The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Open-Relay и Worm.Mydoom.M"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [ Отслеживать ]

"Open-Relay и Worm.Mydoom.M"  
Сообщение от Mikle (ok) on 16-Сен-04, 14:02 
Здравствуйте!
Просьба помочь разобраться с проблемой с почтой.
Недавно мне на мой почтовый сервер (FreeBSD+Sendmail) на аккаунт postmaster начали приходить зараженные письма, похоже на Worm.Mydoom.M. Но я никак не могу отследить их происхождение. Тексты письма примерно такие

The original message was received at Thu, 9 Sep 2004 11:19:27 +0400 (MSD)
from localhost
with id i897JRR8007179

----- The following addresses had permanent fatal errors -----
<MAILER-DAEMON@mail.ru>
(reason: 550 Message was not accepted -- invalid mailbox. Local mailbox MAILER-DAEMON@mail.ru is unavailable: user not found)

----- Transcript of session follows -----
... while talking to mxs.mail.ru.:
>>> DATA
<<< 503 Recipient is forbidden
554 5.0.0 Service unavailable


Но есть и еще более непонятные, например

The original message was received at Thu, 9 Sep 2004 11:11:47 +0400 (MSD)
from localhost
with id i897BlR8007113

----- The following addresses had permanent fatal errors -----
<postmaster@rambler.ru>
(reason: 554 <Worm.Mydoom.M>: Message content rejected: infected: Worm.Mydoom.M)

----- Transcript of session follows -----
... while talking to imx1.rambler.ru.:
>>> DATA
<<< 554 <Worm.Mydoom.M>: Message content rejected: infected: Worm.Mydoom.M
554 5.0.0 Service unavailable


Здесь уже явно говорится про Worm.Mydoom.M
(Непонятно происхождение этих писем - Кто и откуда их шлет)


На почтовом сервере в файле relay-domains прописаны только мои домены, из которых мне надо отправлять почту. Но tcpdump'ом я вижу, что мой сервак обменивается почтой с левыми доменами. И в maillog постоянно такие записи

Sep 10 02:13:28 host sm-mta[1285]: i8DACC1D000469: to=<postmaster@hp.com.br>, delay=11:51:34, xdelay=00:01:15, mailer=esmtp, pri=2231830, relay=hp.com.br. [200.205.248.106], dsn=4.0.0, stat=Deferred: Operation timed out with hp.com.br.

В /var/spool/mqueue постоянно копятся файлы...

Как-будто у меня открытый релей.
Попробовали из инета с левого адреса законнектиться телнетом на 25 порт и отправить что нибудь...

Результат таков:
Relaying denied. IP name lookup failed


Теперь вообще непонятно, как через сервак идут зараженные письма...


Ситуация очень похоже на эту http://lists.freebsd.org/pipermail/freebsd-questions/2003-Ju...

Что же это всё означает и как это исправить?

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Open-Relay и Worm.Mydoom.M"  
Сообщение от unk (ok) on 17-Сен-04, 08:06 
>Что же это всё означает и как это исправить?
То что ты показал это не письма с вирусом, а отлупы (bounces) на них
т.е. выглядит так, будто кто-то рассылает Mydoom подставляя твой адрес
в качестве обратного.
Про открытый-релей: http://www.ordb.org/submit/

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Open-Relay и Worm.Mydoom.M"  
Сообщение от nonkey email on 15-Ноя-04, 17:47 
>>Что же это всё означает и как это исправить?
>То что ты показал это не письма с вирусом, а отлупы (bounces)
>на них
>т.е. выглядит так, будто кто-то рассылает Mydoom подставляя твой адрес
>в качестве обратного.


Меня из-за этого Rambler блокирует. Как этого избежать? Это возможно?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Open-Relay и Worm.Mydoom.M"  
Сообщение от unk (ok) on 15-Ноя-04, 20:21 
>Меня из-за этого Rambler блокирует. Как этого избежать? Это возможно?
Чего избежать?
Покажите кусочек лога с 5xx от rambler.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Open-Relay и Worm.Mydoom.M"  
Сообщение от Della email(ok) on 16-Ноя-04, 10:58 
Здравствуйте! У меня такая же ситуация. И с каждым днем таких писем все больше и больше. Как их убрать? Подскажите, пожалуйста.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Open-Relay и Worm.Mydoom.M"  
Сообщение от unk (ok) on 16-Ноя-04, 11:24 
>Здравствуйте! У меня такая же ситуация. И с каждым днем таких писем
>все больше и больше. Как их убрать? Подскажите, пожалуйста.
Покажите весь заголовок такого письма и кусок лога smtpd.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Open-Relay и Worm.Mydoom.M"  
Сообщение от andrey email(??) on 03-Окт-08, 20:03 
ТОВАРИЩИ! У меня та же проблема! Сегодня вернулось письмо из-за того, что на моём сайте зарегистрировался юзер с ***@ramblder.ru мне на мыло пришол возврат с текстом, что мой ip попал в чёрный список rambler и приведена ссылка. При переходе по ссылке имею следующий текст:

Lookup ip / Проверить ip: 217.168.75.54  

Lookup results for / Результаты проверки 217.168.75.54:

LISTED in / НАЙДЕН в insecure-bl.rambler.ru

Additional info / Дополнительная информация:
Listed at / Добавлен в список: 2004-12-10
Last seen at / Последний раз замечен: 2005-08-23
Blocking reason / Причина блокировки:

Direct virus activity of Worm.Mydoom.M from this ip.
Прямая активность вируса Worm.Mydoom.M с указанного ip.

Possible reasons are:
It is (or computers behind, if it is NAT or proxy server) infected with virus (probably I-Worm.MyDoom aka Novarg aka SCO)
There is an open proxy / relay on this ip

Make sure you are secured your system and then request unlisting here.

Возможные причины:
Компьютер с указанным ip (или компьютеры за ним, если это NAT или прокси сервер) заражен вирусом (возможно I-Worm.MyDoom aka Novarg aka SCO)
По этому адресу находится открытый прокси сервер или открытый релей

Пожалуйста, убедитесь что проблемы с защищенностью Вашей системы решены. После этого Вы можете запросить исключение из списка здесь.


так вот, как избавиться от этого вируса на 100%? Помогите, с меня пиво ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру