форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[ Отслеживать ]

"Open-Relay и Worm.Mydoom.M"

Сообщение от Mikle (ok) on 16-Сен-04, 14:02

Здравствуйте! Просьба помочь разобраться с проблемой с почтой. Недавно мне на мой почтовый сервер (FreeBSD+Sendmail) на аккаунт postmaster начали приходить зараженные письма, похоже на Worm.Mydoom.M. Но я никак не могу отследить их происхождение. Тексты письма примерно такие The original message was received at Thu, 9 Sep 2004 11:19:27 +0400 (MSD) from localhost with id i897JRR8007179 ----- The following addresses had permanent fatal errors ----- <MAILER-DAEMON@mail.ru> (reason: 550 Message was not accepted -- invalid mailbox. Local mailbox MAILER-DAEMON@mail.ru is unavailable: user not found) ----- Transcript of session follows ----- ... while talking to mxs.mail.ru.: >>> DATA <<< 503 Recipient is forbidden 554 5.0.0 Service unavailable Но есть и еще более непонятные, например The original message was received at Thu, 9 Sep 2004 11:11:47 +0400 (MSD) from localhost with id i897BlR8007113 ----- The following addresses had permanent fatal errors ----- <postmaster@rambler.ru> (reason: 554 <Worm.Mydoom.M>: Message content rejected: infected: Worm.Mydoom.M) ----- Transcript of session follows ----- ... while talking to imx1.rambler.ru.: >>> DATA <<< 554 <Worm.Mydoom.M>: Message content rejected: infected: Worm.Mydoom.M 554 5.0.0 Service unavailable Здесь уже явно говорится про Worm.Mydoom.M (Непонятно происхождение этих писем - Кто и откуда их шлет) На почтовом сервере в файле relay-domains прописаны только мои домены, из которых мне надо отправлять почту. Но tcpdump'ом я вижу, что мой сервак обменивается почтой с левыми доменами. И в maillog постоянно такие записи Sep 10 02:13:28 host sm-mta[1285]: i8DACC1D000469: to=<postmaster@hp.com.br>, delay=11:51:34, xdelay=00:01:15, mailer=esmtp, pri=2231830, relay=hp.com.br. [200.205.248.106], dsn=4.0.0, stat=Deferred: Operation timed out with hp.com.br. В /var/spool/mqueue постоянно копятся файлы... Как-будто у меня открытый релей. Попробовали из инета с левого адреса законнектиться телнетом на 25 порт и отправить что нибудь... Результат таков: Relaying denied. IP name lookup failed Теперь вообще непонятно, как через сервак идут зараженные письма... Ситуация очень похоже на эту http://lists.freebsd.org/pipermail/freebsd-questions/2003-Ju... Что же это всё означает и как это исправить?

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Open-Relay и Worm.Mydoom.M"

Сообщение от unk (ok) on 17-Сен-04, 08:06

>Что же это всё означает и как это исправить? То что ты показал это не письма с вирусом, а отлупы (bounces) на них т.е. выглядит так, будто кто-то рассылает Mydoom подставляя твой адрес в качестве обратного. Про открытый-релей: http://www.ordb.org/submit/

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Open-Relay и Worm.Mydoom.M"
	Сообщение от nonkey on 15-Ноя-04, 17:47
	>>Что же это всё означает и как это исправить? >То что ты показал это не письма с вирусом, а отлупы (bounces) >на них >т.е. выглядит так, будто кто-то рассылает Mydoom подставляя твой адрес >в качестве обратного. Меня из-за этого Rambler блокирует. Как этого избежать? Это возможно?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Open-Relay и Worm.Mydoom.M"
	Сообщение от unk (ok) on 15-Ноя-04, 20:21
	>Меня из-за этого Rambler блокирует. Как этого избежать? Это возможно? Чего избежать? Покажите кусочек лога с 5xx от rambler.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Open-Relay и Worm.Mydoom.M"

Сообщение от Della (ok) on 16-Ноя-04, 10:58

Здравствуйте! У меня такая же ситуация. И с каждым днем таких писем все больше и больше. Как их убрать? Подскажите, пожалуйста.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Open-Relay и Worm.Mydoom.M"
	Сообщение от unk (ok) on 16-Ноя-04, 11:24
	>Здравствуйте! У меня такая же ситуация. И с каждым днем таких писем >все больше и больше. Как их убрать? Подскажите, пожалуйста. Покажите весь заголовок такого письма и кусок лога smtpd.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Open-Relay и Worm.Mydoom.M"

Сообщение от andrey (??) on 03-Окт-08, 20:03

ТОВАРИЩИ! У меня та же проблема! Сегодня вернулось письмо из-за того, что на моём сайте зарегистрировался юзер с ***@ramblder.ru мне на мыло пришол возврат с текстом, что мой ip попал в чёрный список rambler и приведена ссылка. При переходе по ссылке имею следующий текст: Lookup ip / Проверить ip: 217.168.75.54   Lookup results for / Результаты проверки 217.168.75.54: LISTED in / НАЙДЕН в insecure-bl.rambler.ru Additional info / Дополнительная информация: Listed at / Добавлен в список: 2004-12-10 Last seen at / Последний раз замечен: 2005-08-23 Blocking reason / Причина блокировки: Direct virus activity of Worm.Mydoom.M from this ip. Прямая активность вируса Worm.Mydoom.M с указанного ip. Possible reasons are: It is (or computers behind, if it is NAT or proxy server) infected with virus (probably I-Worm.MyDoom aka Novarg aka SCO) There is an open proxy / relay on this ip Make sure you are secured your system and then request unlisting here. Возможные причины: Компьютер с указанным ip (или компьютеры за ним, если это NAT или прокси сервер) заражен вирусом (возможно I-Worm.MyDoom aka Novarg aka SCO) По этому адресу находится открытый прокси сервер или открытый релей Пожалуйста, убедитесь что проблемы с защищенностью Вашей системы решены. После этого Вы можете запросить исключение из списка здесь. так вот, как избавиться от этого вируса на 100%? Помогите, с меня пиво ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]