[uanog] Re: Опять спам, точнее новая технология :(

19 Feb 2003


      On Wed, Feb 19, 2003 at 04:56:38PM +0200, vladimir.sharun@ukr.net wrote:
...
Igor Karpov wrote:
...
On Wed, Feb 19, 2003 at 04:37:34PM +0200, vladimir.sharun@ukr.net wrote:
...
Вот наблюдаю в логах (это греп) очень интересную картину:
Feb 19 00:38:35 mx-1 exim[44803]: 18lGNj-000Bed-00 <= ecs1736131219826484@yahoo.com H=dclient217-162-160-62.hispeed.ch [217.162.160.62] P=smtp S=5860 id=497320477d0prelohCxnu1qhw@aol.com T="Fw: Посмотри, это действительно прикольно" for a-mobile@ukr.net
[dd]
(тут приблизительно 800 хитов было)
Ни один их этих хостов не является open-relay/open-proxy.
Кратенький nmap показывает, что на всех машинах трояны. Причем
в явном виде их не видно, только через "другие" типы сканирования
nmap'ом видны зафильтрованые порты.
Вопрос к аудитории: что потенциально можно сделать против этого
дела ? Каким образом можно закрываться/фильтроваться ?
А в хэдэре случайно нет никаких характерных строк, чтобы можно было ACL
построить?
Например:
From thilot19919mrt@yahoo.com Wed Feb 19 00:39:58 2003
Return-path: 
Received: from adsl-63-169-115.mob.bellsouth.net ([208.63.169.115])
        by mx-1.ukr.net with smtp ID 18lGP6-000CpO-00
        for a_alyona@ukr.net; Wed, 19 Feb 2003 00:39:57 +0200
Received: from yahoo.com (29358 [119.117.84.193])
        by  email.com (8.12.1/8.12.1) with ESMTP id 2752
        for ; Tue, 18 Feb 2003 14:38:32 -0800
Received: from email.com ([176.16.180.183])
        by juno.com (8.9.3/8.9.3) with SMTP id 11282
        for ; Tue, 18 Feb 2003 14:38:27 -0800
Message-ID: <1500916343dbdo|rqdCxnu1qhw@eudoramail.com>
From: "celesterubio" 
To: "" 
Date: Tue, 18 Feb 2003 14:38:22 -0800
Subject: Fw: Посмотри, это действительно прикольно
X-Mailer: The Bat! (v1.53d) UNREG / CD5BF9353B3B7091
MIME-Version: 1.0
Content-Type: multipart/related;
  boundary="----=_NextPart_000_0006_027C049C.77D64D7C"
X-Scanner: exiscan for exim4 (http://duncanthrax.net/exiscan/) *18lGP6-000CpO-00*8APxGFYbBIk*
------=_NextPart_000_0006_027C049C.77D64D7C
Content-Type: text/html; charset=koi8-r
Content-Transfer-Encoding: base64
==================================================================
Налицо тупо сварганенные два received, но сами понимаем, что их можно
легко подстроить под "правильные".
Ну, для данного примера рецепт как раз есть :) Ты же получаешь
exim-users@exim.org?

Если ничего на yahoo не менялось, то

# All yahoo.com mail will have either
# "...yahoo.com via HTTP "
# *OR*
# "...yahoo.com with NNFMP"
  deny          sender_domains  = yahoo.com
                message         = X-Forgery: NOT YAHOO SERVER
                condition       = ${if match {$h_Received:}{yahoo.com.via.HTTP}{no}{yes}}
                condition       = ${if match {$h_Received:}{yahoo.com.with.NNFMP}{no}{yes}}
	        deny message         = X-SPAM:    GET LOST, DAMNED SPAMMER
                condition = ${if match {$h_To:}{recipient@rcpthost.rcptdomain}{yes}{no}}

Regards,
-- 
Igor A. Karpov    phone: +380(44)238-0624
Unix System Administrator                   

	As subtle as a chainsaw, but lacking its social grace.
===================================================================
uanog mailing list.
To Unsubscribe: send mail to majordomo@uanog.kiev.ua
with "unsubscribe uanog" in the body of the message