[phpBB Debug] PHP Notice: in file /viewtopic.php on line 945: date(): It is not safe to rely on the system's timezone settings. You are *required* to use the date.timezone setting or the date_default_timezone_set() function. In case you used any of those methods and you are still getting this warning, you most likely misspelled the timezone identifier. We selected 'Europe/Helsinki' for 'EEST/3.0/DST' instead
[phpBB Debug] PHP Notice: in file /viewtopic.php on line 945: getdate(): It is not safe to rely on the system's timezone settings. You are *required* to use the date.timezone setting or the date_default_timezone_set() function. In case you used any of those methods and you are still getting this warning, you most likely misspelled the timezone identifier. We selected 'Europe/Helsinki' for 'EEST/3.0/DST' instead
BREN forums • View topic - [SpamCop (194.141.27.126) id:4382098641]

[SpamCop (194.141.27.126) id:4382098641]

E-mail, Skype, ICQ, Jabber, SIP, H.323 и т.н.

[SpamCop (194.141.27.126) id:4382098641]

Postby atanas » 16 Jul 2009, 22:47

Днес получих следния репорт за спам от SpamCop:

Code: Select all
[ SpamCop V4.5.0.103 ]
This message is brief for your comfort.  Please use links below for details.

Email from 194.141.27.126 / 16 Jul 2009 13:46:51 -0000
http://www.spamcop.net/w3m?i=z4382098641zb050b6ba8ee2b6cce847626332b810bez

[ Offending message ]
Received: (qmail 29973 invoked from network); 16 Jul 2009 13:46:51 -0000
Received: from unknown (HELO p3presmtp01-12.prod.phx3.secureserver.net) ([208.109.80.161])
          (envelope-sender <SRS0=yRGS=DJ=gmail.com=fastshoploan@bounce.secureserver.net>)
          by smtp25-01.prod.mesa1.secureserver.net (qmail-1.03) with SMTP
          for <x>; 16 Jul 2009 13:46:51 -0000
Received: (qmail 15569 invoked from network); 16 Jul 2009 13:46:51 -0000
Received: from smtp27.prod.mesa1.secureserver.net ([64.202.189.169])
          (envelope-sender <SRS0=yRGS=DJ=gmail.com=fastshoploan@bounce.secureserver.net>)
          by p3presmtp01-12.prod.phx3.secureserver.net (qmail-ldap-1.03) with SMTP
          for <x>; 16 Jul 2009 13:46:51 -0000
Received: (qmail 19351 invoked by uid 1000); 16 Jul 2009 13:46:51 -0000
Delivered-To: x
Received: (qmail 19349 invoked from network); 16 Jul 2009 13:46:51 -0000
Received: from unknown (HELO p3plnpre01-14.eml.phx3.secureserver.net) ([72.167.218.99])
          (envelope-sender <fastshoploan@gmail.com>)
          by smtp27.prod.mesa1.secureserver.net (qmail-1.03) with SMTP
          for <x>; 16 Jul 2009 13:46:51 -0000
Received: (qmail 1790 invoked from network); 16 Jul 2009 13:46:51 -0000
Received: from poshta.uni-plovdiv.bg ([194.141.27.126])
          (envelope-sender <fastshoploan@gmail.com>)
          by p3plnpre01-14.eml.phx3.secureserver.net (qmail-ldap-1.03) with SMTP
          for <x>; 16 Jul 2009 13:46:51 -0000
Received: by poshta.uni-plovdiv.bg (Postfix, from userid 65534)
   id 7580D1548; Thu, 16 Jul 2009 16:46:49 +0300 (EEST)
X-Spam-Checker-Version: SpamAssassin 3.1.7-deb3 (2006-10-05) on
   poshta.uni-plovdiv.bg
X-Spam-Level:
X-Spam-Status: No, score=-96.5 required=2.0 tests=ADVANCE_FEE_1,ADVANCE_FEE_2,
   MISSING_SUBJECT,NA_DOLLARS,SPF_HELO_PASS,UNDISC_RECIPS,
   USER_IN_WHITELIST autolearn=no version=3.1.7-deb3
Received: from poshta.uni-plovdiv.bg (localhost [127.0.0.1])
   by poshta.uni-plovdiv.bg (Postfix) with ESMTP id 057CA14B8;
   Thu, 16 Jul 2009 16:46:41 +0300 (EEST)
Received: from 41.191.108.130
        (SquirrelMail authenticated user draiva)
        by poshta.uni-plovdiv.bg with HTTP;
        Thu, 16 Jul 2009 16:46:41 +0300 (EEST)
Message-ID: <4759________________________________rrel@poshta.uni-plovdiv.bg>
Date: Thu, 16 Jul 2009 16:46:41 +0300 (EEST)
Subject:
From: "Freedom Finance Brokers" <fastshoploan@gmail.com>
Reply-To: f.fbrokers001@web2mail.com
User-Agent: SquirrelMail/1.4.9a
MIME-Version: 1.0
Content-Type: text/plain;charset=UTF-8
Content-Transfer-Encoding: 8bit
X-Priority: 3 (Normal)
Importance: Normal
To: undisclosed-recipients:;
X-Spam: Statistical 70%


някъде в съобщението се забелязва ето това:

Received: from 41.191.108.130 (SquirrelMail authenticated user draiva) by poshta.uni-plovdiv.bg with HTTP; Thu, 16 Jul 2009 16:46:41 +0300 (EEST)


т.е. спама е изпратен през webmail услугата на ПУ, която върви на SquirrelMail. Това допълнително се потвърждава и от следните логвания на потребителя draiva във webmail-а:

16.07.2009, 09:55:30 [LOGIN] draiva from 41.191.108.130
16.07.2009, 09:57:21 [LOGOUT] draiva from 41.191.108.130
16.07.2009, 09:58:14 [LOGIN] draiva from 41.191.108.130
16.07.2009, 09:58:17 [LOGIN] draiva from 41.191.108.130
16.07.2009, 10:34:13 [LOGIN] draiva from 41.191.108.130
16.07.2009, 10:34:38 [LOGIN] draiva from 41.191.108.130
16.07.2009, 10:36:43 [LOGOUT] draiva from 41.191.108.130
16.07.2009, 16:09:16 [LOGIN] draiva from 41.191.108.130
16.07.2009, 18:31:49 [LOGIN] draiva from 41.191.108.130


Файла ~draiva/mail/SENT, с големина 186K последно е променян на 2009-07-16 18:50. Позволих си да надникна в съдържанието му. То започва така:

From draiva@poshta.uni-plovdiv.bg Thu Jul 16 16:41:49 2009
Received: from 41.191.108.130
(SquirrelMail authenticated user draiva)
by poshta.uni-plovdiv.bg with HTTP;
Thu, 16 Jul 2009 16:41:49 +0300 (EEST)
Message-ID: <46604.41.191.108.130.1247751709.squirrel@poshta.uni-plovdiv.bg>
Date: Thu, 16 Jul 2009 16:41:49 +0300 (EEST)
Subject:
From: "Freedom Finance Brokers" <fastshoploan@gmail.com>
Reply-To: f.fbrokers001@web2mail.com
Bcc: <victim1>, <victim2>, ...


т.е. от днес, зареждат се някакви яки реклами, мощни списъци с e-mail адреси и т.н. от началото до края.

Та това ми е доста интересно и ми се случва за пръв път, определено! Да ти откраднат паролата за пощата и да спамят през webmail клиент. Хм, как не са се усетили да ползват директно SMTP сървъра като имат парола.

Засега сменям паролата на draiva, и ще чакам да се обади 8)
AE51 2A62 FCBE 5E15 C19F 56CD ECC5 2186 0455 9912
User avatar
atanas
Global Moderator
 
Posts: 191
Joined: 17 Feb 2009, 00:34
Location: Plovdiv

Re: [SpamCop (194.141.27.126) id:4382098641]

Postby ntk » 20 Jul 2009, 10:32

Същият случай имахме и в Русе.
Оказа се че потребителят сам е дал паролата си в отговор на писмо твърдящо че правим закриване на акаунти. Писмото беше написано само на англйски, с подател (Reply-to) адрес от hotmail.com и твъде съмнително и странно (например искаше се рожденната дата).... но въпреки това юзера отговорил :fool:
Спам-а го пращат автоматично с php или perl script който отваря webmail-a и тъпче... Защита срещу това няма , освен да въведеш rate limit на изходящата поща или да ползваш някой модул на апаче за защита/проверка.

Поздрави
ntk
User avatar
ntk
 
Posts: 20
Joined: 17 Feb 2009, 10:00
Location: Ruse

Re: [SpamCop (194.141.27.126) id:4382098641]

Postby atanas » 20 Jul 2009, 14:59

Здравей Ники,
Нямам идея как е взел паролата, може би някъв malware. Изпратени са само няколко десетки писма (не е много) но с огромен Bcc: списък. Ужас! Това се усетих един ден по-късно и се наложи да затрия цялата опашка на сървъра (бързах за планината). Предполагам, че злосторника може да е човек, който се е логнал и е пратил пощата. Едва ли през моя webmail могат да се ориентират къде автоматично за цъкат. Ето картинка от събитията.
Image
AE51 2A62 FCBE 5E15 C19F 56CD ECC5 2186 0455 9912
User avatar
atanas
Global Moderator
 
Posts: 191
Joined: 17 Feb 2009, 00:34
Location: Plovdiv


Return to Електронна поща, VoIP и видео комуникация

Who is online

Users browsing this forum: Google [Bot] and 1 guest

cron