94 ответов в этой теме

[HHH]

Я берегу своих пользователей. Несколько недоразумений, которые были за 10 лет, быстро устранялись.

"Хуже спама, только борцы с ним"

[Полимер]

1. Чьи это логи?
2. Кто кому посылал?
3. Что расшифровать?

[basid]

Ну, NAT-то снаружи видится СВОИМ публичным адресом. А если он IP отправителя поставит 87.242.72.150 вместо своего 212.114.19.21 - кто получит ответный пакет?

Он подменяет адрес отправителя. Точка.
Да, "на подконтрольный" адрес, но я где-то утверждал, что подделать можно "на произвольный"?

[basid]

Я, признаться, RFC читал давненько, но что-то мне подсказывает - вы не правы

Причём - полностью.

На отправителя там ограничений не накладывается

Угу. Особенно - с учётом того, что отправитель из mail from (RFC(2)821) и From/Sender/Resent-Sender - четыре разные и не взаимосвязанные сущности.

[KWhale]

А между тем, текст того письма излагает вот что:
Цитата
Received: from [85.128.140.4] by mperl11.rambler.ru with HTTP (mailimap); Tue, 18 Oct 2011 05:37:04 +0400
From: "V.D." <xxx-rambler.ru>
...
Давно пытаюсь создать с нуля и поднять свое новое дело...

Я тоже подобное письмо получил на рамблеровский адрес. По ссылкам в тексте — архив, в нём файл с расширением scr, заражённый Trojan.Carberp.10 по классификации DrWeb.

Мои эксперименты показывают, что единственный заголовок "Received" такого вида получается, если письмо не отправили, а загрузили в почтовый ящик (например, создав черновик и переместив его в папку "Входящие"). Данный заголовок добавляется сразу при создании письма рамблеровским веб-клиентом. Похоже на несанкционированный доступ в ящик.

В моём случае пароль был стойкий, доступ к ящику осуществлялся только с одного компьютера, на котором ничего подозрительного не нашлось (проверял с помощью CureIt, Kaspersky Virus Removal Tool, AVZ, ClamAV). Пароль знал только я. При аутентификации использовался протокол HTTPS. Если верить полю "Date", компьютер на момент создания письма был выключен. Также я обычно завершаю сессию в веб-интерфейсе и не храню cookie от почты. То есть злоумышленник должен был знать пароль или обойти проверку.

В последние дни появилось несколько сообщений от владельцев ящиков на Рамблере об аналогичных происшествиях.

[mrbelyash]

А между тем, текст того письма излагает вот что:
Цитата
Received: from [85.128.140.4] by mperl11.rambler.ru with HTTP (mailimap); Tue, 18 Oct 2011 05:37:04 +0400
From: "V.D." <xxx-rambler.ru>
...
Давно пытаюсь создать с нуля и поднять свое новое дело...

Я тоже подобное письмо получил на рамблеровский адрес. По ссылкам в тексте — архив, в нём файл с расширением scr, заражённый Trojan.Carberp.10 по классификации DrWeb.

Мои эксперименты показывают, что единственный заголовок "Received" такого вида получается, если письмо не отправили, а загрузили в почтовый ящик (например, создав черновик и переместив его в папку "Входящие"). Данный заголовок добавляется сразу при создании письма рамблеровским веб-клиентом. Похоже на несанкционированный доступ в ящик.

В моём случае пароль был стойкий, доступ к ящику осуществлялся только с одного компьютера, на котором ничего подозрительного не нашлось (проверял с помощью CureIt, Kaspersky Virus Removal Tool, AVZ, ClamAV). Пароль знал только я. При аутентификации использовался протокол HTTPS. Если верить полю "Date", компьютер на момент создания письма был выключен. Также я обычно завершаю сессию в веб-интерфейсе и не храню cookie от почты. То есть злоумышленник должен был знать пароль или обойти проверку.

В последние дни появилось несколько сообщений от владельцев ящиков на Рамблере об аналогичных происшествиях.

И у меня тоже самое.

[basid]

Received: from [85.128.140.4] by mperl11.rambler.ru with HTTP (mailimap); Tue, 18 Oct 2011 05:37:04 +0400
...
Мои эксперименты показывают, что единственный заголовок "Received" такого вида получается, если письмо не отправили, а загрузили в почтовый ящик (например, создав черновик и переместив его в папку "Входящие").

Что-то странное вы наэкспериментировали - совершенно штатная "прямая отправка".
Является ли 85.128.140.4 исходным отправителем или анонимайзером - вопрос отдельный.

[KWhale]

Что-то странное вы наэкспериментировали - совершенно штатная "прямая отправка".
Является ли 85.128.140.4 исходным отправителем или анонимайзером - вопрос отдельный.

При пересылке письма как снаружи, так и внутри сервиса rambler.ru получается больше одного заголовка "Received". Обязательно присутствуют минимум два заголовка: 1) о передаче письма MX Рамблера (mx<XX>.rambler.ru) по протоколу SMTP; 2) о передаче от MX внутреннему серверу (mail<YY>.rambler.ru). Прямую отправку по SMTP я пробовал — результат тот же.

Как я уже писал, заголовок "Received: from [<IP>] by mperl<ZZZ>.rambler.ru with HTTP (mailimap)" (вероятно, могут быть другие варианты адреса принимающей стороны) добавляется сразу же при создании письма в рамблеровском веб-клиенте Ramail. Если письмо не было отправлено, то он остаётся единственным. Если было, следующим добавляется заголовок о передаче письма по SMTP. Это тоже проверено.

Сообщение было изменено KWhale: 23 Октябрь 2011 - 14:42

[basid]

Обязательно присутствуют минимум два заголовка: 1) о передаче письма MX Рамблера (mx<XX>.rambler.ru) по протоколу SMTP; 2) о передаче от MX внутреннему серверу (mail<YY>.rambler.ru). Прямую отправку по SMTP я пробовал — результат тот же.

nslookup mperl11.rambler.ru ns2.rambler.ru
Server:  ns2.rambler.ru
Address:  81.19.66.61
 
Name:	mperl11.rambler.ru
Address:  10.8.8.211

Пока я вижу две вещи:
1. mperl11 находится внутри рамблеровской сетки;
2. mperl11 является SMTP-сервером.
Каким образом вы могли сделать прямую отправку на адрес приватной сети - плохо понимаю, но не вижу ни одной причины, чтобы "те, кто знают" не могли отправлять письма таким образом.

P.S. Взлом, конечно, мог быть, только не вашего ящика, а сервера:

inetnum:		85.128.128.0 - 85.128.167.255
netname:		NETART
descr:		  NetArt webhosting servers

[account has been deleted]

Некто отправляет сообщения с моего адреса

Если вы получили оповещение об ошибке при доставке сообщения, отправленного с вашего аккаунта, обнаружили в папке "Спам" сообщения, где вы указаны в качестве отправителя, или получили ответ на сообщение, которое не отправляли, вероятно, вы оказались жертвой спуфинга. Спуфингом называется подделка обратных адресов исходящей почты с целью сокрытия истинного происхождения сообщения.

При отправке сообщения по почте на конверте обычно указывается обратный адрес. Это позволяет получателю установить личность отправителя, а почте - при необходимости вернуть отправителю его письмо. Однако ничто не может помешать отправителю указать вместо своего адреса чужой. Это означает, что другой человек может отправить письмо и указать на конверте ваш адрес в качестве обратного. Электронная почта работает так же. Когда сервер отправляет сообщение электронной почты, он указывает отправителя, однако данные в поле отправителя можно подделать. Если кто-то подставил в сообщение ваш адрес, в случае неполадок при доставке это сообщение будет возвращено вам, даже если вы его не отправляли.

Если вы получили ответ на письмо, которое не было отправлено с вашего адреса, этому может быть две причины.
1) Письмо было подделано, и ваш адрес был указан в качестве адреса отправителя.
2) Настоящий отправитель указал ваш адрес в качестве обратного, поэтому вам отправляются все ответы.

Ни один из этих вариантов не означает, что к вашему аккаунту получило доступ постороннее лицо, но если вас беспокоит его безопасность, вы можете проверить список обращений к нему за последнее время. На странице входящих сообщений перейдите вниз и нажмите на ссылку Дополнительная информация рядом со строкой Последние действия в аккаунте.

Сообщение было изменено evaxp: 23 Октябрь 2011 - 19:24

[mrbelyash]

На странице входящих сообщений перейдите вниз и нажмите на ссылку Дополнительная информация рядом со строкой Последние действия в аккаунте.

В упор в рамблере такого не нахожу.

[account has been deleted]

В упор в рамблере такого не нахожу.

Переходи на вменяемые службы и сервиса!

Сообщение было изменено evaxp: 23 Октябрь 2011 - 19:44

[KWhale]

Пока я вижу две вещи:
1. mperl11 находится внутри рамблеровской сетки;
2. mperl11 является SMTP-сервером.
Каким образом вы могли сделать прямую отправку на адрес приватной сети - плохо понимаю, но не вижу ни одной причины, чтобы "те, кто знают" не могли отправлять письма таким образом.

P.S. Взлом, конечно, мог быть, только не вашего ящика, а сервера:
inetnum: 85.128.128.0 - 85.128.167.255
netname: NETARTdescr: NetArt webhosting servers

Отправку я делал, конечно, на внешний адрес.

В заголовке указано, что mperl получил письмо не по SMTP, а по HTTP. Почему вы думаете, что mperl* являются SMTP-серверами?

Я видел несколько таких писем — все IP отправителя из сетей различных хостинговых площадок. Кстати, заражённые архивы тоже размещены на различных посторонних сайтах, по-видимому взломанных.

В моём случае письмо было отмечено в веб-клиенте как важное (это можно сделать вручную), хотя не содержало соответствующего заголовка.

Я не исключаю возможности взлома серверов Рамблера. В этом случае, конечно, возможно что угодно. Но нарушение безопасности моей собственной системы является для меня более серьёзной угрозой, поэтому я рассматриваю этот вариант как основной. Факт в том, что мне удалось в точности воспроизвести рассматриваемое письмо только прямыми манипуляциями с ящиком.

Я сразу же сообщил об инциденте в техподдержку Рамблера и спросил, можно ли узнать, когда и с каких адресов идентифицировались под моим логином. Мне на этот вопрос не ответили. В веб-интерфейсе я такой кнопки не вижу.

[mrbelyash]

В упор в рамблере такого не нахожу.

Переходи на вменяемые службы и сервиса!

К чему тогда был скриншот с адресом рамблера?

[account has been deleted]

В упор в рамблере такого не нахожу.

Переходи на вменяемые службы и сервиса!

К чему тогда был скриншот с адресом рамблера?

Как к чему? По моему это очевидно, раз письмо упало на рамблер то и скриншот будет с рамблером.

virustotal

[drweb.com #2752531]

Сообщение было изменено evaxp: 23 Октябрь 2011 - 20:29

[Borka]

Пока я вижу две вещи:
1. mperl11 находится внутри рамблеровской сетки;
2. mperl11 является SMTP-сервером.
Каким образом вы могли сделать прямую отправку на адрес приватной сети - плохо понимаю, но не вижу ни одной причины, чтобы &quot;те, кто знают&quot; не могли отправлять письма таким образом.

P.S. Взлом, конечно, мог быть, только не вашего ящика, а сервера:
inetnum: 85.128.128.0 - 85.128.167.255
netname: NETARTdescr: NetArt webhosting servers

Отправку я делал, конечно, на внешний адрес.

В заголовке указано, что mperl получил письмо не по SMTP, а по HTTP. Почему вы думаете, что mperl* являются SMTP-серверами?

Если я правильно понимаю, только smtp-сервер может что-либо писАть в заголовки писем. Получается, что некто, вероятно, с адреса 85.128.140.4 авторизовался через веб-интерфейс Рамблера по http и отправил письмо.

[KWhale]

Если я правильно понимаю, только smtp-сервер может что-либо писАть в заголовки писем. Получается, что некто, вероятно, с адреса 85.128.140.4 авторизовался через веб-интерфейс Рамблера по http и отправил письмо.

Неизвестно, работает ли mperl* с SMTP на приём.

[Borka]

Если я правильно понимаю, только smtp-сервер может что-либо писАть в заголовки писем. Получается, что некто, вероятно, с адреса 85.128.140.4 авторизовался через веб-интерфейс Рамблера по http и отправил письмо.

Неизвестно, работает ли mperl* с SMTP на приём.

По-моему, совершенно очевидно, что работает:

Received: from [85.128.140.4] by mperl11.rambler.ru with HTTP (mailimap); Tue, 18 Oct 2011 05:37:04 +0400

[KWhale]

Неизвестно, работает ли mperl* с SMTP на приём.

По-моему, совершенно очевидно, что работает:

Received: from [85.128.140.4] by mperl11.rambler.ru with HTTP (mailimap); Tue, 18 Oct 2011 05:37:04 +0400

Он работает не по SMTP:

Received: from [85.128.140.4] by mperl11.rambler.ru with HTTP (mailimap); Tue, 18 Oct 2011 05:37:04 +0400

[KWhale]

Как к чему? По моему это очевидно, раз письмо упало на рамблер то и скриншот будет с рамблером.

virustotal

[drweb.com #2752531]

В моём случае в архиве был Trojan.Carberp.10. Но MD5-сумма архива была другая:
http://www.virustota...4722-1318920925