作者 主題: [警告]看到這種偽裝信件請小心!  (閱讀 9842 次)

0 會員 與 1 訪客 正在閱讀本文。

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8830
    • 檢視個人資料
    • http://www.24online.cjb.net
[警告]看到這種偽裝信件請小心!
« 於: 2003-06-22 00:11 »
話說, 我最近一直收到這封信件, 偽裝的很高明:

----------- 引文開始 ------------
    Return-Path: <admin@www.7lk.com.cn.k666.com>
    Received: from
www.7lk.com.cn.k666.com (TC218-187-138-103.adsl.pl.apol.com.tw [218.187.138.103])
   by test.24online.cjb.net (8.12.8/8.12.5) with ESMTP id h5LDoV0s031888
   for <webmaster@deep-love.cjb.net>; Sat, 21 Jun 2003 21:50:31 +0800
Received: (from root@localhost)
   by www.7lk.com.cn.k666.com (8.11.1/8.11.1) id h5R2xFQ10235;
   Fri, 27 Jun 2003 10:59:15 +0800 (CST)
   (envelope-from admin)
Date: Fri, 27 Jun 2003 10:59:15 +0800 (CST)
Message-Id: <200306270259.h5R2xFQ10235@www.7lk.com.cn.k666.com>
From: VIVIAN<vivian@www.0912345678.com.tw>
To: webmaster@deep-love.cjb.net
Subject: 檢舉廣告
X-Priority: 1
Content-Transfer-Encoding: 8bit
Content-type: text/html;charset=big5
Status:  

<html>
 <head>
 <meta http-equiv="Content-Language" content="en-us">
 <meta http-equiv="Content-Type" content="text/html; charset=big5">
 <meta name="GENERATOR" content="Microsoft FrontPage 4.0">
 <meta name="ProgId" content="FrontPage.Editor.Document">
 </head>
 <body>
 <table border="0" width="100%" background="http://www.0912345678.com.tw/vivian4_background/HQYAAhgZFwcdOQ4GBx9UBgwUClcJCQBBFw8X.jpg">
   <tr>
     <td width="100%">Dear webmaster@deep-love.cjb.net<br>
       <br>
       近日收到一封廣告信,信件內容如下:<br><hr>
 Received: from 210.200.181.194<br>   by m2.mail2000.com.tw with Mail2000 ESMTP Server V2.71M(12640:0:AUTH_NONE)<br>   Wed, 18 Jun 2003 01:25:47 +0800 (CST);<br>   (envelope-from <netsales@soho-office.idv.tw>)<br>Return-Path: <netsales@soho-office.idv.tw><br>Received: from 219.91.20.37<br>   by mx3.mail2000.com.tw with Mail2000 ESMTP Server V2.71M(58132:0:AUTH_NONE)<br>   Wed, 18 Jun 2003 01:25:46 +0800 (CST);<br>   (envelope-from <netsales@soho-office.idv.tw>)<br>Return-Path: <netsales@soho-office.idv.tw><br>Received: from mail2000.com.tw ([219.91.20.37])<br>   by soho-office.idv.tw ([127.0.0.1])<br>   with SMTP (MDaemon.PRO.v6.0.2.T);<br>   Wed, 18 Jun 2003 01:13:27 +0800<br>From: =?Big5?B?pU61b6tI?= <athlon@sparqnet.net><br>Subject: =?Big5?B?rkyk6bTuqs6vuqj+qP4=?=<br>Content-Type: text/html<br>Date: Wed, 18 Jun 2003 01:03:17 +0800<br>X-Priority: 3<br>X-Authenticated-Sender: netsales@soho-office.idv.tw<br>X-MDRemoteIP: 219.91.20.37<br>X-Return-Path: netsales@soho-office.idv.tw<br>
 <hr><br>
 請問我要如何得之這是從何處發送的,該向何單位檢舉,<br>
 或者可否麻煩貴單位將郵件轉交相關的處理單位。<br>
 謝謝,感激不盡!!<br>
   </tr>
 </table>
 </body>
 </html>
[/list]

----------- 引文結束 -----------

起先, 我也以為是我的主機被人惡搞; 正在煩惱的時候, 冷靜的看了一下這個內容. "咦? 怎麼會有公司信件背景圖案, 取名是亂碼? " 再來, 上面有個很怪異的domain, www.7lk.com.cn.k666.com , 事實上為一個中國大陸盜版軟體網頁, 小弟從來沒去過, 也不曾有這方向連線紀錄, 怎麼會扯到我?

於是乎, 我觀察到一些蛛絲馬跡. 對方這ID(200306270259.h5R2xFQ10235)根本不存在(偽裝寄件者), 且中間經過一個Received: (from root@localhost) (偽裝寄件者IP); 這封信件預設的背景圖案是一張偽裝的病毒執行檔http://www.0912345678.com.tw/vivian4_background/HQYAAhgZFwcdOQ4GBx9UBgwUClcJCQBBFw8X.jpg(欺騙IE, Outlook 專用病毒, 看檔名是jpg, 其實是一個執行檔, Script)

且, 其中沒有任何跟我有關的domain name, 既不是我發出的, 收信的人也不是我, 何來廣告信之說? 此來源為一個免費信箱, 反而讓人不知道是使用者中毒or這台可憐的主機(mail2000.com.tw)中毒?


給大家作為參考! 並請各位先進分析一下各種可能, 多謝!
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

paulso

  • 俺是博士!
  • *****
  • 文章數: 1966
    • 檢視個人資料
[警告]看到這種偽裝信件請小心!
« 回覆 #1 於: 2003-06-22 19:07 »
所有不知什麼的信我也會立刻 delete,看也不看

philiphsu

  • 可愛的小學生
  • *
  • 文章數: 26
    • 檢視個人資料
[警告]看到這種偽裝信件請小心!
« 回覆 #2 於: 2003-06-22 19:53 »
ㄛ,我也收到這麼兩封信耶,感覺納悶何時自己的 mail server 變成了轉信站。 :roll: 幸好沒有啥事發生。

Tim

  • 活潑的大學生
  • ***
  • 文章數: 450
  • 性別: 男
    • 檢視個人資料
    • http://www.lab.mlc.edu.tw/
[警告]看到這種偽裝信件請小心!
« 回覆 #3 於: 2003-06-22 20:46 »
代碼: [選擇]
TC218-187-138-103.adsl.pl.apol.com.tw [218.187.138.103]
應該是這個來源。
所以,我將 apol.com.tw (亞太線上)的來信全部 deny ,並告知所有的同事預做因應。

我另外注意到其信件表頭有一個:
代碼: [選擇]
From: VIVIAN<vivian@www.0912345678.com.tw>

正在嘗試過濾中。

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8830
    • 檢視個人資料
    • http://www.24online.cjb.net
[警告]看到這種偽裝信件請小心!
« 回覆 #4 於: 2003-06-22 23:14 »
其實, 重點是防禦這個檔案
    http://www.0912345678.com.tw/vivian4_background/HQYAAhgZFwcdOQ4GBx9UBgwUClcJCQBBFw8X.jpg[/list]

    跟幾位前輩交換過意見之後, 大家的觀點一致認為, 這個0912345678.com.tw是有人故意申請用來放病毒木馬的網址(或者, 是離職員工所為) 之所以人人會變成病毒清單裡面的收件人, 這點原因不明; 但我們可以確定的是, 用非M$系的讀信程式就不會中招...

    怎麼防禦, 不知道; 目前知道這個網域的擁有者是使用Hinet的單IP, 小弟也寫信請HINET的MIS幫忙處理與監控該用戶

    大致上是這樣, 還請各位幫忙補齊其他防禦方法...
    哈克不愛的多合一輸入平台----->新香草口味
    過去的時間不斷流逝,抹去的眼淚已成追憶;
    乾枯的雙手無力阻止,再會了我遠去的曾經。

    duncanlo

    • SA 苦力組
    • 俺是博士!
    • *****
    • 文章數: 7312
      • 檢視個人資料
    [警告]看到這種偽裝信件請小心!
    « 回覆 #5 於: 2003-06-23 00:39 »
    最近也很反常,
    還有0204主動打到手機來免費試聽,
    不聽就在你語音信箱留言...

    日京三子

    • 全區板主
    • 俺是博士!
    • *****
    • 文章數: 8830
      • 檢視個人資料
      • http://www.24online.cjb.net
    [警告]看到這種偽裝信件請小心!
    « 回覆 #6 於: 2003-06-23 00:42 »
    引述: "duncanlo"
    最近也很反常,
    還有0204主動打到手機來免費試聽,
    不聽就在你語音信箱留言...


    來亂的..... (飛踢)~~
    哈克不愛的多合一輸入平台----->新香草口味
    過去的時間不斷流逝,抹去的眼淚已成追憶;
    乾枯的雙手無力阻止,再會了我遠去的曾經。

    Jerry Liu

    • 鑽研的研究生
    • *****
    • 文章數: 536
    • 性別: 男
      • 檢視個人資料
    [警告]看到這種偽裝信件請小心!
    « 回覆 #7 於: 2003-06-23 10:18 »
    看來我真的是太單純了 = =
    我本來以為是想要騙我回信,然後就可取得系統管理者真正的ID
    因為我收到的信都是寄給一些系統預設帳號........

    看來我的警戒心還是不足,受教了,謝謝
    水泥森林中的狼

    好懷念的暱稱啊 .................

    日京三子

    • 全區板主
    • 俺是博士!
    • *****
    • 文章數: 8830
      • 檢視個人資料
      • http://www.24online.cjb.net
    [警告]看到這種偽裝信件請小心!
    « 回覆 #8 於: 2003-06-24 01:47 »
    報告一下最新情況....

    小弟以telnet嚐試得知www.0912345678.com.tw所使用的主機系統, 發現是SUN 5.6; 也寄信給它們的網管, 告知它目前的情況....

    希望有好的回應...!
    哈克不愛的多合一輸入平台----->新香草口味
    過去的時間不斷流逝,抹去的眼淚已成追憶;
    乾枯的雙手無力阻止,再會了我遠去的曾經。

    adersun

    • 懷疑的國中生
    • **
    • 文章數: 34
      • 檢視個人資料
    [警告]看到這種偽裝信件請小心!
    « 回覆 #9 於: 2003-06-25 17:11 »
    不能在 access 裡 DENY Return-Path 為 admin 的信件嗎 ??

    admin@ DENY

    日京三子

    • 全區板主
    • 俺是博士!
    • *****
    • 文章數: 8830
      • 檢視個人資料
      • http://www.24online.cjb.net
    [警告]看到這種偽裝信件請小心!
    « 回覆 #10 於: 2003-06-25 18:26 »
    引述: "adersun"
    不能在 access 裡 DENY Return-Path 為 admin 的信件嗎 ??

    admin@ DENY

    很遺憾的, 不行.

    他會自動把所有預設的帳戶全部寄送一次(似乎以M$所慣用的帳號為優先清單? )
    哈克不愛的多合一輸入平台----->新香草口味
    過去的時間不斷流逝,抹去的眼淚已成追憶;
    乾枯的雙手無力阻止,再會了我遠去的曾經。