SPAM roham

Spam, Adathalászat

Sziasztok!

Az lenne a kérdésem, hogy más is tapasztalta-e az elmúlt napokban jelentősen megnövekedett SPAM mennyiséget? Több különböző szerveren látom, hogy a spamfilter pörög, és hajtja el a sok befelé tartó mocskot (jellemzően dinamikus címekről).

  • 17328 megtekintés

( dragi v | 2013. 02. 13., sze – 09:22 )

Én is tapasztaltam, de elég különböző IPkről sajna.

( denke v | 2013. 02. 13., sze – 09:30 )

Szia!

De igen!
Mi is ugyanezt tapasztaltuk minden altalunk uzemeltetett (/ ugyfelhez kihelyezett) mail serveren. A megnovekedett spam terhelest egy bizonyos level okozza
"Munkatarsat keresunk hires cegunkbe szovegszerkeszto beosztas betoltesere"
Sajnos ahany level, annyi kulombozo ip cimrol jon annyi kulombozo feladoval, es habar a spamfilter konnyeden megfogja oket, attol meg a masodpercenkent sokszaz, sokezer spam eleg rendesen megnovekedett terhelest okoz a mail serveren.

Kivancsi lennek a tobbiek tapasztalataira is ebben a temaban, mert biztosra veszem hogy a legtobb magyar mx server ezzel kuzd.

--------------------------------------------------------------------------------------
Viacom Informatikai Kft. Egyedi fejlesztesu, felho alapu webhosting szolgaltatasok. Hureg, Lir, AS.

+1. Van benne vicces is :)

Munka feltételek:
- nem teljes munkaidő
- Munkaidejét saját maga osztja be
- Versenyképes munkabér, amelyet kéthetente átutalunk a bankszámlájára
- Pályafutás

Ez az egyik, a masik meg mindenfele hirlevelek. Amikre NEM iratkoztunk fel, megis le kell iratkoznom...Ez mar kb. ket hete megy.

--
http://www.micros~1


Ez az egyik, a masik meg mindenfele hirlevelek. Amikre NEM iratkoztunk fel, megis le kell iratkoznom...Ez mar kb. ket hete megy.

De 10-ből 8 nem tud odatenni egy leiratkozom linket valami dinamikus url-el, amivel rögtön le tudsz iratkozni. Nem! Neked kell kitalálnod hogy milyen címre küldték és arról leiratkozni :(.

Ezekben pont az a furcsa, hoyg ott a vegen a "leiratkozom" link, din. url-lel. Es ott kozlik, hoyg sajnaljak, hoyg megvalok a hirleveltol, remelhetoleg eddig elveztem. Minthoyg mindegyikrol csak egy jon, amire sose iratkoztam fel, ezert eros pofatlansagnak tunik.

Szerencsere olyanok nem nagyon jonnek, ahol talalgatom a cimzettet (azokra alt. a cimzett valamikor tenyleg feliratkozott), szoval azokat nem szamolom a spamek koze.

--
http://www.micros~1

Egyszer-kétszer jártam úgy, hogy egy ilyen linkre kattintva olyan oldalra jutottam, ahol volt még vagy 3-4 lista amin fent volt a cím. Elég egyértelmű a folyamat:

- a köcsögyár indít egy listát a pirospöttyös, mázas, kéfüles köcsögönek
- arról leiratkozol - ha egyáltalán
- a köcsöggyár indít egy másik listát a a pirospöttyös, mázas, egyfüles köcsögönek
- és megint nézel hogy wtf.

Persze ha egy kicsit ügyesebbek, akkor mindig más vps-ről, stb. stb. Hogy szarnának sünt.

De, van. Angolul nincs benne, de az angolban nagyitoval kell keresni az ekezeteket. Magyarul viszont valamiert logo' -kent honosodott meg. Es ebben peldaul elter a lo'go' -tol, ami megint egy teljesen masik szo, teljesen eltero tartalommal.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Nem. Valóban nem az, de működik. Ez a privát lebeszélő módszerem, ha sima leiratkozás, levélváltás - ha hajlandóak - és/vagy telefon után sem változik a helyzet, vagy ha ismét megtalálnak egy nagyon szuper termékkel, aminek most kicsit sötétebb a színe, mint a korábbinak és valamikor megint sikerült feliratkozzak a hírlevelükre, csak baromira nem emlékszem rá utólag.

Nocsa, mit kaptam....

Kulon kiemelem az "uj szolgaltatasink" 1. pontjat. Szoval ezert esik be msotanaban ennyi szar, amirol gyozok leiratkozni....

-------- Eredeti üzenet --------
Received: from pausenrewind.com ([108.174.195.80])
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=dkim;
d=pausenrewind.com;
h=To:Subject:Message-ID:Date:From:Reply-To:MIME-Version:List-Unsubscribe:Content-Type:Content-Transfer-Encoding;
i=cimlistak2014@pausenrewind.com; bh=71UKfpo2Pm+bDE49glKrCHWuBr4=;
b=sNTZsVtGvc/SV5fw6G/n+TZR/yBGubLXpc/Le96w7v3fOgrRJ9xPHr9eOjAC6EmhJMb5i3ObAzHP
UJTX3H3aL9bo3isKrtxgsDbzM5B7DxdrWv4Ko2A5O8/t1JKHRE714HqlMf2XPVHcBoY4DSdfqApl
XX0cDa08BIuHJDNo8Jc=
DomainKey-Signature: a=rsa-sha1; c=nofws; q=dns; s=dkim;
d=pausenrewind.com;
b=X32nHAlc1RX9GU240wGq8cQ4mXojceXmpiNgFX24g93MRoR3GlMxZaqFK5n7SYRwIY8Bgv3buTWC
wmGntb3W1AtLhgJ/U4aMAWHjvU29w3rNCcenaCVb8XDBG502TpsIrXwE7X31/zxkdswc9jOt4+7g
OZYVP9kal9AFizqYsww=;
Subject: FRISSÍTVE: eMail reklám, új címlisták, eMail kiküldés
Message-ID:
Date: Mon, 25 Mar 2013 08:50:12 +0000
From: Reklámmegoldások
Reply-To: cimlistak2014@yahoo.com
MIME-Version: 1.0
X-Mailer-LID: 6,7,8,9,18,19,20,21,30,31,32,40
List-Unsubscribe:

X-Mailer-RecptId: 811683
X-Mailer-SID: 2
X-Mailer-Sent-By: 1
Content-Type: multipart/alternative; charset="UTF-8";
boundary="b1_9ea26ad603b36b62101ca0a6351b7056"
Content-Transfer-Encoding: 8bit

Üdvözlöm,

figyelmükbe ajánlom reklámszolgáltatásainkat - most
több szolgáltatással, frissített címlistákkal
várjuk érdeklődését!

*Termékeink, szolgáltatásaink:*

*1. Magyar céges e-mail címlisták: *rajtunk keresztül
elérheti Magyarország szinte összes cégét - majdnem
500.000 céges e-mail címmel rendelkezünk, és
mindegyik esetben a cím mellett megtalálható a cím
származási helye is (URL-cím), igazolva, hogy az
adott e-mail kapcsolatfelvételre szánt céges cím!

*Ez nem spam:* így itt a lehetőség, hogy még most
növelje vállalkozásának bevételeit, sikerét! A
címlista azonnal megrendelhető, és szabadon,
legálisan felhasználható.

*2. Külföldi címlisták:* összesen 9.000.000 email
címmel rendelkezünk a következő országokból:
Ausztria, Belgium, Csehország, Dánia, Finnország,
Franciaország, Hollandia, Horvátország,
Lengyelország, Németország, Norvégia, Olaszország,
Oroszország, Ausztria, Portugália, Románia,
Spanyolország, Svájc, Svédország, Szlovákia, Ukrajna.

*3. Magyar lakossági címlisták:* összesen 2.000.000
email címmel rendelkezünk - folyamatosan
frissített, ellenőrzött címek!

*4. Magyar telefonszámokat tartalmazó listánk *
összesen 900.000 számot tartalmaz.

*Új szolgáltatásaink:*

*1. Hírlevelet építene:* feliratkoztatna akár több
tízezer, az Ön termékei, szolgáltatásai iránt
érdeklődőt? Ebben jók vagyunk, szívesen vállaljuk
ezt a feladatot.

*2. eMail kiküldés több millió címzettnek:* korábban
próbálkozott, de sikertelenül, vagy nem rendelkezik
ehhez szükséges kapacitással/megoldással? Bízzon
meg bennünket ezzel is. Meglévő, vagy akár tőlünk
vásárolt címlista esetén is elvállaljuk ezt a feladatot.

*Információk, részletes tájékoztatás itt:*
http://cimlistak.net/akcio

Kapcsolatfelvételre kizárólag ezt az email címünket,
vagy a honlapunkon található űrlapot használja:
cimlistak2014@yahoo.com

Üdvözlettel:
Reklámmegoldások csapata
http://cimlistak.net/akcio
cimlistak2014@yahoo.com

____________________________________________________________________
Ezt az üzenetet azért kapta, mert korábban feliratkozott hírlevél
sorozatomra,
amennyiben nem kíván több üzenetet kapni a hatékony marketing megoldásokról,
úgy kattintson az alábbi leiratkozó linkre:

Leiratkozás

--
http://www.micros~1

Koszi, de az otthoni gepemre nem veszek SJ-fele spamszurot :)

Csak gondoltam, megosztom mindenkivel, amin egy honapja csodalkoztam: hogy a joistenbe van ennyi hirlevel, amire nem emlekzetem, hoyg feliratkoztam. Hat igy, ez a draga hirlevelkudlo rendszert is uzemeltet...Hoyg vagna bele a villam.

--
http://www.micros~1

Sajat magam :) Amugy UPC-nel vagyok es bogofilter van a gepemen. Az latszik rajta, hoyg szavak adatbazisabol dolgzoik, tehat erre nem jo.

Egyszer ha nagyon sok idom lesz, esetleg kiprobalok masikat is. Csak jelenleg nem tudtam (mert mindig hajlamos vagyok eloszor magamban keresni a hibat), hogy
a) tenyleg feliratkoztam valamikor ennyi ismeretlen hirlevelre? vagy
b) ujfajta spam

Hatigen, b) . Igy, hoyg mar tudom, elkezdhetek gondolkodni az ellene valo harcon, bar nem tudom, megeri-e idot aldozni ra.

Amugy ceges szinten is beesik pl sose hasznalt fiokokba (tehat azokkal biztos, hoyg nem iratkoztam fel, sose voltak sehol, megis valahoyg kikerultek), ott az mfiltro megjeleloli.

Ide meg azert irtam, ha mas is tunodik rajta, honnan jon ennyi hirlevele, amirol le lehet iratkozni, hat innen.

--
http://www.micros~1

( Hydro v | 2013. 02. 13., sze – 10:46 )

Jelentősen nőtt. Hasonlóan volt 1-2 hónappal ezelőtt (talán karácsony környékén) ugyanilyen "roham".

"Ez valami vicc spam, amit megint az M$ férgesíthetőségének köszönhetünk."

Hát, a legtöbb spam forrás, amivel találkozom szinte mind linux szerver.
Vagy pop3 bruteforce után smtp auth-al tolják, vagy elbaszott php scripteken keresztül megy a spam.

A mai fogás egy bugos wordpress volt egy ügyfél szerverén, aminek köszönhetően óránként 4-5 000spam ment ki.

A joomla után tipikusan ez az, amit folyton foltozhat az ember, de mivel a gazdái általában nagy ívben tesznek a frissítésekre, rendszeresen garantálják a szórakozást az unatkozó rendszergazdának.

Nem beszélve az egyéb nyűgjeikről.

Nem tagadom, felhasználói szemszögből viszont baromi kényelmes szoftverek, tele klasszabbnál klasszab funkciókkal, harangocskákkal és csellentyúcskékkel.

Tény hogy én se üzemeltetnék szívesen ilyet nagy mennyiségben a felhasználók lámasága miatt. És itt jön képbe ami miatt már egyszer kiakadtam, a mai frissítés (1.4.1, pár napja volt 1.4 release) pontjai: http://wordpress.org/extend/plugins/wordpress-seo/changelog/

Semmi, de semmi komoly, de reflexből felteszem, mert egyrészt jön az email, másrészt meg ki tudja mit javítottak benne (megnézni a changelogot több meló mint frissíteni). De az idő megy vele, meg a többi limlommal - a win 7 is lassan minden nap telepíteni akar valami nyomorult frissítést -, és nagyon unom hogy ilyen marhaságok viszik az időmet. Ennyiből szimpatikusabb a drupal, hogy az leginkább akkor lármázik amikor tényleg muszáj frissíteni.

( Celtic v | 2013. 02. 18., h – 07:57 )

Egyre stilusosabbak a spammerek...Msot eppen gyaszjelentesnek alcazva jon. Gondolom, elalvas-gatlot akart ramsozni. Es leiratkozasnal a "koszonjuk eddigi erdeklodeset" a maik, amitol ideges leszek. Mintha valaha is feliratkoztam volna.

--
http://www.micros~1

( Skuzzy | 2013. 03. 01., p – 08:45 )

Ismerosnel a php-fusion oldalt nyomtak meg par napja, egy hete van public hibaja, azon keresztul toltak kifele a szemetet. 'Erdemes' frissiteni, akinel van.

( emberk | 2013. 03. 25., h – 14:44 )

Hozzánk is ömlenek a szemetek, de az a fura, mintha magamnak küldeném. az info"kukac"akarmi.hu küldi önmagának. Ez hogyan lehet?

------
3 fajta matematikus létezik. Aki tud számolni, és aki nem.

( lajos22 | 2013. 03. 25., h – 18:14 )

Nálam 2 napja az SMTP-n próbálkoznak (nyilván, hogy majd az enyémmel küldjék a szemetet) de az sajnos usert+passt kér, bocsi...

--
openSUSE 12.2 x86_64

( mogorva v | 2013. 04. 29., h – 12:43 )

Nekem jelenleg az a nagy bajom, hogy hiába kér a postgrey ismétlést, a rohadék spammer ismétel.
Utána a spamassassin már megjelöli spam-nek, de ekkor már bent van a levél.
Fél éve még alig jött bármi, mert a postgrey-n nem bírtak átjönni.
Most meg dől a szar.

Például a teljesen gagyi álláshirdetés:

Udvozlom! Engedje meg, hogy bemutatkozzam - Frank Walton vagyok,
a Aiful Corporation vezerigazgatoja. Vallalatunk jelenleg a terjeszkedes
erdekeben uj piacok utan kutat. Az uj irodank szamara uj munkatarsakat keresunk.

--------
12:56:10 szervernév postgrey action=greylist, reason=new, client_name=unknown, client_address=93.183.214.161, sender=fduprat@sbu.gov.ua, recipient=cimzett@domain.hu
12:56:10 szervernév postfix/smtpd NOQUEUE: reject: RCPT from unknown[93.183.214.161]: 450 4.2.0 : Recipient address rejected: Greylisted, see http://postgrey.schweikert.ch/help/domain.hu.html; from= to= proto=SMTP helo=<93.183.214.161>
[...]
13:01:15 szervernév postgrey action=pass, reason=triplet found, delay=305, client_name=unknown, client_address=93.183.214.161, sender=fduprat@sbu.gov.ua, recipient=cimzett@domain.hu
[...]
--------

Jól látszik, hogy a default 300mp letelte után ismételt a mocsok.

Jaaa hát Mr. Walton, az teljesen más :D

Nekem ez jött:

Engedje meg, hogy bemutatkozzam - Frank Walton vagyok, a Aiful Corporation vezerigazgatoja. Vallalatunk erosen technologia-fokuszu, dinamikusan novekszik az uj piacokon. Az osztalyunk tobb munkalehetoseget is kinal az On regiojaban.

:D

Itt más feladó címmel van de sikeresen szoktattam sokat le a küldözgetésről hasonló figurákat. Ez is kapott egyet :D

Mr. Walton csak egy példa a sok közül.
Nekem az ütött szöget a fejembe, hogy már ismételnek.
Korábban egyszerű volt a dolog, random feladóval küldtek, a postgrey visszakérdezett, aztán semmi.

Sajnos a postgrey-nek van az a hiányossága, hogy a küldő_ip + küldő + fogadó hármast jegyzi meg én pedig gyanítom, hogy egy "okosan" megírt spammer program pl. 300mp után automatikusan ismétel, mert ez a postgrey default és ha szerencséjük van, ezzel már át is jutott rajta.

Viszont mi mást lehetne figyelni?

Most felemelem a nálam is default 300mp-t mondjuk 330-ra és megnézem, mi lesz.

Viszont mi mást lehetne figyelni?

a tartalmat.

Most felemelem a nálam is default 300mp-t mondjuk 330-ra és megnézem, mi lesz.

szerintem semmi, mert ha en spammer lennek, akkor eleve 1 oraig oriznem a sessiont. Masreszt a spamek egy tekintelyes resze mar egy jo ideje vps-ekrol jon, szepen felkonfiguralt mail szerverrol, ami akar 1 het mulva is ujra probalkozik.

Szoval en a tartalom mellett meg a reputaciot kezdenem el figyelni, mericskelni. Csak ez a dolog meg olyan, hogy kicsiben nem mukodik, hanem csak nagyban kezd ertelmesen hasznalhato lenni.

Diktatorok kezikonyve

"a tartalmat."

Ezt hogyan érted?
A tartalmat a spamassassin teljesen jól elintézi.
Én pedig a postgrey-t szeretném valahogy okosítani.

Egyébként most úgy tűnik, hogy az elmúlt 2 órában, mióta megemeltem a --delay értékét, érezhetően kevesebb spam esett be. De persze majd hosszú távon derül ki, tényleg sikerült-e valamit elérni.

szigoruan veve a postgrey nem a spamek ellen ved, hanem a zombigepek ellen, amelyek nem kovetik az rfc-ket. Aki viszont koveti, azt idovel ugyis at fogja engedni, aligha segit sokat, ha nem 5 perc, hanem 1 ora mulva landol a mailboxodban a hulladek. Ezert irtam, hogy a spamek ellen a tartalom elolvasasa a legjobb modszer.

Egy olyan csekkolassal viszont erdekes lehetne, ha megnezed, hany gep nem probalkozik ujra, es azok hany %-a (a ptr alapjan) zombi.

Diktatorok kezikonyve

Nekem van egy 1-2 sec-es delay az SMTP banner elott (kb. mintha terhelt lenne a gep). A spammerek altalaban unauth_pipelining-gel elmennek a francba, a valid sessionok meg beesnek. A spammerek postgreybe mar alig jutnak el. Persze ez nem jo olyan helyen, ahol a _valid_ incoming tobbezer level/perc.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

Hallottam már a sleep-ről, de sose próbáltam.
Most utánaolvastam, de úgy látom az az általános vélemény, hogy nem használ annyit, mint amennyit esetleg árt (megfogja a gépet, a legális küldőknek is várniuk kell, stb.).
Nálad mennyit segített amikor bevezetted?

Egyébként tegnap nehéz szívvel visszatértem a spamhaus-hoz (nem szeretem az ilyen központi blacklist-eket) és azt kell mondjam, egész éjjel összesen 1 darab spam bírt becsúszni úgy, hogy korábban óránként bejött 10-15 (pl. Mr. Walton :) )

Nem tudom, hogy osszessegeben mennyi megy el unauth pipelininggel, de a sleep a postgreyyel egyutt minimalisra csokkentette a spamet.

Egyebkent a client_restrictions azert jo, mert abba siman lehet akar IP alapu elore engedelyezest is rakni, ha tudom, hogy vannak valid IP-k, akkor feherlistara rakhatom oket, es akkor ok nem fognak varni. De valoszinuleg igaza van sj-nek, es tenyleg jobb ezt postscreen-re rakni.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

Ma eddig hat különböző From mezővel kaptam ilyet. A useragent-ként mindegyiknél Outlook szerepel, és - bár a useragent könnyen hamisítható - nem elképzelhetetlen, hogy valami Outlook-os sebezhetőség/vírus az, ami szórja a user normálisan bekonfolt smtp-jén keresztül a vackait.

Amikor még lelkes voltam és csillogó szemű, a postfix úgy be volt konfigurálva, hogy gyakorlatilag sehonnan nem fogadott levelet, mert alig van a szabályoknak megfelelően telepített és beállított SMTP szerver.
A leveleiket váró feldühödött csőcse khmm... ügyfelek pedig vasvillával, fáklyákkal és kutyákkal kutattak utánam.
Szóval maradt egy kompromisszumos konfig. :/

Anno dolgoztam egy levelezo megoldason, ahol az Exim a Spamassassin configjabol kiolvasta a whitelist sender/recipient adatokat es azokat a leveleket akkor is atengedte, aha nem volt se reverse DNS, se semmi. Ezt ugy lehet bevezetni, hogy egyreszt logolod egy hetig az problemas leveleket es felveszed manualisan a kivetel szabalyokat, masreszt jo elore tajekoztatod az ugyfeleket arrol, hogy szigoritas lesz es vegyek fel az uzleti partnereiket (idealisan valami webes feluleten) hogy mindenkeppen megkapjak a leveleket tole. Azt is megcsinalhatod, hogy atfesulod a userek IMAP mailboxait es azokat a leveleket, amik mar X napja ott vannak, felveszed feherlistara.