Похоже кто то ведет массированную атаку по адресам записанным на нашем форуме. Сегодня массированой атаке подвегся почтовый ящик ЦБПВА
который записан в моей инфе Судя по IP адресам все они отсылались через майл.ру но с питерских провайдеров
Ну а как специалист могу посоветовать для почтового сервера программу MDaemon 5.0 и дополнения к ней от касперского Который вылавливает аттачменты на входе в сервер и не дает их принимать
[ 28-02-2002, 19:51: Сообщение отредактировано: HRON ]
Ой, Саш, если ты думаешь, что OE в этом отношении отличается от МЫШИquote:
Originally posted by Freddie:
Я имел в виду, что когда одной копией программы пользуются несколько человек, и у каждого в Бате свой почтовый ящик и аккаунт, аттачи любого из них лежат в соответствующей папке в "голом" виде, хотя тексты самих сообщений можно зашифровать с помощью соответствующей опции настройки. Сам не раз этим пользовался, чтобы поглядеть что приходит по почте моим юзерам.
- ты сильно ошибаешься...
Он тоже хранит все сообщения в определенных местах, где знающий человек всегда все может посмотреть - сам ежедневно практически это делаю с юзверями...
Насчет вирусов - действительно, может показаться, что этот бедолага сам стал жертвой червя и теперь по незнанию рассылает вирусы, если бы не маленькое "НО!"
Здесь вам - глубина, здесь другие правила... (c) А.Б.
Братцы, все же кажется это непреднамеренная рассылка с машины, зараженной вирусом. Я нашел сообщение о недоставке такого зараженного письма. Вот вам полный текст сообщения, пришедшего ко мне:
Самое интересное находится в самом низу. Это заголовок исходного сообщения, которое не смог доставить сервер. Как видим, способ генерации имени отправителя в поле From: точно такой же, как у КоВалента. Т.е. вместо реального имени отправителя стоит название почтового ящика. Я думаю, что скорее всего этот вирус, отправляя себя с зараженной машины, для маскировки подставляет в поле From: случайный адрес, взятый из адресной книги на этой машине.code:
<pre style="font-size:x-small; font-family: fixed;">From MAILER-DAEMON Thu Feb 21 22:30:43 2002
Envelope-to: a_chernyshov@mail.ru
Delivery-date: Thu, 21 Feb 2002 22:30:43 +0300
Received: from mail by mx1.mail.ru with local (Exim 3.14 #1)
id 16dyvT-0000Jp-00
for a_chernyshov@mail.ru; Thu, 21 Feb 2002 22:30:43 +0300
X-Failed-Recipients: dimitry@ximxim.com
From: Mail Delivery System <Mailer-Daemon@mx1.mail.ru>
To: a_chernyshov@mail.ru
Subject: Mail delivery failed: returning message to sender
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status; boundary="1014319843.1051/mx1.mail.ru"
Auto-Submitted: auto-generated (failure)
Message-Id: <E16dyvT-0000Jp-00@mx1.mail.ru>
Date: Thu, 21 Feb 2002 22:30:43 +0300
This is a MIME-encapsulated message
--1014319843.1051/mx1.mail.ru
This message was created automatically by mail delivery software.
A message that you sent could not be delivered to all of its recipients. The
following address(es) failed:
dimitry@ximxim.com:
SMTP error from remote mailer after end of data:
host mail.ximxim.com [168.103.244.1]:
552 Error:
content rejected
--1014319843.1051/mx1.mail.ru
Content-Type: message/delivery-status
Reporting-MTA: dns; mx1.mail.ru
Final-Recipient: RFC822; dimitry@ximxim.com
Action: failed
Status: 5.4.0
Remote-MTA: DNS; mx4.int
--1014319843.1051/mx1.mail.ru
Content-Type: message/rfc822
Received: from [168.103.244.1] (helo=Dcecilur)
by mx1.mail.ru with smtp (Exim 3.14 #1)
id 16dyvF-0000G1-00
for dimitry@ximxim.com; Thu, 21 Feb 2002 22:30:29 +0300
From: a_chernyshov <a_chernyshov@mail.ru>
To: dimitry@ximxim.com
Subject: A excite game
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=EE78B1F111s1Z
Message-Id: <E16dyvF-0000G1-00@mx1.mail.ru>
Date: Thu, 21 Feb 2002 22:30:29 +0300
--1014319843.1051/mx1.mail.ru--</pre>
Ho, ho, ho, ho, ho! Let's see who's been naughty, and who's been naughty.
Здесь ты неправ ! Вирус прописывает адрес отправителя а не случайный адрес из книги По адресам книги идет рассылка А вот адрес отправителя вирус берет из аккоунта машины с которой он отправляет аттачмент
В данном случае тут специальная подставка адреса с целью компромата
Хммм... Да, это возможно... Если такие адреса действительно есть (Валентинов и твой), тогда возможно, что это вирус работает у кого-то...quote:
Originally posted by Freddie:
Как видим, способ генерации имени отправителя в поле From: точно такой же, как у КоВалента. Т.е. вместо реального имени отправителя стоит название почтового ящика. Я думаю, что скорее всего этот вирус, отправляя себя с зараженной машины, для маскировки подставляет в поле From: случайный адрес, взятый из адресной книги на этой машине.
А сам вирус называется Klez.e
Обратите внимание на Subject этого письма и почитайте вот тут:
http://www.viruslist.com/viruslist.a...00140000100104
Все полностью соответствует. Он хранит в себе все адреса, найденные в адресной книге и случайным образом их подставляет в поле From.
Так что беднягу надо скорее вычислять, пока не наступило 13 число...
ЗЫ Добавлю маненько. Обшибся я, времени еще меньше, модификация Klez.e вредоносит 6 числа.
HRON, это уже неочевидно. Теперь инфы больше. Если это подстава, то весьма искусная (работа под Klez.e), что не вяжется с отправкой из одной сетки. ИМХО.
[ 28-02-2002, 23:00: Сообщение отредактировано: Stardust ]
Здесь вам - глубина, здесь другие правила... (c) А.Б.
Я посмотрел 3 последних подозрительных сообщения, пришедших мне, все они были заражены Klez.e, причем пришли с одного и того же IP - 168.103.244.1 Все построение заголовков в точности, как в приведенном примере. К сожалению, этот IP зарубежный, в базе RIPN его нет. Правда я примерно догадываюсь от кого это пришло, ламерок еще тот... Буду спасать бедолагу.
Ho, ho, ho, ho, ho! Let's see who's been naughty, and who's been naughty.
Вниманию всех офицеров!!!
Прошу при получении писем с вирусами снимать в копию свойства сообщений и отправлять мне для расследования
Сегодня я получил уже третье письмо с вирусом которое было отправлено из Компьютерного клуба ОРКИ в Москве Сообщение было отправлено со взломанного ящика Анпетровича
Следующая серия сообщений приходила от клиента Совам-Телепорт Санкт-Петербург с постоянным динамическим адресом (Это о многом говорит
Все собранные мной материалы могут быть переданы в управление "Р" для дальнейшего расследования
rgreat
Если ты внимательно посмотришь свое сообщение которое ты выложил на форум то судя по IP адресу ты тоже получил письмо из
inetnum: 195.7.187.224 - 195.7.187.239
netname: ORKI-NET
descr: ORKI Computer Club, Moscow
country: RU
admin-c: GM4324-RIPE
tech-c: GM4324-RIPE
rev-srv: ns.transts.ru
status: ASSIGNED PA
mnt-by: RIPE-NCC-NONE-MNT
changed: roman@itar-tass.com 19991025
source: RIPE
Ы !
Я кстати вирусы не шлю, ели у кого появилось подозрение
btw: На моей машине настроен свой SMTP и если я чего и стану слать то через него и через проксю в Африке. Ищите потом... А кто вирусы расылает просто тупорылый тратит свое время понапрасну еще во время FTN были идиоты которые CrashPool устраивали - это когда подключались и ставили на закачку файл размером 100 метров
Могу посоветовать 100 способов завалить ваши ящики таааакой фигней.. запаритесь чистить? Или не надо а то вдруг нехорошие люди прочитают
хмм я смотрю тут про меня серьезно задумываються.. SMTP которыми пользуюсь я smtp.lek.ru и mail.spbtlg.ru отсюда писем небыло?
А то меня знакомые уже спрашивают я это или нет...
BTW: mail.spbtlg.ru это междугородка которой пользуется половина Питера.
[ 01-03-2002, 03:49: Сообщение отредактировано: =Weeper= ]
А меня за неделю все таки прибили
В понедельник железо к "доктору", все переустанавливать таперича
Для достижения цели - лучше подрасти, чем подпрыгнуть. (c) собственно мой ;-)
у меня на работе комп грохнулся недавно после klezz-e
Спокойно вееп последняя из этой оперы бяка пришедшая мне, через тот же самый майл.ру:
----------------------------
Received: from [194.67.57.18] by public1
(ArGoSoft Mail Server Pro for WinNT/2000/XP, Version 1.80 (1.8.0.3)); Thu, 28 Feb 2002 18:57:08 -0600
Received: from [195.7.187.234] (helo=Dxncj)
by mx8.mail.ru with smtp (Exim 3.14 #1)
id 16gbEO-0000mV-00
for rgreat@yogik.org; Fri, 01 Mar 2002 03:49:04 +0300
From: genrich11 <genrich11@airforce.net>
To: rgreat@yogik.org
Subject: Upgrade2
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=PU8M53cH231739Af
Message-Id: <E16gbEO-0000mV-00@mx8.mail.ru>
Date: Fri, 01 Mar 2002 03:49:04 +0300
----------------------------
внутрях байда под наванием 6.2.0.ехе и 2 html'ки
194.67.57.18="ORKI Computer Club, Moscow"
Я думаю випер ты со своей собакой
[ 01-03-2002, 05:28: Сообщение отредактировано: rgreat ]
Роман aka rgreat from =Flying Barans=
former WarBirds FreeHost flight models developer
Это немного не так..quote:
Originally posted by Freddie:
В свете последних событий наверное так и придется сделать
если я захочу прислать тебе записку на аську я ее пришлю без проблем для этого мне нужно добавить тебя в свой контакт лист и тебе автоматом отправится Сервис сообщение от меня. Тогда я смогу отправить записку.
Илья, а не напишешь ли мне приватом хотя бы несколько способов из этих 100?quote:
Originally posted by =Weeper=:
Могу посоветовать 100 способов завалить ваши ящики таааакой фигней.. запаритесь чистить? Или не надо а то вдруг нехорошие люди прочитают
В ответ на мои советы про firewall и антивирус?
Это у меня профессиональный интерес, не праздное любопытство.
Здесь вам - глубина, здесь другие правила... (c) А.Б.
Так, всем говорю:
НИКОМУ НИКАКИХ ПИСЕМ В ПОСЛЕДНИЙ МЕСЯЦ Я НЕ ПОСЫЛАЛ - ЕСЛИ ВЫ ЧТО-ТО ПОЛУЧИЛИ!
А то получил предупреждение о недоставке письма из-за отсутствия пользователя Serge_Pod@usa.net - правда есть подозрение, что это форум Бразда взят за исходный материал.
Я ПОЛЬЗУЮСЬ АСЬКОЙ! И ПИСЕМ С ФАЙЛАМИ НЕ ПОСЫЛАЮ (БЕЗ ПРЕДВАРИТЕЛЬНОЙ ДОГОВОРЕННОСТИ ОБ ЭТОМ)!
И сегодня шлет...туповатый парнишка...
Мне, кстати, не мешает. Мыло у меня, естественно, "не рабочее", а приятно, слушая шелчок затвора (срабатывание антивируса) при запуске АутГлюка, размышлять о несовершенстве человеческой натуры...
Mortui vivos docent
Народ не устали? Worm он называеться в частности по тому что может сам себя рассылать по email с зараженной машины.
HRON я заметил
Роман aka rgreat from =Flying Barans=
former WarBirds FreeHost flight models developer
1. Что-то не кажется мне, что это - автоматическая рассылка.
Я тут проверил как работает Клез ( http://www.viruslist.com/index.html?tnews=1001&id=1068 , http://www.viruslist.com/index.html?tnews=1003&id=77297 и http://www.viruslist.com/viruslist.a...00140000100104 ). Так вот - я верю, что он берет адреса из WAB, верю, что отсылается сам, верю, что где-то в WABе у ОРКов есть мой адрес - но я не верю, что все это идет автоматически идет исключительно через Mail.Ru. А пока что это так.
Ведь из более чем 20 писем, присланных мне или "отосланных от меня" - фигурирует один и тот же способ распространения: от чужого имени - через SMTP на редиректор Mail.Ru. Чужое имя - можно сделать, но способ отправки - редкость (большинство пользуется Mail.Ru исключиетльно через Web-интерфейс, не включая SMTP).
2. Тем, кто кто не уверен, что у него все в порядке и хотел бы подстраховаться: http://www.kaspersky.ru/ через свою http://www.viruslist.com/index.html?tnews=1007&id=79978 раздает бесплатную программу для очистки компьютера от вирусов Klez (Klez.e), Goner, SirCam, Navidad и BleBla.
Сама программа лежит ftp://ftp.kaspersky.ru/utils/clrav.com.
Неделю-полторы назад получил с flogger11@sukhoi.ru письмо без содержания но с атачем, котрый, как выяснилось после проверки антивирусом (прямо на mail.ru), оказалось зараженным. Имечко вируса забыл, но не klezz
К сожалению я его сгоряча потер...
013
Логическое развитие ситуации привело к появлению у меня в ящике письма с вирусом, "подписанным мною"...
А до Касперского я еще не добрался...
to Kristofer:
>Неделю-полторы назад получил с flogger11@sukhoi.ru письмо
Хех..Самое интересное,что у меня сроду такого почтового адреса небыло.А под ником "flogger11" я зарегестрирован в двух местах:на flightsim.com и на форуме WB
У меня был klezz..Плюс еще парочка "червей" и с пяток "троянов" как выяснилось при лечении
Теперь вот Касперский орет голосом кота,которому отдавили хвост..За неделю получил 3 мыла с вирусами(от Петровича,Ежика и Дима)-правда не смотрел,что там..
Ваши права
Ответить с цитированием
