?

Log in

Общество борьбы со спамом's Journal
 
[Most Recent Entries] [Calendar View] [Friends]

Below are the 20 most recent journal entries recorded in Общество борьбы со спамом's LiveJournal:

[ << Previous 20 ]
Tuesday, November 22nd, 2011
10:06 am
[_zhecka_]
Alarm! Открытый фишинг!
Сегодня прилетело письмо следующего содержания.
------------------------------------------
Уважаемый пользователь электронного почтового ящика bobr****@metropol.ru!

Вас беспокоит администратор сервера metropol.ru, на котором находится Ваш корпоративный электронный почтовый ящик.

Сообщаю, что сегодня (22.11.2011) ночью на сервере будут происходить работы, что может привести к сбросу настроек Вашего почтового ящика.

Во избежании последствий, прошу Вас направить в ответ на это письмо Ваш существующий сейчас пароль от данного почтового ящика (т.е. нажать "ответить", написать свой пароль и нажать "отправить").

Данная процедура поможет избежать нелепых ситуаций, связанных со сбросом Вашего пароля.

С Уважением,
Администратор сервера metropol.ru
-----------------------------------------

Заголовки.

Received: from list-out.cm.hc.ru (list-out.cm.hc.ru [89.111.177.251])
by xxx.metropol.ru (8.14.4/8.14.4) with ESMTP id pALN9orf079830
for <bobr****@metropol.ru>; Tue, 22 Nov 2011 03:09:51 +0400 (MSK)
(envelope-from support@internet.ru)
Received: from [TEMPUNAVAIL] ([188.128.1.254]:14796 helo=volhv)
by smtp.cm.hc.ru with esmtpa (envelope-from <support@internet.ru>)
authenticated with sales@292a1659030d1dd9e33ad35c17567df9.hash.cm.hc.ru
id 1RSczL-000P83-3s
for bobr****@metropol.ru; Tue, 22 Nov 2011 03:09:23 +0400
Message-ID: <92E86EF5088F40EE90ED0CD111C281EE@volhv>
Reply-To: =?koi8-r?B?88zV1sLBINDPxMTF0tbLyQ==?= <yan.den2@yandex.ru>
From: =?koi8-r?B?88zV1sLBINDPxMTF0tbLyQ==?= <support@internet.ru>
To: "metropol.ru" <bobr****@metropol.ru>
Subject: =?koi8-r?B?88zV1sLBINDPxMTF0tbLyS4g8MXSxdrBx9LV2svBINPF0tfF0sE=?=
Date: Tue, 22 Nov 2011 02:09:07 +0300
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0C80_01CCA8BB.B76BFC80"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.5512
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512
X-HC-Relay: 4
X-HC-List: 3
X-Spam-Status: No, score=0.8 required=5.0 tests=BAYES_20,HTML_MESSAGE,
RCVD_IN_SORBS_WEB autolearn=no version=3.3.0
X-Spam-Report:
* 0.0 HTML_MESSAGE BODY: HTML included in message
* -0.0 BAYES_20 BODY: Bayes spam probability is 5 to 20%
* [score: 0.0529]
* 0.8 RCVD_IN_SORBS_WEB RBL: SORBS: sender is an abusable web server
* [188.128.1.254 listed in dnsbl.sorbs.net]
X-Spam-Checker-Version: SpamAssassin 3.3.0 (2010-01-18) on xxx.metropol.ru
X-OriginalArrivalTime: 21 Nov 2011 23:09:55.0381 (UTC) FILETIME=[AE910650:01CCA8A2]

Смотрите по своим логам, у меня юзер умудрился таки послать ответ.
Случай не единичный.
http://bigmike-ru.livejournal.com/175883.html
Tuesday, December 28th, 2010
12:43 pm
[_zhecka_]
С Новым годом ! С новым старым ботнетом ?
Давно я сюда не писал.

Ну в общем вертаемся к 2009 году.


начались веерные рассылки по спискам адресов от 2003-2004 года.
Такое впечатление, что проходит тестирование-отладка ботнета. Вчера запускали на 1 час, сегодня на 2 с лишним часа. С одного хоста прилетает единовременно около 40-50 соединений. Работает в течении 2-3 минут, потом отваливается.
Saturday, September 18th, 2010
3:45 pm
[moury]
Примеры автоматического черного списка в postfix
Систем автоматического ведения "черных списков" ("автоблеклистинга") - много, но они, как правило, морально устарели - не рассчитаны на современные способы рассылки спама. Особняком стоят анализаторы лог-файлов почтового сервера, они - самые эффективные, но за время до очередного запуска анализатора систему могут утопить в спаме. Хочется вносить спамера в "черный список" при первой же попытке передать письмо.

Такая возможность в postfix'е есть - технология access policy delegation, или, по-русски, использование полиси-сервера.
Read more...Collapse )
Wednesday, February 3rd, 2010
6:47 pm
[_zhecka_]
Время считать цыплят.
Посчитал на корпоративном почтовике статистику за 1 год.
грустно как-то мне стало, хотя судя по цифрам - спам спадает потихоньку

MonthRejected
mails
Rejected
connections
Delivered
to users
Detected
by SA
Feb 2009522228211132166169819100
Mar 20091193610820927427255551197
Apr 2009382365111725757793070687
May 2009375350112970786581249175
Jun 2009296085713032196948635209
Jul 2009393833916114797214144379
Aug 2009329951512477785922534389
Sep 2009607126419446916466144815
Oct 2009535670518112577062951386
Nov 2009382027015737316951237175
Dec 2009296134815594358092731987
Jan 201015654849011216022035423
Friday, August 14th, 2009
3:07 pm
[_zhecka_]
Apache SpamAssassin 3.3.0-alpha2 is now available for testing.
по дефолту включен DKIM, в бете выключена поддержка SQL.
Рулесы теперь в базовую поставку не входят и поэтому их нужно качать через sa-update.
Изменений внутри довольно много. Будем ждать подробный changelog в релизе.
Saturday, July 11th, 2009
1:13 pm
[moury]
Какова ситуация с SORBS?
Из-за плохого английского я не очень понимаю ситуацию с SORBS.

Я понял только, что хостер, фактически, найден, так что отключение откладывается, но продавать SORBS все равно будут. Покупатель пока не выбран.

Кто-нибудь представляет, что у них происходит?
Thursday, May 7th, 2009
9:06 am
[mar1ner]
Я чего-то пропустил?
Дневной поток спама упал раз в пять - шесть. Ещё в апреле было 100 - 120 тыс писем в отшив, а сейчас уже не первый день около 20.
Прикрыли очередной хостинг спамеров или из за кризиса у них заказы упали? Вроде ни чего особенного по новостям не пробегало...
Thursday, April 30th, 2009
11:54 pm
[_zhecka_]
спамботы в жж комьюнити
Доброе время суток.
последнее время стала поступать информация о том, что активизировались спамботы в жж.
Господа модераторы, большая просьба покидать мне в приват ссылки на журналы спамботов для выработки технологии полуавтоматического отсеивания левых акков.
Если конечно в этом есть необходимость в контролируемых Вами группах.
Monday, April 13th, 2009
11:13 am
[mar1ner]
Спам во вложениях
Что за новости? На mail.ru-шный ящик приходят письма с заголовком типа "какое то там предложение". Обычно выгодное или о работе. Предложение засунуто в .doc или .rtf, но бывает, что и оба вместе. размер письма 350 - 700 килобайт.
Это у спамеров идеи по обходу фильтров кончились или такое новое слово в рассылке нежелательной почты?

На корпоративные ящики, что характерно, не приходят. По крайней мере мои.
Wednesday, April 8th, 2009
8:50 pm
[aborche]
Независимое тестирование различных АнтиСпам решений (коммерческие и свободные продукты)
Целью данного тестирования было оценить эффективность работы различных антиспам систем. Для тестирования были выбраны следующие продукты:
• Apache Spamassassin - SA(свободный)
• Yandex Spamooborona 2.3 - SO(коммерческий)
• Kaspersky Antispam 3.0 - KAS(коммерческий)
• FastBL 0.7.0 (свободный)
• dnsbl списки:
bl.spamcop.net
cbl.abuseat.org
dnsbl.sorbs.net
dul.nsbl.sorbs.net
dul.ru
sbl-xbl.spamhaus.org
zen.spamhaus.org
Ссылка на статью
Friday, March 27th, 2009
12:21 pm
[jrmm]
exim 4.69: проблемы с отправкой на яндекс
отправляем письмо:



по факту, на яндексе письма нет (ждал сутки). в папке "спам" смотрел.
письмо не является спамом, не содержит вложений, небольшого размера.
на mail.ru и ряд корпоративных серверов все уходит нормально.

где выпрямлять руки? всем спасибо заранее.

Current Mood: curious
Sunday, March 22nd, 2009
3:30 pm
[_zhecka_]
Предлагаю эксперимент.
Получив на днях комент в треде http://community.livejournal.com/securityblogru/3911.html в голову пришла мысль об эксперименте.

Предлагаю произвести независимое сравнение антиспам систем.
Имею в наличии Spamassassin, ISS Antispam, fastbl, gmail, dnsbl листы(spamhaus.org, spamcop.net) . Ищу Касперский Антиспам, IronPort и любой другой продукт который сможет выступать в роли анализатора спама.
Процесс таков:
У меня есть домен с 5 летней историей, на данный момент в этот домен попадает 99.9999% спама.
Я поднимаю релей который будет принимать письма для этого домена, делать базовый анализ письма(начальный скоринг) и посылать это письмо дальше на несколько адресов других антиспам систем. Письмо не будет изменяться(за исключением исходных заголовков Received). После 2-3 дней(думаю достаточно) мы начинаем сведение всех баз в единую таблицу и смотрим эффективность той или иной системы, а также количество FP. В течении этого времени всячески приветствуется отсылка на данный домен нормальных писем с различных релеев.
Есть желающие поучаствовать в этом эксперименте ?

x-post в securityblogru.
Wednesday, March 18th, 2009
3:35 am
[deka]
Эка зверюга
Поймал у себя на хостинге пидораса альтернативно одарённого, залившего мне относительно свежий yell soft-овский directmailer в виде перловой cgi-шки. Оно множественно в сети представлено, но если кого интересует -- могу кинуть, со списком mx-ов и адресов для рассылкит -- всё, что гондон урод мне закачал.

UPD:  http://www.cplus.ru/files/dm.tgz

UPD2: Кстати, очень интересен результат поиска в гугле по фразе YellSoft DirectMailer 1.6.8
Wednesday, March 11th, 2009
8:21 pm
[amesh]
dsbl.org
Судя по сообщению на http://www.dsbl.org/ ("DSBL is GONE and highly unlikely to return. Please remove it from your mail server configuration.") умер список list.dsbl.org. Убираем из конфигов...
Friday, February 27th, 2009
10:31 am
[_zhecka_]
И снова здарова :( webmoney продаёт трёхсимвольные домены
по 1 WMZ. Сразу чтоль этот список внести в заблокированные ? Самое оно спамерам это купить на годик, отспамиться и потом бросить. Только я не понял это продаётся домен уже проплаченный или просто имя без оплаты.
https://domains.webmoney.ru/scripts/ru_ccc.pl
Tuesday, February 24th, 2009
1:58 pm
[_zhecka_]
Размышлизмы на тему smart honey pot
Сидел тут на досуге, просматривал статку антиспама и в голову пришла идейка.

Каждый из нас имеющий почтовый домен имеет энное количество паразитного трафика, причем данный паразитный трафик в части случаев направлен на несуществующие в домене адреса, например вот эти:
citronellaqdo@budo-sport.ru
wigglyhd7@budo-sport.ru
crewingqw4@budo-sport.ru
celestasz1@budo-sport.ru
initiativeszy7@budo-sport.ru
conversionz2@budo-sport.ru
convert4628@budo-sport.ru
Read more...Collapse )
Tuesday, February 10th, 2009
7:43 am
[mar1ner]
Новые технологии
У меня одного такие всплески, или спамеры испытывают что то новое?
Wednesday, February 4th, 2009
11:54 am
[_zhecka_]
Дитятко, скажи дяде "До свидания !!!" :)
Настал день вбивания еще одного гвоздика в гроб спаммашин.
На данный момент тенденция современных рассылок такова, что спаммашины цепляясь к релею вливают в него до 100 адресов получателей единовременнно. Причем имена получателей представляют собой обрывки реальных адресов пользователей или адреса пользователей с добавлением лишних символов или цифр. В обслуживаемых мной 40 доменах(почтовые релеи работают как mailhub), пользователей с цифрами нет, также как и нет пользователей с непечатными символами аля PIPE "|".
Поэтому устав от назойливых предложений на сотни несуществущих в системе адресов было решено взять на вооружение технологию spamd из OpenBSD. Использовать spamd на таком объёме трафика просто нецелесообразно, поэтому перед ним стоит fastbl который валидирует все входящие соединения.
Для fastbl был написан модуль управления к pftabled(очень удобная тулза для управления состоянием таблиц в PF), если нужен код модуля - могу выложить тут.
Чем удобен модуль и чем хорош pftabled ?
Тем что использовать его можно где угодно и под любые задачи. Хоть Почта, хоть Веб, хоть ftp и т.д.
pftabled это демон который принимает udp пакеты подписанные Digest::HMAC_SHA1 на основе заданного ключа и выполняет команды по изменению содержимого таблиц pf. Вы можете использовать данную фичу для ограничения полосы пропускания для людей атакующих Ваш ресурс, для полной из блокировки, а также например для обеспечения доступа клиентов через web авторизацию(один пакет из веб формы сразу открывает доступ)
В общем fastbl получил еще 5 дополнительных фильтров и возможность настраиваемой блокировки через pftabled. После отдачи блокирующего кода и завершения почтовой сессии, fastbl помещает IP в блокирующую таблицу. Т.е. выглядит это как фейс-контроль :) Один раз не понравился, второй раз не зайдешь :))
Эффективность и гибкость потрясающая. Думаю стоит подумать как еще можно использовать данную фичу.
Вот.
ЗЫ: За час уже нафильтровало 1500 хостов.
Monday, January 19th, 2009
12:37 pm
[_zhecka_]
А вот подумалось мне по поводу Downadup
по идее при такой массовой заражённости машин, создаваемый им ботнет перекрывает по объёму все ботнеты существовавшие до сих пор. Очень сильно меня волнует скачивание вирусом списка геозон. Есть подозрение, что таки написан совершенный механизм geotargeting'а и мы скоро столкнёмся с ОГРОМНОЙ проблемой DoS атак внутри определенных геозон, а также новыми механизмами рассылки спама.
Sunday, November 23rd, 2008
3:00 pm
[_zhecka_]
Ну в общем как меня и предупреждали - сбылось
Ботнеты сменили политику и вернулись к рассылкам.
политика поменялась на уменьшение количества коннектов, но повышением нагрузки на почтовые сервера путём вливания огромных списков из словарей и группированных алфавитных списков адресов.

ждёмс что будет дальше.
Read more...Collapse )
[ << Previous 20 ]
About LiveJournal.com