silnik ze takie wiadomosci to spam, jesli w panelu zarzadzania masz opcje uczenia silnika antyspamowego to rowniez mozesz zglosic takie wiadomosci jako spam. U mnie silnik antyspamowy ta tresc juz zna i takie wiadomosci u mnie sie juz nie pojawiaja. Problem w tym ze spam przychodzi z roznych miejsc wiec nie da sie go latwo zablokowac.

Pole From: To: ktore widzisz w wiadomosci mozna ustawic dowolnie - rownie dobrze moze tam byc b.komorowski@rp.pl. W wymianie maili miedzy serwerami te pola nie sa uzywane. Serwery uzywaja "mail from:" i "rcpt to:"

Wiadomosc wyszla stad:

Received: from 12.37.199.24(helo=ka---.com.pl)

by ka---.com.pl with esmtpa (Exim 4.69)

(envelope-from )

id 1MM93D-1586oh-VB

for <3dkrzysiek@ka---.com.pl>; Thu, 8 Sep 2011 23:30:24 -0600

Czyli z adresu 12.13.199.24 - czyli gdzies w Stanach.

[pooh]

no i jeszcze ten serwer ze Stanow 12.37.199.24, jakis atak spamerow, czy cos :/

no w sumie pisalem wczesniej

BTW w tej puli 12.37.199.xxx jest wiecej kompow rozsylajacych te maile, wiec, tak jak sugeruje VDR stawiam na jakis botnecik :/

[zachu]

sprawdz czy nie masz malware w swoim systemie, mozesz wysylac to sam/sama do siebie, i nie wiadomo co do innyh

[VDR]

sprawdz czy nie masz malware w swoim systemie, mozesz wysylac to sam/sama do siebie, i nie wiadomo co do innyh

zachu - no chyba ze TMK mieszka w Stanach - przeciez wyrazniej widac skad przyszedl ten mail... no i przydaloby sie przeczytac chocby RFC821 o ile nie aktualne RFC5321 aby zrozumiec jak dziala poczta - w naglowku jest wszystko napisane skad i do kogo i przez ile serwerow.

[zachu]

zachu - no chyba ze TMK mieszka w Stanach - przeciez wyrazniej widac skad przyszedl ten mail... no i przydaloby sie przeczytac chocby RFC821 o ile nie aktualne RFC5321 aby zrozumiec jak dziala poczta - w naglowku jest wszystko napisane skad i do kogo i przez ile serwerow.

to wszystko o w naglowko to moze byc fikcja

[VDR]

to wszystko o w naglowko to moze byc fikcja

Po czym wnosisz ? Mozesz choc jeden udokumentowany przyklad podac ?

[ejerzyk]

Po czym wnosisz ? Mozesz choc jeden udokumentowany przyklad podac ?

Wystarczy znaleźć serwer SMTP, który nie wymaga uwierzytelniania i wysyłając mail przez PHPa można ustawić dowolny nagłówek. Teraz większość serwerów jest przed tym zabezpieczona, ale zawsze można postawić swój serwer SMTP.

Pewnie zaraz napiszesz, że nie będzie miał adresu ze stanów. Dobrze wiemy, że teraz każde dziecko bawi się linuchem na kompie domowym. Wystarczy znaleźć niezabezpieczony w USA i przez ssh postawić smtpd i gotowe.

[VDR]

Wystarczy znaleźć serwer SMTP, który nie wymaga uwierzytelniania i wysyłając mail przez PHPa można ustawić dowolny nagłówek. Teraz większość serwerów jest przed tym zabezpieczona, ale zawsze można postawić swój serwer SMTP.

Pewnie zaraz napiszesz, że nie będzie miał adresu ze stanów. Dobrze wiemy, że teraz każde dziecko bawi się linuchem na kompie domowym. Wystarczy znaleźć niezabezpieczony w USA i przez ssh postawić smtpd i gotowe.

Nadal pole Received bedzie wskazywalo skad dokladnie przyszedl mail. Chcialem uslyszec o znanym ataku spamowym gdzie spamer pokusil sie o spoofowanie adresu skad on wychodzi aby pole Received wskazywalo na czysty komputer nie majacy nic wspolnego z atakiem. Ja jeszcze nie slyszalem aby az tak kombinowali, bo mozna prosciej. To o czym piszesz to zwykly malware taki jak w tym wypadku. Gdzies w Stanach ktos ma wirusa nalezacego do botnetu i wychodzi z niego spam. Adres tego ktosia podalem. I powiem Ci wiecej - nie musisz zatrudniac zadnego PHPa jak znajdziesz jakies open relay smtp - wystarczy telnet. Ale i tak pole Received bedzie zawieralo skad dokladnie wyszedl mail - chyba ze wykorzystasz jeszcze inne podatnosci i tak spreparujesz siec aby serwer odbierajacy myslal ze odbiera tego maila skad indziej niz wychodzi. Ale o takiej zabawie spamerow to ja nie slyszalem jeszcze - za duzo zabawy.

[zachu]

Nadal pole Received bedzie wskazywalo skad dokladnie przyszedl mail. Chcialem uslyszec o znanym ataku spamowym gdzie spamer pokusil sie o spoofowanie adresu skad on wychodzi aby pole Received wskazywalo na czysty komputer nie majacy nic wspolnego z atakiem. Ja jeszcze nie slyszalem aby az tak kombinowali, bo mozna prosciej. To o czym piszesz to zwykly malware taki jak w tym wypadku. Gdzies w Stanach ktos ma wirusa nalezacego do botnetu i wychodzi z niego spam. Adres tego ktosia podalem. I powiem Ci wiecej - nie musisz zatrudniac zadnego PHPa jak znajdziesz jakies open relay smtp - wystarczy telnet. Ale i tak pole Received bedzie zawieralo skad dokladnie wyszedl mail - chyba ze wykorzystasz jeszcze inne podatnosci i tak spreparujesz siec aby serwer odbierajacy myslal ze odbiera tego maila skad indziej niz wychodzi. Ale o takiej zabawie spamerow to ja nie slyszalem jeszcze - za duzo zabawy.

panie listonoszu ja tez zanim nie uslyszalem to nie slyszalem o wielu rzeczach. A tak naprawdze to TMK pewnie nie jedzie na Mac'u ani na Linuxie wiec nie badz pewny co ten windows robi gdy oni smacznie śpią

a zeby nagle znalesc sie w USA to wystarczy sie tam zalogowacc czy nie? kilka bramek po drodze i nikt nie dojdzie gdzie to wszystko sie zaczelo

SPAM DO KOSZA -

TMK zrob sobie filterek i slij spam do /dev/null

Edytowane 11 Września 2011 przez nika
pkt. 8 Regulaminu (wyświetl historię edycji)

[VDR]

zachu - wiec bardzo prosze - podaj choc jeden przyklad. Ja jeszcze nie slyszalem, CERT tez, na bugtraq tez nie zauwazylem. Byc moze przegapilem a chetnie bym sie przyjrzal i przeanalizowal atak w ktorym naglowki Received nie wskazuja na zarazony komputer rozsylajacy spam a na czysty nie bioracy w ataku komputer. Mowie calkiem powaznie, to dosc ciekawy bylby sposob rozsylania spamu. Az tak bardzo spamerzy majac botnety nie musza sie starac.

Dalsze wywody nie maja sensu W rzeczonym przypadku e-mail dotarl z komputera/servera o adresie 12.13.199.24 i jesli jest inaczej stawiam piwo

[zachu]

a z kad spamer zna oba konta, znaczy krzysiek i tamara @ domena.costam,

mysle oni uzywaja czasem tego samego komputera, on ma smiecia, podesłał adresy gdzie trzeba a teraz juz bocik sobie rozsyła,

masz racje przyszedł od 12.13.199.24

ale z kad sie znalazl na liscie odbiorcow ??? myslisz ze oboje dodali swoje adresy do listy spamerow.

Edytowane 11 Września 2011 przez nika
pkt. 8 Regulaminu (wyświetl historię edycji)

[VDR]

zachu dokladnie tak moze byc... do mnie ten spam dociera z naglowkami pocztowymi From: xxx@irc.pl oraz To: xxx@irc.pl gdzie xxx to moj login Tego konta nie uzywam od conajmniej kilku lat. Sposobow moze byc wiele - zbieranie e-mail ze strony internetowych, dopasowanie po domenie, porownanie MX i dopisanie loginu z innej domeny do nowej obslugiwanej przez ten sam MX. Pomyslow moze byc wiele. Glownie chodzi o to ze poczta w tej samej domenie moze omijac reguly relay denied. Kwestia jak kto ma skonfigurowany serwer SMTP. Ten spam odnotowalem na wielu kontach i serwerach wiec podejrzewam ze dziala jakis spory botnet bo to zalalo swiat lawinowo. Teoretycznie na cos takiego moze pomoc SPF ale osobiscie uwazam, ze to jest bardzo kiepskie rozwiazanie, choc wiele firm tego uzywa.

A jak wytlumaczyc np. fakt ze dawno dawno temu kupilem sobie domene, w ogole jej nie uzywam, kompletnie - a na moim serwerze pocztowym silnik odrzuca maile wysylane do tej domeny ? ;)

Ot po prostu - odnotowano pojawienie sie nowej domeny i juz jakies roboty probuja wlasnie wysylac - bo moze jest catch-all, bo moze jest alias itd itd. Ogolnie temat rzeka - przyjedz na zlot to na temat internetu, security mozemy pogadac

Edytowane 11 Września 2011 przez nika
pkt. 8 Regulaminu (wyświetl historię edycji)