Перейти к содержимому


Фото
- - - - -

Взлом почты...


  • Please log in to reply
94 ответов в этой теме

#61 HHH

HHH

    Massive Poster

  • Posters
  • 2 714 Сообщений:

Отправлено 20 Октябрь 2011 - 10:39

Я берегу своих пользователей. Несколько недоразумений, которые были за 10 лет, быстро устранялись.

"Хуже спама, только борцы с ним" ;)

#62 Полимер

Полимер

    Бетатестёр

  • Posters
  • 2 902 Сообщений:

Отправлено 20 Октябрь 2011 - 12:39

1. Чьи это логи?
2. Кто кому посылал?
3. Что расшифровать?

#63 basid

basid

    Guru

  • Posters
  • 4 130 Сообщений:

Отправлено 20 Октябрь 2011 - 17:16

Ну, NAT-то снаружи видится СВОИМ публичным адресом. А если он IP отправителя поставит 87.242.72.150 вместо своего 212.114.19.21 - кто получит ответный пакет?

Он подменяет адрес отправителя. Точка.
Да, "на подконтрольный" адрес, но я где-то утверждал, что подделать можно "на произвольный"?

#64 basid

basid

    Guru

  • Posters
  • 4 130 Сообщений:

Отправлено 20 Октябрь 2011 - 17:22

Я, признаться, RFC читал давненько, но что-то мне подсказывает - вы не правы

Причём - полностью.

На отправителя там ограничений не накладывается

Угу. Особенно - с учётом того, что отправитель из mail from (RFC(2)821) и From/Sender/Resent-Sender - четыре разные и не взаимосвязанные сущности.

#65 KWhale

KWhale

    Newbie

  • Members
  • 0 Сообщений:

Отправлено 23 Октябрь 2011 - 10:43

А между тем, текст того письма излагает вот что:
Цитата
Received: from [85.128.140.4] by mperl11.rambler.ru with HTTP (mailimap); Tue, 18 Oct 2011 05:37:04 +0400
From: "V.D." <xxx-rambler.ru>
...
Давно пытаюсь создать с нуля и поднять свое новое дело...


Я тоже подобное письмо получил на рамблеровский адрес. По ссылкам в тексте — архив, в нём файл с расширением scr, заражённый Trojan.Carberp.10 по классификации DrWeb.

Мои эксперименты показывают, что единственный заголовок "Received" такого вида получается, если письмо не отправили, а загрузили в почтовый ящик (например, создав черновик и переместив его в папку "Входящие"). Данный заголовок добавляется сразу при создании письма рамблеровским веб-клиентом. Похоже на несанкционированный доступ в ящик.

В моём случае пароль был стойкий, доступ к ящику осуществлялся только с одного компьютера, на котором ничего подозрительного не нашлось (проверял с помощью CureIt, Kaspersky Virus Removal Tool, AVZ, ClamAV). Пароль знал только я. При аутентификации использовался протокол HTTPS. Если верить полю "Date", компьютер на момент создания письма был выключен. Также я обычно завершаю сессию в веб-интерфейсе и не храню cookie от почты. То есть злоумышленник должен был знать пароль или обойти проверку.

В последние дни появилось несколько сообщений от владельцев ящиков на Рамблере об аналогичных происшествиях.

#66 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 23 Октябрь 2011 - 10:52

А между тем, текст того письма излагает вот что:
Цитата
Received: from [85.128.140.4] by mperl11.rambler.ru with HTTP (mailimap); Tue, 18 Oct 2011 05:37:04 +0400
From: "V.D." <xxx-rambler.ru>
...
Давно пытаюсь создать с нуля и поднять свое новое дело...


Я тоже подобное письмо получил на рамблеровский адрес. По ссылкам в тексте — архив, в нём файл с расширением scr, заражённый Trojan.Carberp.10 по классификации DrWeb.

Мои эксперименты показывают, что единственный заголовок "Received" такого вида получается, если письмо не отправили, а загрузили в почтовый ящик (например, создав черновик и переместив его в папку "Входящие"). Данный заголовок добавляется сразу при создании письма рамблеровским веб-клиентом. Похоже на несанкционированный доступ в ящик.

В моём случае пароль был стойкий, доступ к ящику осуществлялся только с одного компьютера, на котором ничего подозрительного не нашлось (проверял с помощью CureIt, Kaspersky Virus Removal Tool, AVZ, ClamAV). Пароль знал только я. При аутентификации использовался протокол HTTPS. Если верить полю "Date", компьютер на момент создания письма был выключен. Также я обычно завершаю сессию в веб-интерфейсе и не храню cookie от почты. То есть злоумышленник должен был знать пароль или обойти проверку.

В последние дни появилось несколько сообщений от владельцев ящиков на Рамблере об аналогичных происшествиях.


И у меня тоже самое. :)

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#67 basid

basid

    Guru

  • Posters
  • 4 130 Сообщений:

Отправлено 23 Октябрь 2011 - 13:57

Received: from [85.128.140.4] by mperl11.rambler.ru with HTTP (mailimap); Tue, 18 Oct 2011 05:37:04 +0400
...
Мои эксперименты показывают, что единственный заголовок "Received" такого вида получается, если письмо не отправили, а загрузили в почтовый ящик (например, создав черновик и переместив его в папку "Входящие").

Что-то странное вы наэкспериментировали - совершенно штатная "прямая отправка".
Является ли 85.128.140.4 исходным отправителем или анонимайзером - вопрос отдельный.

#68 KWhale

KWhale

    Newbie

  • Members
  • 0 Сообщений:

Отправлено 23 Октябрь 2011 - 14:41

Что-то странное вы наэкспериментировали - совершенно штатная "прямая отправка".
Является ли 85.128.140.4 исходным отправителем или анонимайзером - вопрос отдельный.


При пересылке письма как снаружи, так и внутри сервиса rambler.ru получается больше одного заголовка "Received". Обязательно присутствуют минимум два заголовка: 1) о передаче письма MX Рамблера (mx<XX>.rambler.ru) по протоколу SMTP; 2) о передаче от MX внутреннему серверу (mail<YY>.rambler.ru). Прямую отправку по SMTP я пробовал — результат тот же.

Как я уже писал, заголовок "Received: from [<IP>] by mperl<ZZZ>.rambler.ru with HTTP (mailimap)" (вероятно, могут быть другие варианты адреса принимающей стороны) добавляется сразу же при создании письма в рамблеровском веб-клиенте Ramail. Если письмо не было отправлено, то он остаётся единственным. Если было, следующим добавляется заголовок о передаче письма по SMTP. Это тоже проверено.

Сообщение было изменено KWhale: 23 Октябрь 2011 - 14:42


#69 basid

basid

    Guru

  • Posters
  • 4 130 Сообщений:

Отправлено 23 Октябрь 2011 - 18:25

Обязательно присутствуют минимум два заголовка: 1) о передаче письма MX Рамблера (mx<XX>.rambler.ru) по протоколу SMTP; 2) о передаче от MX внутреннему серверу (mail<YY>.rambler.ru). Прямую отправку по SMTP я пробовал — результат тот же.

nslookup mperl11.rambler.ru ns2.rambler.ru
Server:  ns2.rambler.ru
Address:  81.19.66.61
 
Name:	mperl11.rambler.ru
Address:  10.8.8.211
Пока я вижу две вещи:
1. mperl11 находится внутри рамблеровской сетки;
2. mperl11 является SMTP-сервером.
Каким образом вы могли сделать прямую отправку на адрес приватной сети - плохо понимаю, но не вижу ни одной причины, чтобы "те, кто знают" не могли отправлять письма таким образом.

P.S. Взлом, конечно, мог быть, только не вашего ящика, а сервера:
inetnum:		85.128.128.0 - 85.128.167.255
netname:		NETART
descr:		  NetArt webhosting servers


#70 account has been deleted

account has been deleted

    Massive Poster

  • Posters
  • 2 837 Сообщений:

Отправлено 23 Октябрь 2011 - 19:14

Отправленное изображение

Некто отправляет сообщения с моего адреса

Если вы получили оповещение об ошибке при доставке сообщения, отправленного с вашего аккаунта, обнаружили в папке "Спам" сообщения, где вы указаны в качестве отправителя, или получили ответ на сообщение, которое не отправляли, вероятно, вы оказались жертвой спуфинга. Спуфингом называется подделка обратных адресов исходящей почты с целью сокрытия истинного происхождения сообщения.

При отправке сообщения по почте на конверте обычно указывается обратный адрес. Это позволяет получателю установить личность отправителя, а почте - при необходимости вернуть отправителю его письмо. Однако ничто не может помешать отправителю указать вместо своего адреса чужой. Это означает, что другой человек может отправить письмо и указать на конверте ваш адрес в качестве обратного. Электронная почта работает так же. Когда сервер отправляет сообщение электронной почты, он указывает отправителя, однако данные в поле отправителя можно подделать. Если кто-то подставил в сообщение ваш адрес, в случае неполадок при доставке это сообщение будет возвращено вам, даже если вы его не отправляли.

Если вы получили ответ на письмо, которое не было отправлено с вашего адреса, этому может быть две причины.
1) Письмо было подделано, и ваш адрес был указан в качестве адреса отправителя.
2) Настоящий отправитель указал ваш адрес в качестве обратного, поэтому вам отправляются все ответы.

Ни один из этих вариантов не означает, что к вашему аккаунту получило доступ постороннее лицо, но если вас беспокоит его безопасность, вы можете проверить список обращений к нему за последнее время. На странице входящих сообщений перейдите вниз и нажмите на ссылку Дополнительная информация рядом со строкой Последние действия в аккаунте.

Отправленное изображение

Сообщение было изменено evaxp: 23 Октябрь 2011 - 19:24

www.surfpatrol.ru

#71 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 23 Октябрь 2011 - 19:26

На странице входящих сообщений перейдите вниз и нажмите на ссылку Дополнительная информация рядом со строкой Последние действия в аккаунте.


В упор в рамблере такого не нахожу.

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#72 account has been deleted

account has been deleted

    Massive Poster

  • Posters
  • 2 837 Сообщений:

Отправлено 23 Октябрь 2011 - 19:44

В упор в рамблере такого не нахожу.



Переходи на вменяемые службы и сервиса! :)

Сообщение было изменено evaxp: 23 Октябрь 2011 - 19:44

www.surfpatrol.ru

#73 KWhale

KWhale

    Newbie

  • Members
  • 0 Сообщений:

Отправлено 23 Октябрь 2011 - 20:02

Пока я вижу две вещи:
1. mperl11 находится внутри рамблеровской сетки;
2. mperl11 является SMTP-сервером.
Каким образом вы могли сделать прямую отправку на адрес приватной сети - плохо понимаю, но не вижу ни одной причины, чтобы "те, кто знают" не могли отправлять письма таким образом.

P.S. Взлом, конечно, мог быть, только не вашего ящика, а сервера:
inetnum: 85.128.128.0 - 85.128.167.255
netname: NETARTdescr: NetArt webhosting servers

Отправку я делал, конечно, на внешний адрес.

В заголовке указано, что mperl получил письмо не по SMTP, а по HTTP. Почему вы думаете, что mperl* являются SMTP-серверами?

Я видел несколько таких писем — все IP отправителя из сетей различных хостинговых площадок. Кстати, заражённые архивы тоже размещены на различных посторонних сайтах, по-видимому взломанных.

В моём случае письмо было отмечено в веб-клиенте как важное (это можно сделать вручную), хотя не содержало соответствующего заголовка.

Я не исключаю возможности взлома серверов Рамблера. В этом случае, конечно, возможно что угодно. Но нарушение безопасности моей собственной системы является для меня более серьёзной угрозой, поэтому я рассматриваю этот вариант как основной. Факт в том, что мне удалось в точности воспроизвести рассматриваемое письмо только прямыми манипуляциями с ящиком.

Я сразу же сообщил об инциденте в техподдержку Рамблера и спросил, можно ли узнать, когда и с каких адресов идентифицировались под моим логином. Мне на этот вопрос не ответили. В веб-интерфейсе я такой кнопки не вижу.

#74 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 23 Октябрь 2011 - 20:17

В упор в рамблере такого не нахожу.



Переходи на вменяемые службы и сервиса! :)

К чему тогда был скриншот с адресом рамблера?

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#75 account has been deleted

account has been deleted

    Massive Poster

  • Posters
  • 2 837 Сообщений:

Отправлено 23 Октябрь 2011 - 20:27

В упор в рамблере такого не нахожу.



Переходи на вменяемые службы и сервиса! :)

К чему тогда был скриншот с адресом рамблера?

Как к чему? По моему это очевидно, раз письмо упало на рамблер то и скриншот будет с рамблером.

virustotal

[drweb.com #2752531]

Сообщение было изменено evaxp: 23 Октябрь 2011 - 20:29

www.surfpatrol.ru

#76 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 23 Октябрь 2011 - 20:34

Пока я вижу две вещи:
1. mperl11 находится внутри рамблеровской сетки;
2. mperl11 является SMTP-сервером.
Каким образом вы могли сделать прямую отправку на адрес приватной сети - плохо понимаю, но не вижу ни одной причины, чтобы &quot;те, кто знают&quot; не могли отправлять письма таким образом.

P.S. Взлом, конечно, мог быть, только не вашего ящика, а сервера:
inetnum: 85.128.128.0 - 85.128.167.255
netname: NETARTdescr: NetArt webhosting servers

Отправку я делал, конечно, на внешний адрес.

В заголовке указано, что mperl получил письмо не по SMTP, а по HTTP. Почему вы думаете, что mperl* являются SMTP-серверами?

Если я правильно понимаю, только smtp-сервер может что-либо писАть в заголовки писем. Получается, что некто, вероятно, с адреса 85.128.140.4 авторизовался через веб-интерфейс Рамблера по http и отправил письмо.
С уважением,
Борис А. Чертенко aka Borka.

#77 KWhale

KWhale

    Newbie

  • Members
  • 0 Сообщений:

Отправлено 23 Октябрь 2011 - 21:01

Если я правильно понимаю, только smtp-сервер может что-либо писАть в заголовки писем. Получается, что некто, вероятно, с адреса 85.128.140.4 авторизовался через веб-интерфейс Рамблера по http и отправил письмо.


Неизвестно, работает ли mperl* с SMTP на приём.

#78 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 23 Октябрь 2011 - 21:03

Если я правильно понимаю, только smtp-сервер может что-либо писАть в заголовки писем. Получается, что некто, вероятно, с адреса 85.128.140.4 авторизовался через веб-интерфейс Рамблера по http и отправил письмо.

Неизвестно, работает ли mperl* с SMTP на приём.

По-моему, совершенно очевидно, что работает:

Received: from [85.128.140.4] by mperl11.rambler.ru with HTTP (mailimap); Tue, 18 Oct 2011 05:37:04 +0400


С уважением,
Борис А. Чертенко aka Borka.

#79 KWhale

KWhale

    Newbie

  • Members
  • 0 Сообщений:

Отправлено 23 Октябрь 2011 - 21:15

Неизвестно, работает ли mperl* с SMTP на приём.

По-моему, совершенно очевидно, что работает:

Received: from [85.128.140.4] by mperl11.rambler.ru with HTTP (mailimap); Tue, 18 Oct 2011 05:37:04 +0400

Он работает не по SMTP:

Received: from [85.128.140.4] by mperl11.rambler.ru with HTTP (mailimap); Tue, 18 Oct 2011 05:37:04 +0400



#80 KWhale

KWhale

    Newbie

  • Members
  • 0 Сообщений:

Отправлено 23 Октябрь 2011 - 21:34

Как к чему? По моему это очевидно, раз письмо упало на рамблер то и скриншот будет с рамблером.

virustotal

[drweb.com #2752531]


В моём случае в архиве был Trojan.Carberp.10. Но MD5-сумма архива была другая:
http://www.virustota...4722-1318920925


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых