Фу на держателя вирусов. Кто-то разослал вирусы от моего имени, а точнее с подстановкой обратного адреса. При этом ко мне возвращаются письма с вирусом, отправленные на ощибочные адреса, например, phynx*civfanatics.ru
. У кого такой адрес в адресной книге есть, тот и блохоносец, разбирайтесь.
К тому же идентификатор вот такой отправителя Message-Id: <E1BCFnF-0000bH-Oq*host.goldhost.us>
:angry: :angry: :angry:

host.goldhost.us - часть почтовой системы, в которой наш-цивфанатикс

дело доходит до смешного - якобы я сам себе с ящика wizard*civfanatics.ru отправляю заразу на grandprix*civfanatics.ru :rolleyes:
посмотрел заголовок письма - отправляли с киевского диалапа :yes:

граждане Киева, посмотрите свои адресные книги! у кого в книге есть phynx*civfanatics.ru - покайтесь :bye:

Я на Nonreload*civfanatics.ru регулярно получаю письма с вирусяками. Кто-то упорно хочет трояна подкинуть и ключики все спереть от ФТП, сайта,форума.
Гость будь внимательней, я уже говорил о том,что вирусы получаю.

Да и на мой мейл вирусы сыпятся, как из рога изобилия. Я их, правда, не изучаю, а сразу коцаю. А ящик мой, надо сказать, мало где зарегистрирован ещё, кроме как здесь. Какой-то вирусопромышленик тут, кажись, завёлся... :sneaky:

Originally posted by Sardukar Дата 11.04.2004 - 03:01
Гость будь внимательней, я уже говорил о том,что вирусы получаю.
Да, проблема действительно есть, я об этом еще зимой писал, вирусы действительно приходят и все с фанатиков.
Гость может можно как-нибудь почту защитить?

Originally posted by Michael+11.04.2004 - 08:44--></div><table border='0' align='center' width='95%' cellpadding='3' cellspacing='1'><tr><td>Цитата (Michael * 11.04.2004 - 08:44)</td></tr><tr><td id='QUOTE'><!--QuoteBegin-Sardukar Дата 11.04.2004 - 03:01
Гость будь внимательней, я уже говорил о том,что вирусы получаю.
Да, проблема действительно есть, я об этом еще зимой писал, вирусы действительно приходят и все с фанатиков.
Гость может можно как-нибудь почту защитить?[/b][/quote]
Михаэль, твоя проблема в том, что ты 1. меня не слушаешь 2. слушаешь только себя

ладно, лирическое отступление завершено :blabla:

----------------------------------------------------------------------------------------
это я тебе отвечал полгода назад, отвечаю ещё раз - письма приходят не с наш-фанатиков :chair: если бы приходили с наш-фанатиков, то я давно бы забодал несчастного

то, что ты видишь как обратный адрес, подставляется кем хочешь как хочешь :yes: даже ты можешь послать письмо с мейл-ру, а обратным адресом указать например wizard*civfanatics.ru, для простого пользователя сложится картина, что письмо отправил Гость

следует смотреть "заголовки письма", есть такая галочка в почтовой программе для показа этиз служебных полей... вот там и написан ip-адрес отправителя и зачастую правильный сервер отправки

на самом деле ситуация прозаичней - этим занимаются не люди, а созданные ими спам-черви, дело пока что на стадии экспериментов :pray:
а рассылают они не троянов для кражи паролей (стырить пароль - это экономически неэффективно), а рассылают снова почтовых червей

черви собирают данные адресных книг (SIC! не одной локальной книги, а создают сборники адресов), затем произвольно заполняют поля получатель и отправитель из сборника адресов :applau2:

таких червивых писем я получаю в день около 30-ти :yucky: в моей корзине их уже по пояс
просмотр заголовков всегда завершается обнаружением адреса совершенно левого почтовика навроде mail.ru или yahoo.com, ip-адреса отправителя (=заражённой машины) тоже невменяемые - от Бразилии до Урюпинска

всего ОДИН раз айпишник был диалапный киевский и письмо от меня мне же :woot_jum: с вероятностью 99% оба моих адреса были на той машине, что говорит, что заразу (= распространение сборника адресов форумцев) разносит кто-то из наших киевских игруль :bye: Киев, мы вас слушаем :bye: больно не будет :bye:

Дадада, зимой ничего не было, а вот сейчас :o , два моих адреса уже дней так 4, с которых я отправлял савы, теперь забиваются левыми письмами (приклеплен zipовский файл)...
одозначно нас цивилизаторов атакуют :2guns: .

Originally posted by Гость Дата 11.04.2004 - 10:13
Михаэль, твоя проблема в том, что ты 1. меня не слушаешь 2. слушаешь только себя
ладно, лирическое отступление завершено
Помнится, ты писал о том, что смысл все понимают по-разному, вот это как раз этот случай.
Я имел в виду не то, что кто-то на фанатиках сидит и рассылает вирусы, а то, что они приходят на сервер фанатиков и доставляются адресату, то есть мне.
Адреса отправителя и ip имеются, только толку от них ноль.
Может на сервере антивирусник поставить и проверять все письма антивирусом, чтобы зараженные не доставлялись?

Письма незачем проверять. Есть программы отлавливающие сомнительные письма еще на входе в сервер.
Если на почтовом сервере установлен MS Exchange, то можно поставить Symantec Mail Security.
Гость, думаю, и так все знает, руки просто не доходят.

парни, сие не в моей власти - антивирусник на сервере в руках хостера www.goldhost.ru
из хорошего - голдхост сегодня вроде начал потихоньку сопротивляться заразе, кое-какие письма стали резаться на корню

-----------------------

на ящик wizard*civfanatics.ru пришло письмо с заразой :bye:
от wizard*civfanatics.ru к wizard*civfanatics.ru :applau2:

Congratulations!,
your best friend.
+++ Attachment: No Virus found
+++ MessageLabs AntiVirus - www.messagelabs.com

Return-path: <wizard*civfanatics.ru>
Envelope-to: wizard*civfanatics.ru
Delivery-date: Mon, 12 Apr 2004 15:43:31 +0400
Received: from [ip-адрес потёрт мной, но это однозначно айпишник UU :bye: ] (helo=civfanatics.ru)
by host.goldhost.us with esmtp (Exim 4.24)
id 1BCzqZ-0000iC-Al
for wizard*civfanatics.ru; Mon, 12 Apr 2004 15:43:27 +0400
From: wizard*civfanatics.ru
To: wizard*civfanatics.ru
Subject: Your day

-----
УУ, Дядька - вы оба залетели на вируса (похоже, вчера) - срочно пить касторку :yes:

новости последней минуты:
оо, вот прилетело письмо якобы от Хамстера, смотрю - отправлено УУ, как всегда заразный зип присобачен

Гость а тебе всё-таки не поглючилось? Я тебе на ЛС кидал ответ, но ты что-то молчишь..

У меня на службе Инета не было с вечера пятницы до 15:45 Пн. Почту я смотрел около 16:00 - у меня одновременно и письмо лежит с вирусом и твоё сообщение... Что ж получается... я не успел в Инет войти - а у тебя уже от меня письмо с заразой?

То есть, я, конечно, допускаю, что мог заразиться, но тогда явно не вчера. И касперский ничего не говорит...


Так какой из трёх айпишников?

(195.xx.xx.---)
(212.xx.x.---)
(---.dialup.mtu-net.ru)

Received: from [айпишник UU ] ... for wizard*civfanatics.ru; Mon, 12 Apr 2004 15:43:27 +0400 - вот время отправки
Delivery-date: Mon, 12 Apr 2004 15:43:31 +0400 - время получения мной
УУ- не приглючилось, 99% заразился, приват лови

-- доброжелателям :lol:
ах да :lol: вы меня подписали на виноватость наш-фанатиксов :lol: а я наконец-то поймался :lol: щааз!
95% таких писем вообще не заходили на фанатиков :box: например, с мейл-ру на мой служебный домен есть письма, подписанные *civfanatics.ru - но ведь это просто подставленный обратный адрес, на почтовик фанатиков не заходило письмо
... на работе есть такие письма, завтра посмотрю

... парни, не бойтесь - форматцэ не будет :bye: 90% это спамеры собирают картотеки действующих мыл по регионам (проявляют профессиональный подход, мои аплодисменты им)

Originally posted by Гость*12.04.2004 - 19:52
... парни, не бойтесь - форматцэ не будет :bye: 90% это спамеры собирают картотеки действующих мыл по регионам (проявляют профессиональный подход, мои аплодисменты им)
А мне вообще формат це по барабану... У меня там 6 файлов всего лежит... :harhar:

Опять штук пять писем пришло с обратного адреса форума с вирусами. И, что самое мерзкое, одно пришло на адрес, с которого я отправлял сейвы с адреса с работы, а это уже полный трах-тарарах!!!! Убить бы его в адресной книге.
А отправлялось только (!!!) на адреса
grandprix*civfanatics.ru <grandprix*civfanatics.ru>
nonreload*civfanatics.ru <nonreload*civfanatics.ru>

Стало быть там вирусяка и живет :censored: :box: :censored: :box: :censored:

Появилась новая версия известного вируса Netsky-V

Если предыдущие версии вируса активировались, когда пользователь открывал вложенный файл в электронном письме, то последняя версия, Netsky-V,
инфицирует компьютер даже если пользователь просто просматривает пришедшую корреспонденцию.

Первая строка инфицированного письма может содержать сообщение "converting message, please wait" или "please wait while loading failed message".

Копии Netsky-V worm были обнаружены в следующих сообщениях почтовых серверов: "mail delivery sytem (sic) failure, mail delivery failed", "server system failure", "gateway system failure".

http://www.lenta.ru/internet/2004/04/16/virus/

Win32.HLLM.Netsky.35328 он же W32.Netsky.P*mm хорошо вычищается при помощи FxNetsky.exe, брать здесь: http://securityresponse.symantec.com/avcenter/FxNetsky.exe
внимательно читать инструкции: http://securityresponse.symantec.com/avcen...moval.tool.html (http://securityresponse.symantec.com/avcenter/venc/data/w32.netsky*mm.removal.tool.html)

Пльзуемся The Bat и спим спокойно :blabla:

Кто-то упорно атакует наш фанатик. Как минимум раз в день получаю инфицированное письмо!!

А я только что оперрационку переустановил какойто вирусяка мне время на компе передвинул ну я не стал дожидаться более суровых последствий :) При чем, по-моему я заразился при заходе на страницу Майкрософт. Интересно а через загрузку страницы можно заразится? Буду ставить Касперского хоть и тормозит немного систему... :2guns:

Originally posted by Gektor*17.04.2004 - 13:08
Интересно а через загрузку страницы можно заразится? Буду ставить Касперского хоть и тормозит немного систему... :2guns:
Можно заразиться, если не апдейчен IE. Антивири не панацея, надо ставить своевременно нужные заплатки, но это тааак лениво :shy: Например какой бы не был антивирь на машине, если дырка в RPC осталась (это та, что MSBlast использует), то машина все равно при атаке энтим вирусом перегружаться будет.

В принципе для XP, к примеру, достаточно поставит первый сервиспак и две заплатки - на DCOM RPC и network plug-n-play.
А на IE накатить последний секьюрити роллап. И поглядеть последние апдейты. Желательно вообще ставить все, что попадает под их категорию Critical, хотя там тоже бесполезные вещи бывают, типа заплаток к тому, что не используешь - IIS, windows Media и т.п.
В общем читаешь аннотации и вперед.

ЗЫ: лучше выкачать к себе все патчи, а потом поставить. Чуть дольше, зато при необходимости переинсталляции не придется по-новой качать все.

ЗЗЫ если речь идет о 98/me то там такой шары нет. Единственное рекомендую установить последний эксплорер и накатить апдейты к нему.

Ну не знаю по моему Касперский быстрее отслеживает новые вирусы чем Майкрософт новые дыры в IE. :lol:

A кстати как сохранить на диске патчи Майкрософт?

У меня перед тем как хапануть вирус при развороте страницы запускался скриптовый отладчик IE писал в конце че то типа возможно наличие обьекта...
На почту снова пришло 25 сообщений со спамом - реклама всякой фигни, но в некоторых какая то дрянь прицеплина, я их все убил не открывая. :angry:

Originally posted by Gektor*17.04.2004 - 17:39
Ну не знаю по моему Касперский быстрее отслеживает новые вирусы чем Майкрософт новые дыры в IE. :lol:
На самом деле, сначала находят дырку... кто-нибудь, иногда и сами мелкомягкие. Потом выпускают патч, который никто не ставит :) А потом, глядишь, кто-то через полгода накоепает вирус, коотрый эту дырку использует. Ну Касперский конечно за пару дней сбацает противоядие, но патч-то уже дааавно есть :)
Впрочем, никакие патчи не спасут от ручного запуска троянов :nono:


A кстати как сохранить на диске патчи Майкрософт?
А там есть ссылка обычно в описании на статью, в статье есть ссылка на сам файл вида KBXXXXXX-LLL.exe
Где XXXXX - номер артикла, а LLL - в нашем случае RUS или (как у кого ;)) ENG

[quote][b]У меня перед тем как хапануть вирус при развороте страницы запускался скриптовый отладчик IE писал в конце че то типа возможно наличие обьекта...
На почту снова пришло 25 сообщений со спамом - реклама всякой фигни, но в некоторых какая то дрянь прицеплина, я их все убил не открывая.

Спасибо Beetle, как говорится век живи, век учись. :yes:
Насчет почты советую всем *yandex.ru там весь спам убивают на дальних подступах, а на старом ящике у меня завал.

Чей адрес, однако? В возврате письма токое есть

Original-Recipient: rfc822;и мой адрес

Ну разберитесь со своей живностью, задарали вконец. У меня абсолютный стопор для вирусов, я принимаю почту, а отправить не могу, пока специально не подключусь к старому адресу по другому номеру телефона, посему претензии не принимаются.
А хост везде civfanatics.ru, а не только в return mail.

Админы!!! Ау, чините ружжжжжо!!!! :censored: :blabla: :censored:

А вот что пишет Майкрософт как обнаружить распространенные черви на компе: >>>Щелкните «Пуск», затем щелкните «Выполнить».
В поле «Открыть» наберите: cmd
Щелкните OK. Появится черное окно командной строки, в которой отображается C:\…>.
Наберите cd \ и нажмите ENTER. Текущая папка изменится на C:\, отобразится курсор.
Для поиска вируса Mydoom.A щелкните курсор, затем наберите: dir shimgapi.dll /a /s
Нажмите Enter.
Подождите:
Если появится сообщение «Файл не найден», компьютер не заражен червем Mydoom.A.
Если появится сообщение «Всего файлов», компьютер заражен вирусом Mydoom.A. Обратитесь к вашему разработчику антивирусных программ.
Для поиска вируса Mydoom.B щелкните курсор, затем наберите: dir ctfmon.dll /a /s
Нажмите Enter.
Подождите:
Если появится сообщение «Файл не найден», компьютер не заражен червем Mydoom.B.
Если появится сообщение «Всего файлов», (см. рис.2), компьютер заражен вирусом Mydoom.B. Следуйте приведенным ниже шагам.
Для поиска вируса Doomjuice.A щелкните курсор, затем наберите: dir intrenat.exe /a /s
Нажмите Enter.
Подождите:
Если появится сообщение «Файл не найден», компьютер не заражен червем Doomjuice.A.
Если появится сообщение «Всего файлов», (см. рис.3), компьютер заражен вирусом Doomjuice.A. Следуйте приведенным ниже шагам.>>>

Ну опять началось. Снова какая-то зараза рассылает спам. Опять вернулась почта с ошибочным адресом.

чудесный примерчик :lol: имеем письмо якобы с grandprix*civfanatics.ru на nonreload*civfanatics.ru

вот служебные поля (пример как можно посмотреть в аутлуке-5 - на письмо мышку, правый клик, Свойства) -
Return-path: <grandprix*civfanatics.ru>
Envelope-to: nonreload*civfanatics.ru
Delivery-date: Mon, 24 May 2004 09:55:22 +0400
Received: from [159.148.112.233] (helo=home-8fweyhtrme) by host.goldhost.ru with smtp (Exim 4.34) id 1BS8Qk-0007B6-8i for nonreload*civfanatics.ru; Mon, 24 May 2004 09:55:22 +0400
Date: Mon, 24 May 2004 08:55:26 +0200
To: nonreload*civfanatics.ru
Subject: :)
From: grandprix*civfanatics.ru
Message-ID: <cbftxofksrnclrixwqs*civfanatics.ru>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="--------swfdphiqnlcunpirbghs"

обратите внимание на Received: from [159.148.112.233]
это ip-адрес отправителя... поищем-ка его среди форумчан - кто же заражён ? тэкс... нет похожих адресов среди наших....

Имя хоста для 159.148.112.233: 2-112.233.i-net.lv
смотрим чей адрес (какой сети, город, страна?)
тэкс... Латвия, сеть провайдера... вот контакты ответственных за сеть.... писать им жалобы нет смысла - зараза носится по всему миру и никто не будет гоняться за клиентом, умоляя его полечиться :rolleyes:

вот и всё... к чему это я ? а! кое-кто до сих пор считает, что если письмо подписано president*whitehouse.gov , то это ОТТУДА :box: неа, смотрите ip-адрес

... правда, кое-кто умеет подделывать и ip-адрес компьютера отправки письма, но это уже совсем другая история

Гость
Обычно сам отправитель и знать не знает, что с его компа едёт спам. Иногда даже посылают письма сами себе.
Один товарищ жаловался, что он запустил антивирус, а тот поудалял тьму файлов с его компа. Наверняка был настроен на автоматическое удаление заразы. С тех пор боится антивирусов, как огня. Не знаю, удалось ли доказать, что он не прав.

Сегодня поприходило на оба моих адреса на первый якобы от info * civru.com и ещё от какого-то типа а на второй якобы от Цивилизатора
Во всех трех письмах был приаатачен файлик с одинаковым размером (ок 24 кб) - только названия файлика и текст писем был разный

Уважаемый цивиломан, (я не знаю, кто ты, но точно знаю, что ты заходишь не только на форум civfanatics.ru, но и на форумы gameover.ru и civru.com, а дальше проследить тебя особо не сложно) - если ты не прекратишь эту фигню, то я приму меры и тогда я тебя найду и (просьба к Администрации - не удалять и не править этот пост) будем мы с тобой разговаривать по другому.

Если ТЫ (кто бы ты не был) сразу сознаешься и объяснишь причину своей неприязни ко мне, то я тебя прощу - иначе пеняй на себя (у меня тоже есть кое что "в кармане")

Если я тебя чем то обидел - то напиши - чем - если я действительно виноват - то я признаю свою вину и извинюсь

Может будет кому любопытно вот советы по безопасности в сети от МТУ-интел
весьма солидной организации:
>>> В последнее время участились попытки несанкционированного получения от пользователей их логинов и паролей. В связи с этим хотелось бы дать ряд предупреждений и рекомендаций.

Вот самые распространенные способы мошенничества:

1. Письмо "от провайдера".

На ваш e-mail просто приходит письмо приблизительно такого содержания:

Дорогой пользователь!

Мы, группа поддержки компании MTU-inform, доводим до вашего сведения, что с 01.11.98 компания MTU проводит перерегистрацию пользователей сети Интернет, пользующихся услугами нашей компании.
С этой целью просим Вас по адресу mtu.support*mtu-net.ru выслать имя Вашего почтового ящика, Ваш логин (login) и пароль (password) в формате:
Почтовый ящик: "ваше имя ящика"*mtu-net.ru
Логин: "ваш логин"
Пароль: "ваш пароль"

Благодарим Вас за сотрудничество.
Группа поддержки.

Первое - мы НИКОГДА не рассылаем подобные письма! Даже, если и появится у нас необходимость в тех или иных работах над паролями, то информация об этом предварительно появится на нашей информационной страничке или на страничках статистики пользователей.

Второе - обращайте внимание на обратный адрес, указанный в подобных письмах. Все наши контактные адреса могут заканчиваться только на *mtu.ru (support*mtu.ru, billing*mtu.ru и т.д.)

Что делать с подобными письмами. Ни в коем случае НЕ ОТВЕЧАЙТЕ НА НИХ! Пришедшее подобное письмо отправьте нам на support*mtu.ru. Лучше всего, если вы его отправите "как вложенное", чтобы сохранилась вся информация из заголовка письма.



2. Так называемый "Троянский Конь"

Чаще всего "Троянский Конь" это некая программа, действие которой заключается в поиске на вашем компьютере определенных данных и отправки их своему "хозяину". Обычно такие программы распространяются через e-mail под видом рекламы или под другим "благовидным" предлогом. Что ни будь типа "Запустите приложенную программу, и вы узнаете, как получить бесплатный пылесос!". Поддавшись на призыв (устоять трудно - мы знаем :)) и запустив, таким образом, программу вы можете собственноручно впустить к себе "Троянского Коня". Он покопается в ваших файлах (на это у него уйдут доли секунды), вполне вероятно, что найдет ваши логин/пароль и отправит их своему "хозяину" для дальнейшего нелегального пользования за ваш счет.

Как уберечься от "Троянских Коней":
Не запускайте программы "сомнительного происхождения", которые вам всучили через Интернет без вашего на то предварительного согласия. Иными словами, не запускайте программу, если не знаете наверняка, что она делает.

"Троянца" можно получить не только через почту. Бывает, что его распространяют через WEB или FTP под видом тех или иных "полезных" мелочей (русификатора, например). Иногда даже такие "утилитки" делают то, что было обещано (помимо "вынюхивания" ваших данных).

Принцип работы "Троянского Коня" чаще всего заключается в поиске пароля и логина в файле реестра Windows. В связи с этим не рекомендуем пользоваться опцией "Запомнить пароль" в программе удаленного доступа.

Если для авторизации вы пользуетесь скриптом, то лучше поместить его в "нестандартном" месте. По умолчанию скрипты хранятся в папке \Program Files\Accessories. Совершенно точно известно, что, как минимум один "Троянец" "приучен" выкачивать все скрипты из этой директории.

В остальном руководствуйтесь общими принципами защиты от компьютерных вирусов, разновидностью которых, собственно, и являются "Троянцы"...



3. Спасите себя сами.

Один из наших пользователей дал хороший хоть и весьма оригинальный совет по проблемме:

Совет очень простой. Хакеры получают пароли, в основном, скачивая с вашего винчестера стандартные файлы содержащие пароли и скрипты с в которых они хранятся. Выход из этого положения очень прост:

1) Необходимо запретить сохранение пароля в стандартном файле Windows.
2) Что-бы не вводить Login и Password каждый раз заново, необходимо написать и подключить простейший скрипт который будет хранить в себе Ваши данные (Пример). Но скрипт сохранить не на жестком диске, а на дискете т.е. дискетка станет вашим ключом к И-нет.
3) После того как подключение и авторизация прошли успешно можно вытащить дискетку из дисковода и теперь ни какая программа "троянский конь" не сможет скачать Ваши данные. >>>

Originally posted by Gektor*24.06.2004 - 14:34
.......2) Что-бы не вводить Login и Password каждый раз заново, необходимо написать и подключить простейший скрипт который будет хранить в себе Ваши данные (Пример). Но скрипт сохранить не на жестком диске, а на дискете т.е. дискетка станет вашим ключом к И-нет.

А можно по подробней-как это сделать- обьясните на пальцах если не затруднит.
Благодарю.

Там большая статья сходи сюда: http://support.mtu.ru/helps/internet/ms-script_1.htm

кто посылал письмо сегодня на ladder там вирусы были, у меня его антивирус автоматом удалил. Так что сейвов я не получал :no:

опять послали два других вируса на ladder c как бы info*microsoft.com

Originally posted by Mahler*28.07.2004 - 18:09
опять послали два других вируса на ladder c как бы info*microsoft.com
:yes: ключевое слово "как бы"

даже если письмо придёт "как бы" от меня, а тем более от Буша-младшего - не открывай, если там приложен файл, который предварительно не был нами согласован

если там лежит zip-архив размеров от 29 до 41 килобайт, письмо сразу в корзину (такова печальная судьба приблудных архивов такого размерчика)

если там пришит графический BMP-файл, письмо сразу в корзину - эти звери умудрились найти уязвимость и в bmp :biglol: после умелой подготовки, при кликаньи этот бмп куда-то не туда заводит систему

... меня уже замотали письма "как бы" от меня "как бы" мне же, из нонрелоуда в гранпри и обратно :ann: если посмотреть ip отправления, то получается то Италия, то Урюпинск какой-нить, где антивируса отродясь не выдывали, причём эти айпи на форуме не фигуририровали никогда... 100% работа спамерских вирусов

кстати, у спамеров собирать адреса с сайтов прямотыком уже не модно :whistle: позавчера они атаковали сам Великий Гугль :punk: поназаражали компов новым червём, компы прочесали Гугль и отослали результаты "куда надо"

так у меня антивирус все автоматом удаляет :gun:

почтительней надо быть, почтительней перед Творцами Вирусов :worthy: они всегда на полшага впереди Творцов Антивирусов :huh1: не верь ... хм... жене и тормозам ... и антивирусу

чего то они серьезно за мой комп взялись, сейчас опять два письма пришло которые антивирус удалил. и причем каждый раз разные. чувствую придется пока этот ящики на civfanatics.ru вообще не использовать. а то ведь каждый раз разные шлют как будто антивирус проверяют.

так что если сейвы придут то смотреть их некоторое время не смогу.

Mahler! :secret: самый последний писк моды! прислать заразу, подделанную под сообщение о недоставке или о том, что это письмо проверено антивирусом :biglol: скачай почтовик TheBat! и будет тебе щастье :bye: там можно включить "показать все письма на сервере" и выборочно удалить заведомо палёные... сейв-то ты отличишь от липы ? хотя бы по размеру... сейв заведомо больше

Да, в этом Гость прав, что не верить антивирусам - я Кашпировским на 2 раза прошол весь винт (ой как это долго) и Dr.Web&#39;ом (всё насколько возможно свежие) - они сказали, что всё стеритльно, а скачал ad-aware и он у меня сразу три spyware и одну adware надыбал

Хочу поправить Гостя - не от 29 до 41, а от 26 до 52 кб (это по моему опыту)

a ja virusov nakaplsya kogda iskal ckacki na www.crakfind.co} .

Teper u menya net logon skreena i netu ojistki diska . iz puska .


Vobje uje te vremena koga virus tajelo napravit po pochte . vot naprimer http://ua.fm pochti luche vseh filtruet virusi ...

a eshe naschet virusov na e-mail . obijniy haker mojet smenit svoy e-mail na kakoy hos . daje esli takoy est u kogo to na etom forume . i otsilat , mati , oskoblenya virusi , i ve eto budet otsilatsa k primeru *a.com a pisatssa adres budet kak *b.com ... I podelat nechego ne lza . :no:

Началась новая волна активности - уже третий день приходит штук по пять писем с якобы "вам вернулось письмо - так как оно отправлено по неправильному адресу" или "письмо содержит вирус, поэтому наша почтовая служба возвращает его отправителю"

Что плохо - то это то, что кто-то якобы от моего имени шлет вирусы всем, кому попало (пара французских ящиков и куча украинских)

Если вам пришло письмо со swan * civfanatics . ru и о нем не было оговорено заранее - не открывайте и ****те сразу, что бы там ни было написано

а нельзя на сервак какой нить антивирус поставить. у меня так мой провайдер сделал так на на тот ящик у меня ни разу ни одного вируса не пришло :lol:. А ящики с фанатиков я теперь только после апгрейда антивируса смотрю. Каждый раз по семь восемь писем всякой дряни приходит. Еще недавно меня на рекламные рассылки кто то подписал. Спам фильтр тоже штук десять таких писем за раз удаляет.

А ящики с фанатиков я теперь только после апгрейда антивируса смотрю
Как уже неоднократно говорилось - создатели вирусов всегда на один шаг впереди создателей антивирусов

Просто ИМХО надо на сайте заменить заменить ссылки на мыло специальным скриптом (если я его не просрал после перестановки винды - то скину, если будет нужен), который скрывает мыло от большинства ботов и вирей, но работает как mailto: ...*...
Ну и на форуме поменьше писать адресов прямым текстом

//добавлено - посмотрел по дискам - скрипт не просрал (размер около 200 байт)
Правда он по моему только под ХТМЛ

У меня ни разу не было рекламы и спама!!!
Хотя я свой адрес несколько раз засветил очень сильно....
В общем кому как повезёт...
p.s.Нада презерв рандом сид включить

Originally posted by Mahler*30.09.2004 - 16:54
а нельзя на сервак какой нить антивирус поставить. у меня так мой провайдер сделал так на на тот ящик у меня ни разу ни одного вируса не пришло
антивирус на сервере давно установлен :bye: вопрос в частоте его обновления - но это в компетенции хостера, сервером я не рулю

Вот любопытные выдержки из книги известного специалиста в этой области:

"Антиспамные решения и безопасность"
Неал Краветз

1. Общий обзор

В последнем проводимом опросе, 93% респондентов выразили неудовольствие в связи с большим объемом, принимаемых ими несанкционированных электронных писем [1]. На сегодняшний момент эта проблема дошла до такой стадии, что 60% всех электронных писем являются спамом [2]. Было предложено много антиспамных решений, и несколько их них были внедрены. Но к сожалению эти решения не могут предотвратить рассылку спама, мешающего нормальной работе электронной почте.

Проблемы, возникающие из-за спама, выросли от простого раздражения до существенных проблем по безопасности. Наводнение спама приводит к ежегодным убыткам, оцененным до 20 миллиардов долларов, а согласно тем же исследованиям, спам в пределах одной компании, приводит к убыткам от 600 до 1000 долларов ежегодно, из расчета на одного пользователя.[4]

1.1 Проблемы безопасности

В дополнение к потере времени на просмотр и удаление несанкционированных писем, спам также представляет реальные угрозы безопасности, включая:

Вирусы. Новые вирусы, черви и т.п типа Melissa, Love Bag и MyDoom используют методы рассылки спама для своего распространения к пользователям.
Объединение эксплойтов и спама. Сегодня достаточно сложно провести границу между хакерами и спамерами. Много спамеров включают в электронные письма злонамеренный код, использующий уязвимости в браузерах, HTML и Javascript. К примеру 31 декабря 2002 года, группой бразильских хакеров была сделана рассылка спама, содержащего злоумышленный Javascript код. Миллионы пользователей, просмотревших эти письма, несознательно скомпрометировали свои учетные записи. В другом примере, в спаме была использована проблема в Internet Explorer, когда перед именем хоста ставился "%01", что позволяло скрыть настоящее имя хоста.
Объединение вирусов и спама. Известно, что некоторые вирусы были разработаны специально для помощи спамерам. Например червь SoBig, устанавливал открытые прокси, используемые для рассылки спама. Поскольку спам становится все более распространенным, то использование malware и spyware, для его поддержки, вероятно будет увеличиваться.
Существующие антиспамные решения лишь пытаются смягчить проблему спама и потребности в адресной защите. Правильная идентификация спама, помогает смягчить воздействие, оказанное почтовыми вирусами, эксплойтами и т.п. Такие решения используют различные методы защиты для создания помех в распространении спама.

Текущие антиспамные решения делятся на четыре основных категории: фильтры, системы обратного поиска, запросы и криптография. Каждое из таких решений, оказывает некоторую помощь в защите от спама, но все они имеют существенные ограничения. В первой части этой статьи мы рассмотрим фильтры и системы обратного поиска, а во второй будет рассмотрены различные типы запросов типа "отклик-вызов", вычисляемый запрос, а также криптографические решения. Хотя существует много различных аспектов использования таких решений, но в данной статье будут рассмотрены только самые общие вопросы.

1.2 Терминология

Отправитель. Человек или процесс, ответственный за генерирование электронной почты.
Получатель. Любой e-mail адрес, получающий электронную почту.
1.3 Фильтры

Фильтры используются системой получателя для идентификации и классификации спама. Существует много различных систем фильтрации, таких как:

Списки слов. Простые и сложные списки слов, вероятно связанных со спамом. Например, "Виагра".
"Черные" и "Белые" списки. Такие списки содержат известные IP адреса спаммеров и неспаммеров соответственно.
Хеш-таблицы. Такие системы суммируют электронные письма в псевдоуникальные значения. Повторное обнаружение значений хеш-функции является признаком рассылки больших объемов электронной почты.
Искусственный интеллект и Вероятностные системы. Системы типа байесовых сетей используются для изучения частоты повторения слов и шаблонов, обычно используемых в спамсообщениях и нормальной электронной почте.
Фильтры можно упорядочить, основываясь на ложь-негативных и ложь-позитивных результатах. Ложь-негативный результат указывает на фактическое спам-сообщение, прошедшее через фильтр. И напротив, ложь-позитивный результат указывает на нормальное электронное письмо, ошибочно классифицированное как спам. В идеале спам-фильтр не генерировал бы ложь-позитивных результатов и очень мало ложь-негативных.

Антиспамные решения, основанные на фильтрах, имеют три существенных ограничения:

Обход систем фильтрации. Спам-отправители и их программы рассылок не являются статистическими, и они очень быстро приспосабливаются к новым фильтрам. Например, для обхода списка слов, спаммеры располагают в случайном порядке написание слов ("Виагра", "В1агра", "Виаагра"). Хешбастеры (случайных последовательности символов, отличающиеся в каждом сообщении), были созданы для обхода хешфильтров. В лучшем случае, большинство спам-фильтов эффективно только в течении нескольких недель. Для поддержания эффективности антиспамных систем, необходимо постоянное (еженедельное, а лучше ежедневное) обновление наборов правил фильтрации.
Ложь-позитивные результаты. Чем более эффективный фильтр, тем больше вероятность неправильного классифицирования нужных сообщений как спама. Например, сообщение, содержащее слово "Виагра" (например, спам-текст "Бесплатная Виагра" или личная электронная почта "Привет, ты смотрел вчера по телеку новый концерт группы "Виагра", практически на 100% будет расценено как спам, независимо от содержания письма. Наоборот, спам-фильтры, которые практически не генерируют ложь-позитивных результатов, скорее всего генерируют большое количество ложь-негативов.
Пересмотр результатов фильтрования. Из-за вероятности неправильного классифицирования электронных сообщений как спама, они обычно сразу не удаляются. Вместо этого такие сообщения помещаются в специальные почтовые ящики для спама (примером может служить папка "сомнительные" на большинстве бесплатных почтовых серверов), для последующего просмотра. К сожалению, это все равно означает, что пользователи должны просматривать спам, в поиске неправильно классифицированных сообщений. В сущности, это означает, что фильтры только помогают в сортировке входящей электронной почты.
Но более важным, чем ограничения в работе, является распространение мифа о том, что фильтры останавливают спам. Спам-фильтры не останавливают спам. В любом случае спам все еще генерируется и рассылается по сети. И если пользователь не желает пропускать неправильно классифицируемую электронную почту, он все еще читает спам. В то время, как фильтры помогают сортировать сообщения в спам и желаемые сообщения, но они не предотвращают спам.

1.4 Обратный поиск

Практически весь спам использует подделанные адреса отправителя ("От:"). Кроме того, хорошо подделанный адрес отправителя, на первый взгляд исходит из доверяемых доменов. Например, в течении 15 месяцев в нашем спам-архиве было собрано 9300 электронных сообщений, в которых адреса отравителей принадлежали 2400 уникальным доменам. Домен "yahoo.com", был почти в 20 процентах адресов, хотя на самом деле спам, исходящий с адресов принадлежащих "yahoo.com" составлял менее 1 процента. Та же ситуация происходила и с другими почтовыми серверами.

Спаммеры поделывают адреса электронной почты по многочисленным причинам:

Правонарушение. Очень много спам-сообщений, являются мошенническими и в большинстве стран преследуются законом, поэтому подделка адреса отправителя дает во


зможность спаммеру остаться анонимным и спастись от судебного преследования.
Нежелательность. Большинство спамеров знают, что их сообщения нежелательны. Подделывая адрес отправителя, они могут смягчить последствия от рассылки миллионов сообщений миллионам рассерженных получателей.
Ограничения провайдеров. Большинство провайдеров имеют статьи договора по предотвращению спама. Подделка адреса отправителя, в этом случае уменьшает вероятность закрытия провайдером доступа к сети недобросовестным пользователям.
В попытке ограничения подделок адресов отправителей, создаются системы помогающие подтвердить правильность адреса электронных адресов. Эти системы включают:

Reverse Mail Exchanger (RMX). http://www.ietf.org/internet-drafts/draft-...-rr-smtp-03.txt
Sender Permitted From (SPF). http://spf.pobox.com/
Designated Mailers Protocol (DMP). http://www.pan-am.ca/dmp/
Все эти походы очень похожи между собой и используют практически идентичные методы. DNS система используется для сопоставления IP адресов именам хостов и наоборот. В 1986 система DNS была модифицирована для ассоциирования записей ("MX") почтовых обменников. [7]. При доставке электронной почты, почтовый сервер решает, куда передавать сообщение, основанное на MX записи, связанной с определенным доменом получателя.

Подобно MX записям, системы обратного поиска определяют обратные-MX записи ("RMX" для RMX, "SPF" для SPF, и "DMP" для DMP). Сделано это, для определения были ли электронное сообщение из конкретного домена создано на конкретном IP адресе. Основной идеей является то, что подделанные адреса не могут генерироваться из правильного адресного пространства RMX (или SPF или DMP), и поэтому могут немедленно идентифицироваться как подделанные.

Хотя такие решения очень эффективны в некоторых ситуациях, но они имеют существенные ограничения.

1.4.1 Децинтрализованные (host less) и домены третьего уровня

Обратный поиск требует создания электронного сообщения на известном и доверяемом почтовом сервере расположенном на известном IP адресе (обратная MX запись). Но к сожалению большинство доменных имен не связаны со статистическими IP адресами. Исключая киберсквоттеров, в большинстве случаев единичные пользователи и малые компании желают использовать свои собственные домены, но не могут позволить себе иметь свой собственный статистический IP адрес и почтовый сервер.

Системы обратного поиска вызывают несколько проблем децентрализованным пользователям и доменам третьего уровня:

Не обратимая MX запись. Пользователи, отсылающие электронную почту с децентрализованных адресов или доменов третьего уровня просто настраивают почтовые приложения для отправки сообщений из зарегистрированного домена. К сожалению, поиск IP адреса отправителя не сможет указать на домен отправителя и поэтому не может быть сгенерирована правильная обратная MX запись.
Не исходящая почта. Единственное правильное решение требует передачи всей исходящей почты через SMTP сервер провайдера, что приводило бы к генерации правильной реверсивной MX записи. Но к сожалению у большинства провайдеров запрещена передача, если домен отправителя отличается от домена провайдера.
В любом случае любой пользователь, использующий домен третьего уровня или домен, не имеющие собственного почтового сервера, будет заблокирован системой обратного поиска.

1.4.2 Мобильные компьютеры.

Использование мобильных компьютеров является обычной практикой. Люди используют свои ноутбуки для работы в любом удобном для них месте. Гостиницы, аэропорты и даже некоторые кафе предлагают услуги мобильных компьютеров. Но к сожалению, системы обратного поиска, вероятно не разрешат большинству пользователей отправку электронной почты.

Прямая отправка. Существует два пути для отправки электронной почты. Пользователь может входить на почтовые системы, используя внешнюю учетную POP/IMAP/SMTP запись web почты или подобной системы, а может использовать прямую отправку своих сообщений. Большинство компаний не поддерживают внешний интерфейс для отправки почты, и пользователям приходится конфигурировать свои компьютеры для прямой отправки. К сожалению, проблемы при прямой отправке почты, такие же как и при использовании host-less и доменов третьего уровня - при обратном поиске домена не будет включен IP адрес отправителя, а при обратном поиске IP адреса отправителя, он не будет соответствовать домену.
Передача почты. Вариант прямой отправки почты, требует от всех компаний поддержки внешних почтовых интерфейсов для всех мобильных пользователей. Во многих ситуациях это нежелательно и непрактично. Например это неприменимо с точки зрения сетевой безопасности, так как протокол POP3 пересылает имя пользователя и пароль в незашифрованном виде. При этом любой хакер, просматривающий сетевой трафик, может получить пароли доступа к электронной почте. Протокол IMAP может использовать SSL и поддерживать защищенную аутентификацию, но не все серверы его поддерживают. Протокол SMTP тоже поддерживает SSL или TLS, но опять же его поддерживают не все сервера. Web почта по HTTPS это единственная система, поддерживающая защиту клиентских сертификатов. Но так как большинство сайтов используют только серверные сертификаты, то HTTPS является очень слабой защитой от сетевых нападений.
В то время как системы обратного поиска действенны во внутренних сетях, но они не практичны при внешних технологиях. Компании, желающие использовать host-less услуги, домены третьего уровня, а также желающие поддерживать мобильных пользователей, должны пересмотреть свои антиспамные системы обратного поиска.

2. Выводы

Спам достиг размеров глобальной эпидемии, и люди ищут любые возможности для его предотвращения. Спам фильтры являются наиболее успешным решением, они пытаются распознать и классифицировать спам. Но фильтры не могут предотвратить рассылку спама. Системы обратного поиска пытаются разрешить проблему подделки адресов отправителей. Но в то время как такие системы действенны во внутренних сетях, они абсолютно не применимы в глобальном масштабе.

Во второй части нашего исследования мы рассмотрим системы запросов и предложим криптографические решения.

3. Ссылки

[1] "Majority in Favor of Making Mass-Spamming Illegal Rises to 79% of Those Online." The Harris Poll R #38. July 16, 2003.

[2] "Spam On Course to Be Over Half of All Email This Summer," Brightmail press release. July 1, 2003.

[3] According to SpamHaus, a spam content tracking organization, less than 200 spam groups generate more than 90% of spam messages. SpamHaus ROKSO, September 22, 2003.

[4] "Spam Costs $20 Billion Each Year in Lost Productivity", by Jay Lyman. December 29, 2003.

[5] Phishing e-mail fraud rises 52% in January, report says", February 18, 2004.

[6] "Multiple Browser URI Display Obfuscation Weakness"

[7] "Domain System Changes and Observations", RFC973 by Paul Mockapetris. January 1986.

Часть 2.


Др. Неал Краветз

1. Общий обзор

SMTP протокол не был разработан для обеспечения безопасности. Он был создан в 1973 году как расширение к FTP протоколу. [1]. В то время сетевая безопасность не вызывала особого беспокойства, и разработчики не были четко уверенны о необходимости внедрения отдельного почтового протокола. Например, в документации RFC 524 описывались основания для выделения SMTP в отдельный протокол. Автор предостерегал:

"Я уверен, что указанном протоколе, существуют дефекты, и надеюсь, что читатели, обнаружив их, укажут на них через RFC документацию".

Хотя набор команд для этого протокола был создан спустя некоторое время, его создатели предполагали, что к существующие недостатки протокола будут исправлены позже. Но, к сожалению, и 2004 году продолжают обращаться к оплошностям, допущенным в RFC 524, а протокол SMTP слишком популярен, чтобы полностью избавиться от него и заменить на более безопасный. Спам является одним из примеров злоумышленного использования протокола - большинство спамприложений разработано для подделки заголовков писем, маскирования отправителей и скрытия систем происхождения.

Краткий обзор первой части данной статьи: существующие антиспамные решения относятся к четырем базовым категориям: фильтры, системы обратного поиска, системы откликов, и криптографические системы. Каждое из таких решений предлагает некоторую помощь в решении проблемы спама, но все они имеют существенные ограничения. В первой части были рассмотрены системы фильтрации и обратного поиска. В этой части мы сосредоточим свое внимание на системах откликов и криптографических решениях. Хотя существует много различных вариантов использования таких решений, но в нашей статье будут рассмотрены только общие вопросы.

1.2 Терминология

Отправитель. Человек или процесс, ответственный за генерирование электронной почты.
Получатель. Любой e-mail адрес, получающий электронную почту.
2. Отклики

Спаммеры, для генерирования миллионов электронных писем в день, используют автоматизированные почтовые программы рассылки спама. Запросы на отклик пытаются воспрепятствовать рассылке спама, замедляя весь процесс рассылки. Такие системы не будут особенно воздействовать на людей оправляющих одновременно несколько сообщений. Но, к сожалению, системы откликов успешно работают, когда их использует небольшое количество пользователей. При увеличении популярности, такие системы, скорее всего, будут мешать прохождению нормальной почты, нежели будут препятствовать распространению спама.

Существует два основных типа такого вида систем: отклик-отзыв и системы увеличения времени отправки.

1.2.1 Отклик-отзыв

Системы отклики-отзыва (CR системы) сохраняют список разрешенных отправителей. Электронное сообщение, посланное новым пользователем, временно блокируется. Такому отправителю отправиться сообщение, содержащее запрос на отклик (обычно щелчок на URL адресе или ответное сообщение). После завершения отклика новый отправитель добавляется в список разрешенных адресатов и после этого происходит доставка первоначального сообщения. Такие системы основаны на том, что спамеры используют поддельные адреса электронной почты и соответственно не смогут получить запрос на отклик, а спамеры, использующие реальные адреса просто не будут в состоянии ответить на запросы. Но, такие системы тоже имеют множество ограничений, включая:

Взаимоблокировка в CR системе. К примеру, Алиса говорит Биллу послать сообщение её другу Чарли. Билл отсылает e-mail Чарли. CR система Чарли блокирует сообщение и отсылает Биллу запрос на отклик. Но CR система Билла, в свою очередь блокирует сообщение, посланное CR системой Чарли, и генерирует ответный запрос на отклик. Получается ситуация, что никто из пользователей не получит ни запроса на отклик ни электронного сообщения. А так как электронные сообщенияв большистве случаев неожиданны и незапрашиваемы, то пользователь не будет знать, что необходимо искать ожидающий решения отклик. По сути, если два человека используют CR систему, то у них не будет возможности связаться между собой.
Автоматизированные системы. Рассылки и автоматизированные системы (типа "Отослать другу") не могут отвечать на запросы на отклик. Параметр "Вы можете вручную добавить отправителя", работает только, когда вы знаете, что должно прийти сообщение. Я часто получаю новости и статьи, которые мои друзья находят интересными и переправляют мне их из различных сайтов. Такие сообщения неожиданны и незапрашиваемы, но не являются спамом.
Анализ запросов на отклик. Много CR систем осуществляют анализ запросов. Такие комплексные системы включают распознавание символов или сопоставление с шаблоном, которое может быть легко автоматизировано. Например, CR система, используемая Yahoo для создания новых адресов, легко уязвима даже самым простым системам искусственного интеллекта, выполняющим распознавание символов. CR система электронной почты Hushmail, требует определения пользователем изображения расположенного на синем фоне (анализируете фон, находите изображение, отсылаете координаты – и никаких проблем)


Рисунок 1. Запрос на отклик при создании новой учетной записи в системе Yahoo. Эта система уязвима к интеллектуальным программам, обеспечивающим распознавание символов.



Рисунок 2. Графическое генерирование отклика в системе Hushmail. Пользователь должен нажать на изображении замочной скважины. Такая система уязвима даже при простой обработке изображения.

Сейчас распространены два неправильных представления о CR системах: (1) пользователь должен подтвердить отклик, и (2), такие проблемы слишком сложны для автоматизированных решений. По правде говоря, спамеры игнорируют такие CR системы, потому что не они представляют собой слишком большие базы рассылок, а не потому что такие системы слишком сложны. Многие спамеры используют реальные адреса для своих махинаций или для проверки правильности списков рассылок. Когда CR системы начинают мешать рассылке спама, то спамеры автоматизируют ответы на запросы CR систем.

1.2.2 Дополнительные временные затраты.

Существует много систем, добавляющих дополнительное время к отправке электронного сообщения (СС систем). Большинство СС систем используют сложные алгоритмы, предназначенные для задержки времени при отправке. Для отдельного пользователя, это время вряд ли будет замечено, но при отправке миллионов писем, каждая маленькая задержка выльется в большие потери времени. Примером СС систем могут быть Hash Cash [2] и Microsoft Black Penny [3]. Но СС системы имеют проблемы, которые препятствуют их широкому распространению и вряд ли смогут предотвратить спам:

Неравные условия. СС системы, основаны на быстродействии процессора, памяти или сети и ставят в невыгодное положение пользователей с медленными системами, перед более производительными системами. Например, отклик процессора на 1 Ггц системе, занимающий 10 секунд, займет 20 секунд на 500 Мгц компьютере.[4]
Списки рассылок. Существует много списков рассылок, имеющих в своей базе тысячи и даже миллионы подписчиков, и все они будут наказаны так же сильно, как и спамеры. СС системы делают непрактичным создание рассылок. И если есть путь для обхода откликов для легальных списков, то спаммеры смогут точно также обойти необходимость формирования отклика.
Армии роботов. Как мы уже могли видеть в случае с вирусом Sobig и другими вирусами спам-поддержки, много спамеров контролируют сотни тысяч взломанных систем. Спамеры могут легко распределять любые дополнительные задержки времени между "своими" системами.
Легальные армии роботов. Спамеры генерируют спам, потому что это приносит существенный доход. Большие спам-группы могу


т позволить себе покупку сотен систем для распределения дополнительных затрат времени. Причем это может быть сделано легально, без взлома чьих-то систем с помощью вирусов.
Предлагаемые в настоящее время СС системы наврядли получат широкое распространение, т.к. они не только не уменьшают проблему спама, но даже мешают легальной отправке электронной почты.

1.3 Шифрование

Были предложены несколько решений по использованию шифрования для проверки достоверности спам отправителей. По существу, такие системы для выполнения идентификации используют сертификаты. Без надлежащего сертификата, подделанная электронная почта может легко идентифицироваться. Ниже представлены некоторые предложенные криптографические решения:

AMTP.

MTP.

S/MIME и PGP/MIME.

Существующий почтовый протокол (SMTP) не имеет никакой явной поддержки зашифрованной идентификации. Некоторые из этих предложенных решений расширяют возможности SMTP протокола (например, S/MIME, PGP/MIME, и AMTP), в то время как другие нацелены на полную замену почтовой инфраструктуры (например, MTP). Интересно высказывание автора MTP: "Протоколу SMTP уже более 20 лет, тогда как современные требования развивались в течение прошедших 5-10 лет. Было показано большое количество дополнений к синтаксису и семантике SMTP, но чистый SMTP протокол не выполняет эти требования и является слишком неизменяемым, чтобы быть дополненным без модификации синтаксиса"[5].

При использовании сертификатов типа X.509 или TLS, должны быть доступны некоторые типы источников выдачи сертификатов. К сожалению, если сертификаты сохранены в DNS, тогда для проверки подлинности должны быть доступны секретные ключи. (А если спамер имеет доступ к секретным ключам, то он может генерировать правильные открытые ключи). Вариантом может быть использование централизованной системы выдачи сертификатов. Но, к сожалению, электронная почта является распределенной системой, и навряд ли кто-то захочет иметь единственный центр сертификации для управления всей электронной почтой.

Когда нет никаких источников выдачи сертификатов, то должен быть какой-нибудь метод для распределения ключей между отправителем и получателем. PGP, например, требует наличия общедоступных открытых ключей. Такой метод эффективен в закрытых сетях и между группами хорошо знакомых людей и неэффективен в больших группах пользователей, особенно когда новые контакты могут быть установлены между любым отправителем и любым получателем. По существу общедоступные ключи сталкиваются с теми же проблемами, что и "белые списки" - только известные и установленные отправители могут войти в контакт с получателем.

К сожалению, эти криптографические системы, вряд ли, остановят спам. Например, давайте предположим, что одно из таких решений было повсеместно применено. При таком подходе не проверяется правильность адреса отправителя, а только проверяется, имел ли отправитель правильные ключи для электронной почты. Все это создает несколько, перечисленных ниже, проблем:

Автоматизированный взлом. При глобальном применении данных систем, должен быть способ генерирования сертификатов или ключей для всех пользователей (почтовые серверы или почтовые клиенты, в зависимости от выбранного решения). Но реальнее всего предположить, что спамер взломает такую систему через неделю, после её развертывания и после этого будет её использовать для отсылки "заверенного" спама.
Проблемы в практичности применения. Существуют также некоторые беспокойства в практичности таких систем. Например, что произойдет, если будет недоступен сервер выдачи сертификатов? Передача электронной почты была бы сорвана или вся почта принималась бы как "заверенная"? Недавно спамеры провели длительную DDos атаку на почти полдюжины сайтов, поддерживающих "черные списки"[7]. Понятно, что спамеры нападали на эти сервера, чтобы воспрепятствовать пользователям получать обновления "черных списков". Но наивно предполагать, что одиночный сервер выдачи сертификатов (или даже сеть таких серверов) не будет восприимчивы к подобным нападениям.
Итоги обсуждения различных антиспамных решений

Спам достиг размеров глобальной эпидемии, и люди ищут любые возможности для его предотвращения. Существует много различных решений по борьбе со спамом, но все они имеют ограниченную эффективность и не способны повлиять на распространение спама в глобально масштабе.

В первой части этой статьи мы увидели, что спамфильтры будучи эффективными для идентификации спама, в тоже время не могут бороться его распространением, и требуют постоянного обслуживания. Системы обратного поиска пытаются идентифицировать подделанные адреса отправителей, но при этом препятствуют пользователям host-less и доменов третьего уровня, а также ограничивают возможности пользователей мобильных компьютеров, мешая им отправлять электронную почту с любого, удобного для них места. Во второй части мы обратили наше внимание на системы откликов и системы задержки времени, и пришли к выводу, что они эффективны только при небольшом распространении и вряд ли смогут сдерживать спам. Криптографические решения, точно идентифицируя подделанную электронную почту, не могут расширяться в глобальных масштабах.

Хотя много пользователей считают, что любое антиспамное решение лучше, чем его отсутствие, но большинство таких систем только мешают легальным пользователям больше, чем самим спамерам. В то время как некоторые их предложенных вариантов сообщают о своей эффективности, они не принимают во внимание тот факт, что спамеры очень быстро приспосабливают их код для своих нужд. И хорошее решение сегодня наврядли будет им завтра.

Ссылки

[1] RFC 458 (Feb. 20, 1973): Mail retrieval via FTP. RFC 510 (May 30, 1973): Network mailbox addresses (user*system). RFC 524 (June 13, 1973): Branching from FTP to a standalone protocol. RFC 561 (Sept. 5, 1973): Standard mail headers.

Гектор пожалуйста вышли мне полную версию этой книги...А то читать как-то влом.... Может потом дойдут руки
Май аджесс? DelSt (как там написано)* mail.ru

К сожалению у меня только отрывки я потерял адрес откуда я качал. :nerves: Думаю в поиске Гугле легко можно найти. :yes:

Хочу представить вашему вниманию статью Дона Паркера по проверке своего брандмауэра:
4 августа 2004

"Аудит Брандмауэров и Средств обнаружения вторжений (IDS). Часть первая.
Дон Паркер, перевод Владимир Куксенок

С сегодняшним уровнем угрозы из внешней среды, наличия брандмауэра и IDS (Intrusion Detection System - Средство Обнаружения Вторжений) у домашнего или корпоративного пользователя это больше не роскошь, а скорее необходимость. И все же, многие люди не уделяют время для проверки того, что эти средства защиты действительно работают правильно. В конце конов очень просто дискредитировать весь набор правил вашего маршрутизатора, создав всего одно непродуманное правило. То же самое можно сказать о вашем брандмауэре, из-за одного слабого правила, например для вашего iptables, вы может остаться уязвимы. Правильно ли вы настроили некоторые опции вашего брандмауэра? На этот вопрос можно ответить, и что более важно проверить самому с помощью пакетного тестирования. Это позволит вам вручную проверить, правильно ли сконфигурированы ваш брандмауэр и IDS.
Лучше всего не полагаться вслепую на вывод некоторых автоматизированных утилит при проверке устройств, защищающих ваши компьютеры. Можно провести аналогию, где человек проверяет, закрыта ли дверь и выключен ли газ, вместо того, чтобы ждать грабителя или пожарной тревоги. Вы знаете, что сделали все необходимое, для защиты вашего периметра, но все же хотите удостовериться еще больше. Пакетное тестирование, используемое для аудита сети, не может проверить все ситуации, возможные с вашим брандмауэром и IDS, но может смоделировать необходимое их количество.

Эта статья - первая из двух частей, описывает различные способы проверки надежности вашего брандмауэра и IDS, используя низкоуровневые утилиты и методы создания TCP/IP пакетов. Я использовал Linux систему, но все описанное будет так же работать и на других Unix-подобных системах.
Преимущества Пакетного тестирования (Packet Crafting)

Существуют некоторые дополнительные выгоды при изучения способов аудита вашего брандмауэра и IDS, используя пакетное тестирование. Что бы научиться эффективно использовать утилиты типа hping и правильно интерпретировать их данные, вы заставляете себя больше изучать TCP/IP. Глубокое изучение основы компьютерных коммуникаций, пакетов, является хорошей целью для любого, желающего увеличить свои знания о компьютерах. Сказав это, я не буду предполагать, что все читатели этой статьи имеют хорошие знания о TCP/IP. По ходу этой статьи, информация, полученная от используемых программ, будет детально объясняться. Весь вывод Snort и tcpdump будет описан ясно и кратко. Вы можете сказать, что здесь могло бы быть больше информации для углубленного понимания TCP/IP, но эта статья о том, как научиться тестировать правила вашего брандмауэра и IDS.
Будет показано несколько примеров и для брандмауэра и для IDS. Поскольку этот документ предназначен для того, чтобы показать, как работать с hping, Snort и tcpdump, будет присутствовать несколько универсальных примеров. Поэтому, нижеупомянутые примеры - хорошая отправная точка. Упражняясь с нижеизложенной информацией, вы должны чувствовать себя достаточно комфортно, чтобы эффективно протестировать ваш собственный брандмауэр и IDS. Обратите внимание, что есть автоматизированные утилиты, которые могут сделать все это за вас. Тем не менее, очень важно, чтобы вы могли сделать все сами, и были способны контролировать и анализировать результаты. Это даст вам чувство уверенности, знание, что защита вашего периметра работает так, как рекламировалась.

Тестирование вашего брандмауэра - первый пример
Сейчас мы начнем с нескольких примеров того, как проверить ваш брандмауэр в различных условиях. Вначале нужно проверить виден ли 80 порт через брандмауэр. Второй пример проверит, открыт ли 53 порт, и затем мы завершим первую часть этой статьи.

Допущение
Пожалуйста, обратите внимание на то, что эти тесты проводились на SuSE Linux Professional 9.0 со стандартным набором правил iptables. Я не привожу здесь пример синтаксиса IPTables, т.к. вместо него вы можете использовать IPChains, какой-либо другой брандмауэр, возможно коммерческий брандмауэр или даже другой тип решения. Также, было бы сложно убрать правило, от которого зависят все остальные, что и послужило основной причиной не приводить здесь примеры синтаксиса правил. И, наконец, каждая проверка будет объясняться, чтобы вы могли понять, в каком контексте происходит тестирование. Во второй части мы рассмотрим Snort 2.1.0 со стандартным набором правил.
Пример ниже показывает пакет, посланный на 80 порт. Как и должно быть в соответствии с конфигурацией нашего брандмауэра, пакет блокируется. Нормальным поведение TCP пакета, посланного на порт, который не прослушивается никаким сервисом, было бы отправка назад на исходный компьютер.

Ниже показана информация, скопированная из окна моего терминала и синтаксис запуска hping. Я опишу параметры hping, задействованные в этом примере, и далее, если не будет больших различий в синтаксисе, уточнять их не буду.

hping Имя программы, для создания пакетов
-S Говорим hping отослать SYN пакет
192.168.1.108 Указываем адрес получателя, на который будет отправлен SYN
пакет

-p 80 Указываем порт на компьютере получателя, в нашем случае это
порт 80

-c 1 Этот параметр задает количество отправляемых пакетов, в
нашем случае это 1
Обратите внимание на вывод hping. В нем показан только адрес получателя, то, что установлен флаг S (SYN пакет), что размер пакета 40 байт (стандартный размер TCP/IP заголовка) и 0 байт данных в пакете.

Оставшаяся часть вывода hping это, как показано ниже, статистика пакета, созданного вами с помощью hping. Здесь говорится, что был отправлен 1 пакет, 0 пакетов было получено назад, и что 100% пакетов были потеряны. Также указано время пути туда и обратно, если хотя бы 1 пакет был отправлен назад.

monkeylabs:/home/don # hping -S 192.168.1.108 -p 80 -c 1
HPING 192.168.1.108 (eth0 192.168.1.108): S set, 40 headers + 0 data bytes

--- 192.168.1.108 hping statistic ---
1 packets transmitted, 0 packets received, 100% packet loss
round-trip min/avg/max = 0.0/0.0/0.0 ms
Используя вышеупомянутую команду, смотрите ниже, как выглядит пакет, созданный с помощью hping и отсылаемый с локальной машины. Теперь опишем синтаксис вызова tcpdump.

tcpdumpИмя программы
-n Указываем, что IP адрес будет в числовом формате
X Указываем, что представлять информацию нужно в HEX и ASCII формате.
v Более подробный вывод: показывать все информацию о пакете
s Включаем перехват пакетов определенной длинны
0 Если вы укажете 0, tcpdump будет захватывать пакеты с
длинной по умолчания для вашего компьютера. В моем случае это 1518.

tcp Указываем, что хотим перехватывать только TCP пакеты, не
UDP или ICMP, только TCP.

and host 192.168.1.100 Указываем, что хотим перехватывать пакеты от 192.168.1.100
and 192.168.1.108 и от 192.168.1.108
Использование двух вышеупомянутых IP адресов с указанными параметрами вызова tcpdump позволяет перехватывать только пакеты, проходящие между 192.168.1.100 и 192.168.1.108. Это позволит не перехватывать ненужные нам пакеты, например, от DNS сервера вашего ISP или ARP пакеты вашего коммутатора. Чтобы помочь вам в чтении данных вывода tcpdump, ниже я опишу все поля пакета, так же как я описывал синтаксис вызова tcpdump. Мы увидим, что означает каждое поле, начиная с поля времени.

10:07:30.171332 Время, когда пакет был получен
192.168.1.100.1321 IP адрес и порт отправителя
192.168.1.108.80 IP адрес и порт получателя
S Указывает на то, что мы посылаем SYN пакет
[tcp sum ok] Контрольная сумма правильная
19074990

58:1907499058 Позиционный номер TCP (TCP sequence)
(0) Количество байт данных в пакете
win 512 Размер окна
[tos 0x8]Тип сервиса
ttl 64 Число перемещений, за которое пакет должен достигнуть
получателя
id 45106 Идентификационный номер пакета, используется для сборки
пакета после фрагментации
len 40 Длинна пакета

/home/don # tcpdump -nXvs 0 tcp and host 192.168.1.100 and 192.168.1.108
tcpdump: listening on eth0

10:07:30.171332 192.168.1.100.1321 > 192.168.1.108.80: S [tcp sum ok]
1907499058:1907499058(0) win 512 [tos 0x8] (ttl 64, id 45106, len 40)
0x0000 4508 0028 b032 0000 4006 4675 c0a8 0164 E..(.2..*.Fu...d
0x0010 c0a8 016c 0529 0050 71b2 2032 53e1 85d2 ...l.).Pq..2S...
0x0020 5002 0200 b8b0 0000 P.......
Ниже можно увидеть, что происходит на целевом компьютере, когда он получает пакет. По умолчанию он был заблокирован, т.к. на целевом компьютере нет необходимого сервиса, и именно так сконфигурирован iptables для работы с пакетами, посланными на никем не прослушиваемые порты на SuSE.

Mar 2 10:06:40 linux kernel: SuSE-FW-DROP-DEFAULT IN=eth0 OUT=
MAC=00:50:da:c5:9d:8b:00:0c:6e:8c:d4:61:08:00 SRC=192.168.1.100
DST=192.168.1.108 LEN=40 TOS=0x08 PREC=0x00 TTL=64 ID=45106 PROTO=TCP
SPT=1321 DPT=80 WINDOW=512 RES=0x00 SYN URGP=0

Это пакет, достигший тестируемой машины. Как мы видим, все нормально:

/home/don # tcpdump -nXvs 0 tcp and host 192.168.1.108 and 192.168.1.100
tcpdump: listening on eth0

10:06:40.474204 192.168.1.100.1321 > 192.168.1.108.80: S [tcp sum ok]
1907499058:1907499058(0) win 512 [tos 0x8] (ttl 64, id 45106, len 40)
0x0000 4508 0028 b032 0000 4006 4675 c0a8 0164 E..(.2..*.Fu...d
0x0010 c0a8 016c 0529 0050 71b2 2032 53e1 85d2 ...l.).Pq..2S...
0x0020 5002 0200 b8b0 0000 0000 0000 0000 P.............
Итак, мы можем наблюдать, как пакет был отослан, получен тестируемой машиной, но, однако был заблокирован.

Тестирование вашего брандмауэра - второй пример, исследование 53 UDP порта
Теперь мы будем исследовать 53 UDP порт. Обратите внимание на синтаксис вызова hping, а также на его вывод:

monkeylabs:/home/don # hping -2 192.168.1.108 -p 53 -c 1

HPING 192.168.1.108 (eth0 192.168.1.108): udp mode set, 28 headers + 0 data bytes

--- 192.168.1.108 hping statistic ---
1 packets transmitted, 0 packets received, 100% packet loss
round-trip min/avg/max = 0.0/0.0/0.0 ms
monkeylabs:/home/don #
Только что мы отослали пакет на 53 UDP порт, что посмотреть, заблокирует ли его брандмауэр. Как мы можем видеть из вывода hping и информации от брандмауэра ниже, пакет был заблокирован, т.к. 53 UDP порт закрыт.

Mar 2 10:24:30 linux kernel: SuSE-FW-DROP-DEFAULT IN=eth0 OUT=
MAC=00:50:da:c5:9d:8b:00:0c:6e:8c:d4:61:08:00 SRC=192.168.1.100
DST=192.168.1.108 LEN=28 TOS=0x10 PREC=0x00 TTL=64 ID=47873
PROTO=UDP SPT=2180 DPT=53 LEN=8
Это пакет, который был получен на тестируемом компьютере:

/home/don # tcpdump -nXvs 0 udp and host 192.168.1.108 and 192.168.1.100 tcpdump: listening on eth0

10:24:30.172588 192.168.1.100.2180 > 192.168.1.108.53: [udp sum ok] 0 [0q]
(0) [tos 0x10] (ttl 64, id 47873, len 28)
0x0000 4510 001c bb01 0000 4011 3b9f c0a8 0164 E.......*.;....d
0x0010 c0a8 016c 0884 0035 0008 7304 0000 0000 ...l...5..s.....
0x0020 0000 0000 0000 0000 0000 0000 0000 .............
Это пакет, который был отправлен с компьютера, который мы используем для проверки защищенности брандмауэра:

monkeylabs:/home/don # tcpdump -nXvs 0 udp and host 192.168.1.100 and 192.168.1.108
tcpdump: listening on eth0

10:25:19.887529 192.168.1.100.2180 > 192.168.1.108.53: [udp sum ok] [|domain]
[tos 0x10] (ttl 64, id 47873, len 28)
0x0000 4510 001c bb01 0000 4011 3b9f c0a8 0164 E.......*.;....d
0x0010 c0a8 016c 0884 0035 0008 7304 ...l...5..s.

Нормальным поведением, в случае, когда UDP пакет отправлен на не прослушиваемый порт, является отправка ICMP сообщения о том, что порт недоступен. В нашем случае этого не происходит, потому что на тестируемом компьютере в конфигурации iptables установлена "тихая" блокировка этого типа пакетов (т.е. без отправки соответствующего ICMP сообщения об ошибке).
Как вы видите, пакетное тестирование это отличный способ проверки конфигурации вашего брандмауэра. Особенно для сложных и запутанных конфигураций, какой, к примеру, может стать набор правил IPTables.

В заключение первой части
Мы рассмотрели два примера исследования вашего брандмауэра с использованием hping и tcpdump. В следующий раз, во второй части этой серии статей мы рассмотрим другой пример тестирования брандмауэра, а затем начнем тестирование IDS Snort, используя методы описанные здесь. Будьте защищенными."

вот в Norton Firewall удобно сделано, самому настраивать ничего не надо. Там сама фирма (производитель файрвола) все настройки делает. Да еще они их раз в пару дней обновляют. Очень удобно, самому не надо всякие порты да правила выставлять.

Очень хорошо реализованы первоначальные настройки в Agnitum Outpost Firewall в режиме обучения
ты сам выбираешь каким приложениям разрешить работать, а каким нет, что принимать и разрешать а что не стоит. Очень просто все. :yes: Есть детектор атак и возможность блокировать атакующего на определенное время. Так же автоматическое блокирование DoS атаки.
Главное по сравнению с Нортоном намного меньше ресурсов хавает. :yes:

А я предпочитаю всё настравить ручками....
Хотя, если честно, обычно неохота всё настривать и включаю обучение и разрешаю/запрещаю приложения...

http://www.pcinternetpatrol.com/page/view/49
тест хороший для файрволов

сейчас вирус ходит, присылает аттачмент price.* c разными разширениями

Mahler,
только что на меня свалился килограмм писем,
которых будто бы я тебе послал (правда с левого айпи) но они зарубились
почтовым сервером.........

учитывая что я тебе никогда писем не писал, и ты мне тоже......

где-то наши адреса засветились.......

сообщаю, что возможны рассылки троянов и вирусов с таким текстом: типа Вы посылали письмо. но мы его не доставили до адресата, потому чт описьмо заражено :biglol: и тут же файлик прицеплен с этой заразой - пользуйтесь на здоровье!

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:
<здесь мейл любой>
This message has been rejected because it has
a potentially executable attachment "transcript.com"
This form of attachment has been used by
recent viruses or other malware.
If you meant to send this file then please
package it up as a zip file and resend it.

--------------------------------------------------
Dear user <здесь Ваш мейл> ,

We have received reports that your e-mail account has been used to send a large amount of spam during the last week.
Most likely your computer was infected and now runs a trojaned proxy server.

We recommend that you follow our instruction in the attached file in order to keep your computer safe.

Have a nice day,
civfanatics.ru technical support team.

как говорится, ха ха ха :biglol: на подпись civfanatics.ru обращать внимание не надо - вирь подставляет путь адресуемого домена

на меня ужЕ валится куча таких писем, вас тоже могут "обрадовать" - не открывайте ни писем, ни вложений!

адрес отправителя: 217.21.60.55 leased-line-60-55.telecom.by
колитесь, кто из белорусов заразился - потому что специально мудрить с англ.текстом вряд ли кто станет :biglol:

Я просто выкидываю неизвестные письма, или сообщения о вирусах.
А вот спам просто достал, за день писем 300 бывает приходит, сидишь и чистишь, бывает за неделю отсутствия минут 40 убиваешь времени на это.

Мне уже с полгода каждый день по 2-3 подобных письма валится, с самых различных адресов, грохаю прям на сервере не получая

Я как то дня три отсутствовал - так на мыло пришло 142 письма общим весом около 4 метра из которых больше 100 явно с вирусами - а реалных писем из них было всего 2