Перейти к содержимому


Фото
- - - - -

Взлом почты...


  • Please log in to reply
94 ответов в этой теме

#81 basid

basid

    Guru

  • Posters
  • 4 126 Сообщений:

Отправлено 24 Октябрь 2011 - 16:44

by mperl11.rambler.ru with HTTP (mailimap); Tue, 18 Oct 2011 05:37:04 +0400

И что с того?
Каким боком всё это означает взлом вашего ящика?
Простейший вариант может быть таким.
Если пользоваться веб-интерфейсом из браузера, то во From автоматически подставляется адрес того, кто отправляет письмо, если формировать http-запросы к веб-интерфейсу самостоятельно - можно прописать разную фигню в разные места.

#82 KWhale

KWhale

    Newbie

  • Members
  • 0 Сообщений:

Отправлено 24 Октябрь 2011 - 18:00

by mperl11.rambler.ru with HTTP (mailimap); Tue, 18 Oct 2011 05:37:04 +0400

И что с того?
Каким боком всё это означает взлом вашего ящика?
Простейший вариант может быть таким.
Если пользоваться веб-интерфейсом из браузера, то во From автоматически подставляется адрес того, кто отправляет письмо, если формировать http-запросы к веб-интерфейсу самостоятельно - можно прописать разную фигню в разные места.

Я уже писал, что при отправке письма, даже внутри Рамблера, заголовки "Received" получаются другие. Именно такой заголовок удалось воспроизвести только у неотправленного письма.

Рамблер вообще не позволяет менять адрес отправителя ("From") при работе через веб-интерфейс. Даже в настройках учётной записи такого нет. Через скрытое поле в форме адрес не передаётся, если вы об этом. Впрочем, допускаю, что могут быть недокументированные параметры CGI-программы.

Наконец, как поставили отметку важности, не пользуясь заголовками?

#83 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 24 Октябрь 2011 - 18:09

Что скажете вот по этому письму?
Я его точно не отправлял....а вот мейлы все из моей адресной книги

...
Извините, мы вынуждены информировать Вас, что письмо,
которое Вы отправили, не может быть доставлено одному или
нескольким адресатам. Оно находится в прикрепленном файле.

Переводы и объяснения наиболее распространенных сообщений об
ошибках можно посмотреть здесь:
http://help.rambler....=25678&id=25702

Данное сообщение создано автоматически почтовой системой.
Отвечать на него не нужно.

We are sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

This message was created automatically by mail system, don't reply.


<web-1800@i.ua>: host mx8.i.ua[91.198.36.54] said: 550 User not found. See
http://mail.i.ua/err/2/ (in reply to RCPT TO command)

<bezpervogovznosa@bk.ru>: host mxs.mail.ru[94.100.176.20] said: 550 Message was
not accepted -- invalid mailbox. Local mailbox bezpervogovznosa@bk.ru is
unavailable: user not found (in reply to end of DATA command)

<pologiy@mail.ru>: host mxs.mail.ru[94.100.176.20] said: 550 spam message
rejected. Please visit http://mail.ru/notspam/ or report details to
abuse@corp.mail.ru. Error code:
7A54F868D9B95DF34F657228646D8E2A929FC0C47D44629CFDF76E12151D8667FD5F6CF6CABC932212F1A2A5B4DA18A1DD9C7E0F3154871177C1B01E540E06FD
(in reply to end of DATA command)
Reporting-MTA: dns; mx-out-wr-1.rambler.ru
X-Postfix-Queue-ID: E03EC13FD89D
X-Postfix-Sender: rfc822; mrbelyash@rambler.ru
Arrival-Date: Thu, 20 Oct 2011 11:26:56 +0400 (MSK)

Final-Recipient: rfc822; web-1800@i.ua
Original-Recipient: rfc822;web-1800@i.ua
Action: failed
Status: 5.0.0
Remote-MTA: dns; mx8.i.ua
Diagnostic-Code: smtp; 550 User not found. See http://mail.i.ua/err/2/

Final-Recipient: rfc822; bezpervogovznosa@bk.ru
Original-Recipient: rfc822;bezpervogovznosa@bk.ru
Action: failed
Status: 5.0.0
Remote-MTA: dns; mxs.mail.ru
Diagnostic-Code: smtp; 550 Message was not accepted -- invalid mailbox. Local
mailbox bezpervogovznosa@bk.ru is unavailable: user not found

Final-Recipient: rfc822; pologiy@mail.ru
Original-Recipient: rfc822;pologiy@mail.ru
Action: failed
Status: 5.0.0
Remote-MTA: dns; mxs.mail.ru
Diagnostic-Code: smtp; 550 spam message rejected. Please visit
http://mail.ru/notspam/ or report details to abuse@corp.mail.ru. Error
code:
7A54F868D9B95DF34F657228646D8E2A929FC0C47D44629CFDF76E12151D8667FD5F6CF6CABC932212F1A2A5B4DA18A1DD9C7E0F3154871177C1B01E540E06FD
(без темы)
Открыть отдельноОт кого: Max Sokulsky <mrbelyash@rambler.ru>
Кому: admin@virusinfo.info , pastuhal@rambler.ru , web-1800@i.ua , pologiy@mail.ru , it@ok.ru , rudik.alexey@yahoo.com , bezpervogovznosa@bk.ru
Дата: Thu, 20 Oct 2011 11:26:56 +0400

http://igizevyje.mad...m/dema3810.html

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#84 basid

basid

    Guru

  • Posters
  • 4 126 Сообщений:

Отправлено 24 Октябрь 2011 - 18:28

Наконец, как поставили отметку важности, не пользуясь заголовками?

Надоело, честно говоря, переливать из пустого в порожнее ...
Примите как данность - появления в вашем ящике странных писем не означает что кто-то знает пароль вашей учётки.

#85 basid

basid

    Guru

  • Posters
  • 4 126 Сообщений:

Отправлено 24 Октябрь 2011 - 18:43

Что скажете вот по этому письму?
Я его точно не отправлял....а вот мейлы все из моей адресной книги

Есть два способа известить о недоставке:
1. Коды ответов SMTP-сесси;
2. D(eliviry)S(tatus)N(otification).
Первое работает "оперативно", т.е. отправляющий MTA указывает получателей, а (первый) принимающий - выносит вердикт (приму/перенаправлю/пошлю лесом).
Второе - позволяет конечному MTA отчитаться о результатах доставки почты в ящик получателя в стандартном формате, пригодном для "удобного представления".
Так вот, в случае спама, получателем отчётов по второму сценарию будет тот, чей адрес был подделан. Не украден или взломан, а именно подделан. И который, конечно же, никаких таких писем "точно не отправлял".
Про "адреса из книги" - даже комментировать не хочу.

#86 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 24 Октябрь 2011 - 19:01

Про "адреса из книги" - даже комментировать не хочу.


Ээээ..почему?

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#87 basid

basid

    Guru

  • Posters
  • 4 126 Сообщений:

Отправлено 24 Октябрь 2011 - 19:20

Ээээ..почему?

Потому, что есть куча троянов, которые воруют персональные данные.
Имея доступ к почте того или иного пользователя легко собрать не просто кучу адресов, а нормальные ассоциативные списки - "ему пишут Иванов и Петров, значит не надо отправлять на этот адрес письма от имени Сидорова".

#88 KWhale

KWhale

    Newbie

  • Members
  • 0 Сообщений:

Отправлено 24 Октябрь 2011 - 19:21

Наконец, как поставили отметку важности, не пользуясь заголовками?

Надоело, честно говоря, переливать из пустого в порожнее ...
Примите как данность - появления в вашем ящике странных писем не означает что кто-то знает пароль вашей учётки.

У вас есть возражения по существу представленных мной аргументов?

Я не утверждаю, что кто-то знает мой пароль. Сейчас я, прежде всего, анализирую возможные способы создания письма, подобного рассматриваемому.

Можете ли вы предложить не менее обоснованный альтернативный способ создать такое письмо? Желательно не содержащий труднопроверяемых допущений, вроде взлома серверов Рамблера.

#89 basid

basid

    Guru

  • Posters
  • 4 126 Сообщений:

Отправлено 24 Октябрь 2011 - 19:23

Можете ли вы предложить не менее обоснованный альтернативный способ создать такое письмо? Желательно не содержащий труднопроверяемых допущений, вроде взлома серверов Рамблера.

Т.е. то, что я процитировал в выдержке whois о вебхостинге из сети которого отправлялось письмо - до вас не дошло?

#90 KWhale

KWhale

    Newbie

  • Members
  • 0 Сообщений:

Отправлено 24 Октябрь 2011 - 19:31

Можете ли вы предложить не менее обоснованный альтернативный способ создать такое письмо? Желательно не содержащий труднопроверяемых допущений, вроде взлома серверов Рамблера.

Т.е. то, что я процитировал в выдержке whois о вебхостинге из сети которого отправлялось письмо - до вас не дошло?

Так и что? Я вам выше писал, что эти письма рассылаются из сетей нескольких разных хостингов. Программа, рассылающая письма, вполне может сидеть на хостинге и пользоваться несанкционированным доступом в ящик. Если же у неё нет такого доступа, тогда как она отправляет письма, находясь снаружи сети Рамблера?

#91 basid

basid

    Guru

  • Posters
  • 4 126 Сообщений:

Отправлено 24 Октябрь 2011 - 19:43

Так и что? Я вам выше писал, что эти письма рассылаются из сетей нескольких разных хостингов. Программа, рассылающая письма, вполне может сидеть на хостинге и пользоваться несанкционированным доступом в ящик. Если же у неё нет такого доступа, тогда как она отправляет письма, находясь снаружи сети Рамблера?

Ну почему вы такой трудный ...
Вот есть веб-майл. Это набор страничек, предоставляющий браузеру ограниченный доступ к тексту письма. Скажем, набивать адреса в To - можно, а во From - нет.
Ну и что с того? Кто сказал, что отправить почту можно только через браузер?
В примитивном случае будет оправлен HTTP-запрос вида:
POST /ресурс?возможные-параметры HTTP/1.x
...
Content-Type: text/rfc822
 
From: поддельный@отправитель
To: реальный@получатель
X-забыл-как: Urgent
Subject: Нечто заумно-внушительное
 
Дорогой пользователь
Твой ящик взломан - гони бабло
И вы получите ровно то письмо, которое вас так анноит.

P.S. Нет, я не собираюсь обсуждать насколько всё плохо у рамблера и плохо ли там всё вообще.
Я этого просто не знаю и даже не собираюсь узнавать.

Сообщение было изменено Василий А. Сидоров: 24 Октябрь 2011 - 19:44


#92 KWhale

KWhale

    Newbie

  • Members
  • 0 Сообщений:

Отправлено 24 Октябрь 2011 - 20:53

Ну почему вы такой трудный ...
Вот есть веб-майл. Это набор страничек, предоставляющий браузеру ограниченный доступ к тексту письма. Скажем, набивать адреса в To - можно, а во From - нет.
Ну и что с того? Кто сказал, что отправить почту можно только через браузер?
В примитивном случае будет оправлен HTTP-запрос вида:

POST /ресурс?возможные-параметры HTTP/1.x
...
Content-Type: text/rfc822
 
From: поддельный@отправитель
To: реальный@получатель
X-забыл-как: Urgent
Subject: Нечто заумно-внушительное
 
Дорогой пользователь
Твой ящик взломан - гони бабло
И вы получите ровно то письмо, которое вас так анноит.

P.S. Нет, я не собираюсь обсуждать насколько всё плохо у рамблера и плохо ли там всё вообще.
Я этого просто не знаю и даже не собираюсь узнавать.

1. При отправке письма получаются другие заголовки "Received".
2. Заголовка повышенного приоритета ("X-забыл-как: Urgent") в моём письме не было.
3. Я снял дамп запроса на отправку и сохранение черновика письма через веб-интерфейс. Поле "From" не отсылается вообще (по-видимому, подставляется потом из базы). Заголовки в тело письма не включаются.

Возможность существования неизвестных мне параметров и режимов работы CGI-программы я не отрицаю, но это не отменяет п. 1 и 2. Если же программа позволяет не отправить, а сохранить письмо в чужой ящик и поставить отметку, то данная версия может быть принята, однако это всё равно несанкционированный доступ, а не просто баловство с подменой адреса отправителя.

#93 KWhale

KWhale

    Newbie

  • Members
  • 0 Сообщений:

Отправлено 25 Октябрь 2011 - 13:52

В общем, получаются три основные версии:
1. Несанкционированный доступ в ящик через кражу пароля или других идентификаторов безопасности или обход аутентификации.
2. Доступ к инфраструктурным серверам Рамблера снаружи. Поскольку набор функций и степень защищённости этих серверов неизвестны, возможны любые варианты.
3. Использование уязвимости в веб-клиенте, позволяющей манипулировать чужим ящиком.

#94 HHH

HHH

    Massive Poster

  • Posters
  • 2 714 Сообщений:

Отправлено 25 Октябрь 2011 - 14:15

4. XSS?

#95 KWhale

KWhale

    Newbie

  • Members
  • 0 Сообщений:

Отправлено 25 Октябрь 2011 - 14:46

4. XSS?

Как способ осуществления п. 1, возможно.


Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых