On Wed, Feb 19, 2003 at 04:37:34PM +0200, vladimir.sharun@ukr.net wrote:
Вот наблюдаю в логах (это греп) очень интересную картину: Feb 19 00:38:35 mx-1 exim[44803]: 18lGNj-000Bed-00 <= ecs1736131219826484@yahoo.com H=dclient217-162-160-62.hispeed.ch [217.162.160.62] P=smtp S=5860 id=497320477d0prelohCxnu1qhw@aol.com T="Fw: Посмотри, это действительно прикольно" for a-mobile@ukr.net Feb 19 00:39:18 mx-1 exim[47663]: 18lGOS-000COl-00 <= wser19533butch2@yahoo.com H=cpe-24-162-210-35.elp.rr.com [24.162.210.35] P=smtp S=5828 id=14216529d0y0nCxnu1qhw@mail.com T="Fw: Посмотри, это действительно прикольно" for a-v-k@ukr.net Feb 19 00:39:58 mx-1 exim[49314]: 18lGP6-000CpO-00 <= thilot19919mrt@yahoo.com H=adsl-63-169-115.mob.bellsouth.net [208.63.169.115] P=smtp S=5874 id=1500916343dbdo|rqdCxnu1qhw@eudoramail.com T="Fw: Посмотри, это действительно прикольно" for a_alyona@ukr.net Feb 19 00:40:11 mx-1 exim[49526]: 18lGPJ-000Cso-00 <= a_chrisw6516fernanda_bs@yahoo.com H=pppoe2752.rb.gh.centurytel.net [64.91.96.254] P=smtp S=5854 id=2433325330dbexjdhyCxnu1qhw@email.com T="Fw: Посмотри, это действительно прикольно" for a_bugaev@ukr.net Feb 19 00:40:12 mx-1 exim[49527]: 18lGPJ-000Csp-00 <= he_man_024523felicin@yahoo.com H=pcp682390pcs.olathe01.ks.comcast.net [68.46.231.174] P=smtp S=5848 id=102998965dbexupdndCxnu1qhw@yahoo.com T="Fw: Посмотри, это действительно прикольно" for a_burmaka@ukr.net Feb 19 00:41:26 mx-1 exim[51829]: 18lGQX-000DTx-00 <= zargsch22011leungwaikei@yahoo.com H=adsl-18-33-131.mco.bellsouth.net [68.18.33.131] P=smtp S=5860 id=1510232261dbjluqCxnu1qhw@email.com T="Fw: Посмотри, это действительно прикольно" for a_girn@ukr.net (тут приблизительно 800 хитов было) Эх - а прикинь каково быть hotmail.com'ом ;). Туда за сутки вливается наверно несколько сотен миллионов спама. Кстати - интересно просто - сколько писем в сутки проезжает в ukr.net (десятки тысяч/сотни/миллионы?). При большой куче можно играть в статистические закономерности. Только мощи на это надо немало. Но yahoo.com в такое "играет" - причём успешно.
Ни один их этих хостов не является open-relay/open-proxy. Кратенький nmap показывает, что на всех машинах трояны. Причем
Не пофигу ли что там? Мне тут недавно линк подбрасывали - сервис значится: покупаешь софтину (типа супер-стелс-пупер-мылер), платишь за отсылку N мылов, тыкаешь на княпку и оно отсылает "через свои сервера". При этом ты платишь за количество мыл (ну, эдакий, возможно, более-менее законный лохотрон). Что-то мне подсказывет, то оно подобным образом тоже может будет выглядеть. Хотя 400-500K emails/сутки, которые в том линке поминались - оочень напряжно послать по dialup'ным линкам - гемороя будет не много, а очень много. Но технически такое реализуемо.
в явном виде их не видно, только через "другие" типы сканирования nmap'ом видны зафильтрованые порты. Досканируесся как-нить ;).
Вопрос к аудитории: что потенциально можно сделать против этого дела ? Каким образом можно закрываться/фильтроваться ? Из идей - как-нибудь "более осторожно" относиться к хостам с бэк-резолвом содержащим кучу цифр. Далее из идей есть что-то типа тыкания сабжей и длин писем в базу - эдакая эвристика для бедных. Причём длины считать неточно.
А вот по HELO фильтровать (когда в HELO и DNS написано разное) - эт садизм (кроме "фирменных" HELO - их по идее для того и делали (ну постёбаться мож ещё), хотя может я неправ). Главное - почему не сказать ясно "5xx мне ваш хело не нравится - идите отдохните"? А то вопросов возникает потом... :( Кстати - скажите hotmail.com "HELO unknown.Level3.net" - ото его заклинивает на rcpt to: ;). -- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message