Security Lab



Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти  
Форум » Взлом и защита » Уязвимости
Страницы: 1
RSS
странный спам на mail.ru, кто знает как так они делают?
 
#1
Это нравится:0Да/0Нет
23.07.2007 23:13:15
Постоянно приходит спам на мои ящики на mail.ru (точнее на list.ru). Прикол заключается в том, что спам приходит даже на ящики, которые я никогда нигде не упоминал. Но прикол самый главный в том, что приходят письма, где мои адреса вообще в теле письма не встречаются. И такое письмо приходит сразу на несколько адресов, с интервалом несколько часов. Такое ощущение, что mail.ru сам копирует письмо по всей своей базе  :o . Кто нибудь знает что это за фишка такая? Новый вид спама что ли, рассылка по всему серваку, адреса получателей не требуются.
 
 
 
#2
Это нравится:0Да/0Нет
24.07.2007 00:05:10
То что ты ящик нигде не указывал, не означает что спама не будет. Типичный пример, пользователь у которого ты в контакт листе, подцепил спам-трояна. Сразу все кто был в его контактах попадает в спам базу.
Возможностей подобыных тьма.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
 
 
#3
Это нравится:0Да/0Нет
24.07.2007 21:44:10
Цитата
То что ты ящик нигде не указывал, не означает что спама не будет. Типичный пример, пользователь у которого ты в контакт листе, подцепил спам-трояна. Сразу все кто был в его контактах попадает в спам базу.
Возможностей подобыных тьма.

Неа, адрес вообще не засвеченый ни в одной почтовой программе. Я с него ниразу не писал - нулевый ящик, я его на черный день готовил. Фишка в том, что мой адрес вообще в письме не упоминается. И приходит спам на несколько адресов сразу.

Новый не пользованый ящик и сразу со спамом, притом только на mail.ru. В том то и дело просто широковещательный спам, так же как 255 ip пакет слать, получают все в сети.
 
 
 
#4
Это нравится:0Да/0Нет
24.07.2007 22:08:56
Существует еще возможность перебора, если перед @ стоит словарное слово.
То что письма не тебе адресованы, говорит лишь что что твой адрес стоит в скрытой копии.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
 
 
#5
Это нравится:0Да/0Нет
25.07.2007 12:20:32
Вот письмо:

Код
Return-path: <gyoppm@music.ru>
Received: from [195.112.125.210] (port=2039 helo=CALCULATOR)
   by mx31.mail.ru with esmtp 
   id 1ICxb1-000Hpp-00; Mon, 23 Jul 2007 17:05:07 +0400
Received-SPF: none (mx31.mail.ru: 195.112.125.210 is neither permitted nor denied by domain of music.ru) client-ip=195.112.125.210; envelope-from=gyoppm@music.ru; helo=CALCULATOR;
Message-ID: <003f01c7cd8a$a549876e$9cb3ab91@qtr>
Reply-To: "=?windows-1251?B?0SDi6OTl8uXr6CDJ7uLu4uj3?=" <seukx@front.ru>
From: "=?windows-1251?B?0SDi6OTl8uXr6CDJ7uLu4uj3?=" <gyoppm@music.ru>
To: =?windows-1251?B?6u7r5e334PLu7PM=?= <lnmfud@hotbox.ru>
Subject: =?windows-1251?B?8+Xk6O3o4vjo8fwgIO3l5PDz5uXt?=
Date: Mon, 23 Jul 2007 16:46:49 +0400
MIME-Version: 1.0
Content-Type: text/plain;
   format=flowed;
   charset="windows-1251";
   reply-type=original
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-Spam: Not detected

обвернутый потребовалась
http://ocovog.isfun.net/


__________ NOD32 2411 (20070721) Information __________

This message was checked by NOD32 antivirus system.
http://www.eset.com


тут только сервер mail,ru упоминается. Это пришло на адрес на ********@bk.ru где он тут упоминается, аналогичное нашел на ***@list.ru? И где тут упоминание в скрытых?
 
 
 
#6
Это нравится:0Да/0Нет
25.07.2007 12:55:21
Только что проверил. Послал письмо на свой обычный адрес и в BCC указал свой мейл.рушный. Пришло на ящик *@list.ru. В хидерах ясно светится 2 вещи:
1. Адрес, который был задан в BCC. Вот в этом месте:
Received: from [тут_IP] ... for тута_логин@list.ru; Wed, 25 Jul 2007 12:42:50 +0400
2. Адрес, который был задан в поле To:
Received-SPF:... envelope-from=*@uinc.ru;

Вроде как BCC должон светиться. В приведённом выше заголовке как раз этого нет. Может потому, что в моём случае письмо формировал "честный" почтовик, а выше - почтовик спамера (через затрояненную тачку, конечно)? А почему бы не задать этот вопрос службе поддержки Мейл.ру?
 
 
 
#7
Это нравится:0Да/0Нет
25.07.2007 21:03:23
Цитата

Вроде как BCC должон светиться. В приведённом выше заголовке как раз этого нет. Может потому, что в моём случае письмо формировал "честный" почтовик, а выше - почтовик спамера (через затрояненную тачку, конечно)?
я вот в чем не врубаюсь, а посему на мои ящики то приходит, притом на несколько? Письма по идее идут от точки А в точку Б, скрытый - не скрытый, честный - не честный. Где критерий кому?

Цитата

А почему бы не задать этот вопрос службе поддержки Мейл.ру?
Нееееее, зачем хорошие дырки в тех поддержку сдавать, тем более пока истина неизвестна.
 
 
 
#8
Это нравится:0Да/0Нет
25.07.2007 23:10:59
Цитата
NiGHT W R пишет:
Письма по идее идут от точки А в точку Б, скрытый - не скрытый, честный - не честный. Где критерий кому?

Вообще письмо приходит тому адресату, который указывается почтовиком (или программой имитирующей SMTP-протокол) в поле RCTP TO:
При этом в поле TO: в теле письма может стоять совершенно любой адрес. Я потому и проверил на почтовике мейл.ру, чтобы посмотреть - светится ли адрес BCC или нет. Убедился - светится. Некоторые клиенты могут не показывать поле envelope-from - и ты просто не увидишь, кому на самом деле адресовано письмо. Вернее - увидишь, но совершенно левый адрес. Уверяю тебя - это никакая не дыра. Более того - уверен, что скоро подобный вид писем будет филтроваться на мейл.ру спам-фильтрами от Ашманова и Ко. Они вон третий день фигачат в спам письма, которые идут с форума ISP, в котором я работаю. :)
 
 
 
#9
Это нравится:0Да/0Нет
27.07.2007 00:29:31
SOLDIER,

Цитата
SOLDIER пишет:
1. Адрес, который был задан в BCC. Вот в этом месте:Received: from [тут_IP] ... for тута_логин@list.ru; Wed, 25 Jul 2007 12:42:50 +0400
Вероятно, ты заполнил BCC (при том, одним-единственным адресом) и совершенно не заполнил поле To. Если заполнить поле To и BCC или в BCC указывать более одного адресата - такого не увидишь: все адресаты будут скрыты (кроме как в поле TO, если оно заполнялось)

Цитата
SOLDIER пишет:
Некоторые клиенты могут не показывать поле envelope-from - и ты просто не увидишь, кому на самом деле адресовано письмо
Обрати внимание: envelope-from, а from, как известно, это ОТ, а не КОМУ.

Плюс ко всему, на сколько я знаю, envelope-from заполняется не клиентами. Это - прерогатива сервера! Конечно, если это не ложные Received-SPF - заголовки
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
 
 
#10
Это нравится:0Да/0Нет
27.07.2007 18:48:36
Возможно-возможно. Проверять, честно говоря, сейчас лень. Суть в том, что это не дыра и не баг. А особенности реализации. Которой, к сожалению, пользуются уроды-спамеры.
 
 
 
#11
Это нравится:0Да/0Нет
28.07.2007 02:21:37
Цитата
SOLDIER пишет:
Суть в том, что это не дыра и не баг. А особенности реализации. Которой, к сожалению, пользуются уроды-спамеры.
Это ты про что: про то, что если один получатель в BCC - его всё равно видно в служебных заголовках?  :oops:
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
 
 
#12
Это нравится:0Да/0Нет
28.07.2007 14:39:53
Это я про то, что написал ты - что в случае определённой технологии можно сформировать письмо, в хидере которого будет не видно, что оно предназначено человеку его получившему.
Цитата
Shanker пишет:
Если заполнить поле To и BCC или в BCC указывать более одного адресата - такого не увидишь: все адресаты будут скрыты (кроме как в поле TO, если оно заполнялось)
 
 
 
#13
Это нравится:0Да/0Нет
29.07.2007 01:46:10
Хм... дык, на то она и скрытая копия, чтоб быть скрытой. Иначе толку-то от неё? :)
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
 
 
#14
Это нравится:0Да/0Нет
29.07.2007 20:38:28
Ну, с одним-то адресатом BCC всё вполне видно. Для получателя BCC-копии, разумеется.
 
 
 
#15
Это нравится:0Да/0Нет
31.07.2007 00:49:14
попробовал скрытую копию отослать, всеравно в теле письма есть ссылка на ящик.

Цитата

       Received: from [81.19.67.68] (port=62484 helo=mcgi45.rambler.ru)
       by mx37.mail.ru with esmtp
       id 1IFc44-0000uV-00
       for **********@list.ru; Tue, 31 Jul 2007 00:42:04 +0400

Ну иначе как оно дойдет или почему система все скрытые не перебивает, а только спам?
 
 
 
#16
Это нравится:0Да/0Нет
31.07.2007 18:34:46
Цитата
NiGHT W R пишет:
попробовал скрытую копию отослать, всеравно в теле письма есть ссылка на ящик.
Я уже прокомментировал такую ситуацию пару постов назад. Разве остались какие-то неясности?

Цитата
NiGHT W R пишет:
Ну иначе как оно дойдет
Как обычно. Только перед тем, как сервер окончательно положит его в ящик пользователя - он удалит данные из BBC. Сервер знает куда доставить. И только для него и заполняется поле BCC.

Цитата
NiGHT W R пишет:
почему система все скрытые не перебивает, а только спам
Не понял сути вопроса.
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
 
 
#17
Это нравится:0Да/0Нет
31.07.2007 21:42:05
NiGHT W R, почитай на досуге - как работает протокол SMTP. Желательно почитать RFC. Отпадёт куча ненужных вопросов.
 
 
 
#18
Это нравится:0Да/0Нет
21.08.2007 00:24:38
Незнаю каким образом там идет подмена поля Кому, но точно скажу что твой ящик вытащили через маил ру агент, там есть поиск даже без анкетных данных и он тебе выдает весь список ящиков маилру так что продаюся программы, да и самому не состовляет труда написать сделать вообще полный дамп имейлов то есть все имейлы каторые физически существуют в базе мэйл ру их все моно вытащить с помощью мэйл агента
 
 
 
Страницы: 1
Читают тему