[phpBB Debug] PHP Notice: in file /viewtopic.php on line 945: date(): It is not safe to rely on the system's timezone settings. You are *required* to use the date.timezone setting or the date_default_timezone_set() function. In case you used any of those methods and you are still getting this warning, you most likely misspelled the timezone identifier. We selected 'Europe/Helsinki' for 'EEST/3.0/DST' instead
[phpBB Debug] PHP Notice: in file /viewtopic.php on line 945: getdate(): It is not safe to rely on the system's timezone settings. You are *required* to use the date.timezone setting or the date_default_timezone_set() function. In case you used any of those methods and you are still getting this warning, you most likely misspelled the timezone identifier. We selected 'Europe/Helsinki' for 'EEST/3.0/DST' instead
BREN forums • View topic - [SpamCop (194.141.27.126) id:4382098641]
Page 1 of 1

[SpamCop (194.141.27.126) id:4382098641]

PostPosted: 16 Jul 2009, 22:47
by atanas
Днес получих следния репорт за спам от SpamCop:

Code: Select all
[ SpamCop V4.5.0.103 ]
This message is brief for your comfort.  Please use links below for details.

Email from 194.141.27.126 / 16 Jul 2009 13:46:51 -0000
http://www.spamcop.net/w3m?i=z4382098641zb050b6ba8ee2b6cce847626332b810bez

[ Offending message ]
Received: (qmail 29973 invoked from network); 16 Jul 2009 13:46:51 -0000
Received: from unknown (HELO p3presmtp01-12.prod.phx3.secureserver.net) ([208.109.80.161])
          (envelope-sender <SRS0=yRGS=DJ=gmail.com=fastshoploan@bounce.secureserver.net>)
          by smtp25-01.prod.mesa1.secureserver.net (qmail-1.03) with SMTP
          for <x>; 16 Jul 2009 13:46:51 -0000
Received: (qmail 15569 invoked from network); 16 Jul 2009 13:46:51 -0000
Received: from smtp27.prod.mesa1.secureserver.net ([64.202.189.169])
          (envelope-sender <SRS0=yRGS=DJ=gmail.com=fastshoploan@bounce.secureserver.net>)
          by p3presmtp01-12.prod.phx3.secureserver.net (qmail-ldap-1.03) with SMTP
          for <x>; 16 Jul 2009 13:46:51 -0000
Received: (qmail 19351 invoked by uid 1000); 16 Jul 2009 13:46:51 -0000
Delivered-To: x
Received: (qmail 19349 invoked from network); 16 Jul 2009 13:46:51 -0000
Received: from unknown (HELO p3plnpre01-14.eml.phx3.secureserver.net) ([72.167.218.99])
          (envelope-sender <fastshoploan@gmail.com>)
          by smtp27.prod.mesa1.secureserver.net (qmail-1.03) with SMTP
          for <x>; 16 Jul 2009 13:46:51 -0000
Received: (qmail 1790 invoked from network); 16 Jul 2009 13:46:51 -0000
Received: from poshta.uni-plovdiv.bg ([194.141.27.126])
          (envelope-sender <fastshoploan@gmail.com>)
          by p3plnpre01-14.eml.phx3.secureserver.net (qmail-ldap-1.03) with SMTP
          for <x>; 16 Jul 2009 13:46:51 -0000
Received: by poshta.uni-plovdiv.bg (Postfix, from userid 65534)
   id 7580D1548; Thu, 16 Jul 2009 16:46:49 +0300 (EEST)
X-Spam-Checker-Version: SpamAssassin 3.1.7-deb3 (2006-10-05) on
   poshta.uni-plovdiv.bg
X-Spam-Level:
X-Spam-Status: No, score=-96.5 required=2.0 tests=ADVANCE_FEE_1,ADVANCE_FEE_2,
   MISSING_SUBJECT,NA_DOLLARS,SPF_HELO_PASS,UNDISC_RECIPS,
   USER_IN_WHITELIST autolearn=no version=3.1.7-deb3
Received: from poshta.uni-plovdiv.bg (localhost [127.0.0.1])
   by poshta.uni-plovdiv.bg (Postfix) with ESMTP id 057CA14B8;
   Thu, 16 Jul 2009 16:46:41 +0300 (EEST)
Received: from 41.191.108.130
        (SquirrelMail authenticated user draiva)
        by poshta.uni-plovdiv.bg with HTTP;
        Thu, 16 Jul 2009 16:46:41 +0300 (EEST)
Message-ID: <4759________________________________rrel@poshta.uni-plovdiv.bg>
Date: Thu, 16 Jul 2009 16:46:41 +0300 (EEST)
Subject:
From: "Freedom Finance Brokers" <fastshoploan@gmail.com>
Reply-To: f.fbrokers001@web2mail.com
User-Agent: SquirrelMail/1.4.9a
MIME-Version: 1.0
Content-Type: text/plain;charset=UTF-8
Content-Transfer-Encoding: 8bit
X-Priority: 3 (Normal)
Importance: Normal
To: undisclosed-recipients:;
X-Spam: Statistical 70%


някъде в съобщението се забелязва ето това:

Received: from 41.191.108.130 (SquirrelMail authenticated user draiva) by poshta.uni-plovdiv.bg with HTTP; Thu, 16 Jul 2009 16:46:41 +0300 (EEST)


т.е. спама е изпратен през webmail услугата на ПУ, която върви на SquirrelMail. Това допълнително се потвърждава и от следните логвания на потребителя draiva във webmail-а:

16.07.2009, 09:55:30 [LOGIN] draiva from 41.191.108.130
16.07.2009, 09:57:21 [LOGOUT] draiva from 41.191.108.130
16.07.2009, 09:58:14 [LOGIN] draiva from 41.191.108.130
16.07.2009, 09:58:17 [LOGIN] draiva from 41.191.108.130
16.07.2009, 10:34:13 [LOGIN] draiva from 41.191.108.130
16.07.2009, 10:34:38 [LOGIN] draiva from 41.191.108.130
16.07.2009, 10:36:43 [LOGOUT] draiva from 41.191.108.130
16.07.2009, 16:09:16 [LOGIN] draiva from 41.191.108.130
16.07.2009, 18:31:49 [LOGIN] draiva from 41.191.108.130


Файла ~draiva/mail/SENT, с големина 186K последно е променян на 2009-07-16 18:50. Позволих си да надникна в съдържанието му. То започва така:

From draiva@poshta.uni-plovdiv.bg Thu Jul 16 16:41:49 2009
Received: from 41.191.108.130
(SquirrelMail authenticated user draiva)
by poshta.uni-plovdiv.bg with HTTP;
Thu, 16 Jul 2009 16:41:49 +0300 (EEST)
Message-ID: <46604.41.191.108.130.1247751709.squirrel@poshta.uni-plovdiv.bg>
Date: Thu, 16 Jul 2009 16:41:49 +0300 (EEST)
Subject:
From: "Freedom Finance Brokers" <fastshoploan@gmail.com>
Reply-To: f.fbrokers001@web2mail.com
Bcc: <victim1>, <victim2>, ...


т.е. от днес, зареждат се някакви яки реклами, мощни списъци с e-mail адреси и т.н. от началото до края.

Та това ми е доста интересно и ми се случва за пръв път, определено! Да ти откраднат паролата за пощата и да спамят през webmail клиент. Хм, как не са се усетили да ползват директно SMTP сървъра като имат парола.

Засега сменям паролата на draiva, и ще чакам да се обади 8)

Re: [SpamCop (194.141.27.126) id:4382098641]

PostPosted: 20 Jul 2009, 10:32
by ntk
Същият случай имахме и в Русе.
Оказа се че потребителят сам е дал паролата си в отговор на писмо твърдящо че правим закриване на акаунти. Писмото беше написано само на англйски, с подател (Reply-to) адрес от hotmail.com и твъде съмнително и странно (например искаше се рожденната дата).... но въпреки това юзера отговорил :fool:
Спам-а го пращат автоматично с php или perl script който отваря webmail-a и тъпче... Защита срещу това няма , освен да въведеш rate limit на изходящата поща или да ползваш някой модул на апаче за защита/проверка.

Поздрави
ntk

Re: [SpamCop (194.141.27.126) id:4382098641]

PostPosted: 20 Jul 2009, 14:59
by atanas
Здравей Ники,
Нямам идея как е взел паролата, може би някъв malware. Изпратени са само няколко десетки писма (не е много) но с огромен Bcc: списък. Ужас! Това се усетих един ден по-късно и се наложи да затрия цялата опашка на сървъра (бързах за планината). Предполагам, че злосторника може да е човек, който се е логнал и е пратил пощата. Едва ли през моя webmail могат да се ориентират къде автоматично за цъкат. Ето картинка от събитията.
Image