[phpBB Debug] PHP Notice: in file /viewtopic.php on line 945: date(): It is not safe to rely on the system's timezone settings. You are *required* to use the date.timezone setting or the date_default_timezone_set() function. In case you used any of those methods and you are still getting this warning, you most likely misspelled the timezone identifier. We selected 'Europe/Helsinki' for 'EEST/3.0/DST' instead
[phpBB Debug] PHP Notice: in file /viewtopic.php on line 945: getdate(): It is not safe to rely on the system's timezone settings. You are *required* to use the date.timezone setting or the date_default_timezone_set() function. In case you used any of those methods and you are still getting this warning, you most likely misspelled the timezone identifier. We selected 'Europe/Helsinki' for 'EEST/3.0/DST' instead
BREN forums • View topic - From: "2009 NATIONAL LOTTERY" <claim@lotto.co.uk>

From: "2009 NATIONAL LOTTERY" <claim@lotto.co.uk>

E-mail, Skype, ICQ, Jabber, SIP, H.323 и т.н.

From: "2009 NATIONAL LOTTERY" <claim@lotto.co.uk>

Postby atanas » 10 Aug 2009, 23:54

Аналогичен случай отново в ПУ. Чрез регистрацията на nevena и логване през webmail:
10.08.2009, 03:30:43, nevena from 78.138.3.237
10.08.2009, 03:34:12, nevena from 78.138.3.237
10.08.2009, 03:53:57, nevena from 78.138.3.237
10.08.2009, 10:19:13, nevena from 78.138.3.237
10.08.2009, 22:21:29, nevena from 78.138.3.237

са изпратени доста спамове. Ето какво намерих в SENT папката на въпросната дама от ПУ:
From nevena@poshta.uni-plovdiv.bg Mon Aug 10 22:38:38 2009
Received: from 78.138.3.237
(SquirrelMail authenticated user nevena)
by poshta.uni-plovdiv.bg with HTTP;
Mon, 10 Aug 2009 22:38:38 +0300 (EEST)
Message-ID: <4565.78.138.3.237.1249933118.squirrel@poshta.uni-plovdiv.bg>
Date: Mon, 10 Aug 2009 22:38:38 +0300 (EEST)
Subject:
From: "2009 NATIONAL LOTTERY" <claim@lotto.co.uk>
Reply-To: davidbatesagent9@sify.com
Bcc: <victim1>, <victim2>, ...
...

Засега регистрацията й е деактивирана, но това явно не е решение, особенно като се има впредвид, че това е втори такъв случай. Идеи? А ето и общата картинка:
Attachments
nevena.png
nevena.png (33.24 KiB) Viewed 10649 times
AE51 2A62 FCBE 5E15 C19F 56CD ECC5 2186 0455 9912
User avatar
atanas
Global Moderator
 
Posts: 191
Joined: 17 Feb 2009, 00:34
Location: Plovdiv

Re: From: "2009 NATIONAL LOTTERY" <claim@lotto.co.uk>

Postby iliev » 11 Aug 2009, 00:36

"Злодеят" е от Нигерия...

Code: Select all
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: This output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '78.138.3.232 - 78.138.3.239'

inetnum:        78.138.3.232 - 78.138.3.239
org:            ORG-VBI3-RIPE
netname:        Vic_Biz_International
descr:          Vic Biz International #104 Benin
country:        NG
admin-c:        GO124-RIPE
tech-c:         GO124-RIPE
status:         ASSIGNED PA
mnt-by:         SV-MNT
mnt-lower:      SV-MNT
source:         RIPE # Filtered

organisation:   ORG-VBI3-RIPE
org-name:       Vic Biz International
org-type:       OTHER
address:        Nigeria
e-mail:         oriagome@live.com
phone:          +2348035676765
admin-c:        GO124-RIPE
tech-c:         GO124-RIPE
mnt-ref:        SV-MNT
mnt-by:         SV-MNT
source:         RIPE # Filtered

person:         Goodnews Oriabor
address:        Nigeria
e-mail:         oriagome@live.com
phone:          +2348035676765
nic-hdl:        GO124-RIPE
source:         RIPE # Filtered

Но е интересно, че и в предишния случай си имал работа с нигериец...

Code: Select all
% This is the AfriNIC Whois server.

% Note: this output has been filtered.

% Information related to '41.191.108.0 - 41.191.111.255'

inetnum:        41.191.108.0 - 41.191.111.255
netname:        ST1-20090330
descr:          Suburban Telecom
country:        NG
admin-c:        LO1-AFRINIC
tech-c:         LO1-AFRINIC
org:            ORG-ST1-AFRINIC
status:         ALLOCATED PA
mnt-by:         AFRINIC-HM-MNT
mnt-lower:      SUBURBAN-MNT
source:         AFRINIC # Filtered
parent:         41.0.0.0 - 41.255.255.255

organisation:   ORG-ST1-AFRINIC
org-name:       Suburban Telecom
org-type:       LIR
descr:          LIR Xtra Small
country:        NG
address:        Plot 30 Blantyre Street
address:        WUSE II
address:        ABUJA
address:        Abuja FCT PO 13235
e-mail:         l.okuneye@suburbantelecom.com
e-mail:         o.adeyemi@suburbantelecom.com
e-mail:         o.adeyemi@suburbantelecom.com
phone:          +23495236105
fax-no:         +23495236107
admin-c:        LO1-AFRINIC
tech-c:         LO1-AFRINIC
mnt-ref:        AFRINIC-HM-MNT
mnt-by:         AFRINIC-HM-MNT
source:         AFRINIC # Filtered

person:         Ladi Okuyene
address:      B2 Broadband Ltd.
         Wuse II postoffice,
         PO Box, 13235,
         Wuse II,
         Abuja,
         FCT,
         Nigeria
phone:         +2349523106
fax-no:         +2349523107
e-mail:         l.okuyene@suburbantelecom.com
nic-hdl:      LO1-AFRINIC
source:         AFRINIC # Filtered

Или потребителите ти са станали жертва на "dear user, we are verifying all accounts, so we need your password" писма, или -- което е по-лошо, но и доста по-малко вероятно -- има някъде кийлогър по компютрите.
Luchesar V. ILIEV
User avatar
iliev
 
Posts: 506
Joined: 16 Feb 2009, 20:10
Location: Sofia, Bulgaria

Re: From: "2009 NATIONAL LOTTERY" <claim@lotto.co.uk>

Postby iliev » 11 Aug 2009, 00:39

Може би няма да е излишно всички да си проверят логовете за тези (поне) IP адреси:

Code: Select all
41.191.108.130

Code: Select all
78.138.3.237
Luchesar V. ILIEV
User avatar
iliev
 
Posts: 506
Joined: 16 Feb 2009, 20:10
Location: Sofia, Bulgaria

Re: From: "2009 NATIONAL LOTTERY" <claim@lotto.co.uk>

Postby iliev » 11 Aug 2009, 00:44

41.191.108.130 - Multi-RBL/DNSBL Information: Very Bad found in 9 RBL/DNSBL
78.138.3.237 - Multi-RBL/DNSBL Information: Very Bad found in 6 RBL/DNSBL
Luchesar V. ILIEV
User avatar
iliev
 
Posts: 506
Joined: 16 Feb 2009, 20:10
Location: Sofia, Bulgaria

Re: From: "2009 NATIONAL LOTTERY" <claim@lotto.co.uk>

Postby atanas » 11 Aug 2009, 10:22

Още нещо интересно. Пича от 78.138.3.237 много културно си е настроил webmail account-a на nevena:
nevena.pref
Code: Select all
chosen_theme=../themes/default_theme.php
show_html_default=0
mailfetch_newlog=off
javascript_on=0
sort=5
hililist=a:0:{}
spamcop_method=web_form
sui_last_ip=78.138.3.237
sui_last_host=-1
sui_last_date=1249932115
logins=4
doEmpty=1
full_name=2009 National Lottery
email_address=claim@lotto.co.uk
reply_to=davidbatesagent9@sify.com
use_signature=1
prefix_sig=0


nevena.sig
Code: Select all
               WINNING NOTIFICATION

The board of directors and entire member of staff of the National Lottery wishes to inform you of the result of the (Email Address Ballot) online Sweepstakes international program held at the British Headquarter.

Your email account has been picked as a winner of Six Hundred Thousand Pounds Sterling
(ВЈ600,000.00) in cash credited to file UIA/3626118300/03.This is from a total sum of Four Million, Two hundred Thousand Pounds Sterling (ВЈ 4,200,000.00) shared amongst seven winners. Your email address attached to ticket number: 8VY57104 28 with Serial number 173/02 drew the lucky numbers 6-6-43-00-47-90 .
**************************************************
Contact Agent: Mr. David Bates
Foreign Services Directorate/ Operation Personnel
Pacifico Sistemas InformГЎticos GmbH & Co.
E-mail: davidbatesagent9@sify.com
Phone: +447729704009
***************************************************
REF: NLU/63120973/LY AND BATCH: 08/H3401/3UK

1. Full name
2. Address.
3. Country.
4. Tel and fax number.
5. Occupation.
6. Religion.
7. Age

Yours Sincerely,
Mrs. Wilson Stacy,
Executive Zonal Coordinator.
NATIONAL LOTTERY
-------------------------------------------------------
Material Copyright В© 2009 The Lottery Co. Ltd.


Интересно за 78.138.3.237 от логовете на web server-а:
Opera/9.24 (Windows NT 5.1; U; en) (148 записа)
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; FDM; Crazy Browser 3.0.0 RC1) (93 записа)

В google по 41.191.108.130 squirrelmail и 78.138.3.237 squirrelmail също се намират аналогични случаи.

Засега промених smtpd_recipient_limit от 1000 по подразбиране на 50 и masquerade_domains на uni-plovdiv.bg.
AE51 2A62 FCBE 5E15 C19F 56CD ECC5 2186 0455 9912
User avatar
atanas
Global Moderator
 
Posts: 191
Joined: 17 Feb 2009, 00:34
Location: Plovdiv

Re: From: "2009 NATIONAL LOTTERY" <claim@lotto.co.uk>

Postby atanas » 11 Aug 2009, 12:53

Ето в крайна сетка промените, които направих по конфигурацията на postfix:

Code: Select all
masquerade_domains = uni-plovdiv.bg

masquerade_domains (default: empty)
Optional list of domains whose subdomain structure will be stripped off in email addresses.


Code: Select all
smtpd_recipient_limit = 50

smtpd_recipient_limit (default: 1000)
The maximal number of recipients that the Postfix SMTP server accepts per message delivery request.


Code: Select all
smtpd_client_recipient_rate_limit = 200

smtpd_client_recipient_rate_limit (default: 0)
The maximal number of recipient addresses that any client is allowed to send to this service per time unit, regardless of whether or not Postfix actually accepts those recipients. The time unit is specified with the anvil_rate_time_unit configuration parameter.


Code: Select all
anvil_rate_time_unit = 3600

anvil_rate_time_unit (default: 60s)
The time unit over which client connection rates and other rates are calculated.


С други думи как ви се струва ограничение от максимален брой получатели 50 на писмо и максимален брой получатели 200 на час? Това прави по 4800 писма за денонощие до жертви изпратени от пробита регистрация, а ето как е изглеждала картинката в ПУ на 10 Август 2009:
Code: Select all
Per-Hour Traffic Summary
    time          received  delivered   deferred    bounced     rejected
    --------------------------------------------------------------------
    0000-0100          49         38          2          0        689
    0100-0200          36         29          3          0        855
    0200-0300          32         28          2          0        292
    0300-0400         140       3594       2859         11        611
    0400-0500          26        318       2965          0        497
    0500-0600          24        206       2318          2        834
    0600-0700          20        305       1907          2        633
    0700-0800          50        331       1568          2        450
    0800-0900          36         30          9          0       1093
    0900-1000          62        405       1129          0        712
    1000-1100         100        397        748          0       1104
    1100-1200          85         82          8          0        616
    1200-1300         118        344        485          1        984
    1300-1400          90        367        139          0        890
    1400-1500          90        227          7          1        910
    1500-1600         113        135          7          0        694
    1600-1700         120        124          0          0       1273
    1700-1800          71         81          7          0       1210
    1800-1900          66         61          8          0       1604
    1900-2000          53         50          6          0       1572
    2000-2100          58         53          1          0        882
    2100-2200          49         44          7          0       1313
    2200-2300         111       1532        235        766       1178
    2300-2400          32         69        268         84       1034


в сравнение с един нормален ден, например 23 Юни 2009:
Code: Select all
Per-Hour Traffic Summary
    time          received  delivered   deferred    bounced     rejected
    --------------------------------------------------------------------
    0000-0100         122        115          3          0        488
    0100-0200         157        151          2          2        886
    0200-0300          84         74          3          1       1216
    0300-0400         104         98          3          0        833
    0400-0500          96         77          2          2        821
    0500-0600          57         50          3          0        449
    0600-0700          85        119          1          0       1041
    0700-0800         106         94          1          2        670
    0800-0900         114        110          2          1        608
    0900-1000         222        220          3          0        822
    1000-1100         290        357          4          1        970
    1100-1200         183        204          3          0        999
    1200-1300         223        258          4          4       1008
    1300-1400         185        177          3          2       1473
    1400-1500         270        310          2          1       1301
    1500-1600         323        372          4          0       1385
    1600-1700         347        389          3          1       1858
    1700-1800         333        323          4          5       1682
    1800-1900         266        278          3          0       1641
    1900-2000         176        163          5          0       2003
    2000-2100         220        220          3          2       1359
    2100-2200         159        153          1          1        815
    2200-2300         142        137          3          0       1065
    2300-2400         194        179          3          0        979
AE51 2A62 FCBE 5E15 C19F 56CD ECC5 2186 0455 9912
User avatar
atanas
Global Moderator
 
Posts: 191
Joined: 17 Feb 2009, 00:34
Location: Plovdiv

Re: From: "2009 NATIONAL LOTTERY" <claim@lotto.co.uk>

Postby atanas » 12 Aug 2009, 01:42

Последното решение е: всеки SMTP клиент може да изпраща писма най-много до 30 получателя в рамките на 2 минути.
Лъчо, 10x за идеите!
:Rose:
AE51 2A62 FCBE 5E15 C19F 56CD ECC5 2186 0455 9912
User avatar
atanas
Global Moderator
 
Posts: 191
Joined: 17 Feb 2009, 00:34
Location: Plovdiv


Return to Електронна поща, VoIP и видео комуникация

Who is online

Users browsing this forum: No registered users and 0 guests

cron