作者 主題: 病毒信的來源  (閱讀 2392 次)

0 會員 與 1 訪客 正在閱讀本文。

tonyvan123

  • 活潑的大學生
  • ***
  • 文章數: 447
    • 檢視個人資料
病毒信的來源
« 於: 2016-05-24 10:37 »
請教附件中的病毒信是怎麼寄給tony.van的
附件中我只把公司的前3個字母塗掉
« 上次編輯: 2016-05-24 10:41 由 tonyvan123 »

tonyvan123

  • 活潑的大學生
  • ***
  • 文章數: 447
    • 檢視個人資料
這是原信的text,以方便各位專家回覆
« 回覆 #1 於: 2016-05-24 10:58 »
From GarzaLouisa75@biz.rr.com  Thu May 19 04:06:17 2016
Return-Path: <GarzaLouisa75@biz.rr.com>
X-Original-To: tony.van@  vision.com.tw
Delivered-To: tony.van@  vision.com.tw
Received: from rrcs-70-63-251-34.midsouth.biz.rr.com (rrcs-70-63-251-34.midsouth.biz.rr.com [70.63.251.34])
    by ms7.  vision.com.tw (Postfix) with ESMTP id B63452383829
    for <nuichuan@  vision.com.tw>; Thu, 19 May 2016 04:06:16 +0800 (CST)
Received: by mail.nuichuan.local (Postfix, from userid 798)
    id 64DEF15BF6; Wed, 18 May 2016 16:06:15 -0400
To: nuichuan@  vision.com.tw
Subject: Re:
From: "Louisa Garza" <GarzaLouisa75@biz.rr.com>
MIME-Version: 1.0
Content-Type: multipart/mixed;
    boundary="------------332a3a5df17acfdfdddc823deae51d0b"
Message-Id: <20160518160615.64DEF15BF6@mail.nuichuan.local>
Date: Wed, 18 May 2016 16:06:15 -0400
Status: R
X-Status: A
   簡單表頭
詳列附件
Hey nuichuan,

I hope you're doing well. I've attached the latest draft of my proposal.
I hope it proves helpful!

Regards,

Louisa Garza
« 上次編輯: 2016-05-24 11:19 由 tonyvan123 »

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5365
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
Re: 病毒信的來源
« 回覆 #2 於: 2016-05-24 11:10 »
廣告信怎麼寄的, 病毒信就怎麼寄.

不過就是透過 smtp 寄信啊 (話話 internet 應該也沒有不是透過 smtp 寄的信).....

塗掉的三個字在 header 上還是有... 那一行就是你們 server 收到信的記錄 (只有這個是可信的)...
當然...你也只能知道上一層的 ip... 再之前, 就不是你管的到的.

tonyvan123

  • 活潑的大學生
  • ***
  • 文章數: 447
    • 檢視個人資料
Re: 這是原信的text,以方便各位專家回覆
« 回覆 #3 於: 2016-05-24 17:13 »

1. Part 1: 很想知道,怎麼用假帳號 GarzaLouisa75 利用  biz.rr.com 寄出
From GarzaLouisa75@biz.rr.com  Thu May 19 04:06:17 2016
Return-Path: <GarzaLouisa75@biz.rr.com>



2. Part 2: 已證實是同時寄給 tony.van@和nuichuan@,所以收件者無疑問,但是有個前題,未在前面提,現加說明
    公司的 tony.van@ 這個帳號是加入了一個MAIL GROUP: super..... (我用super+....代替)之後才開始收到病毒信
    所以問題來了,他們怎由 super..... 這個GROUP中知道所有收件人的E-MAIL帳號
X-Original-To: tony.van@  vision.com.tw
Delivered-To: tony.van@  vision.com.tw

Received: from rrcs-70-63-251-34.midsouth.biz.rr.com (rrcs-70-63-251-34.midsouth.biz.rr.com [70.63.251.34])
    by ms7.  vision.com.tw (Postfix) with ESMTP id B63452383829
    for <nuichuan@  vision.com.tw>; Thu, 19 May 2016 04:06:16 +0800 (CST)
Received: by mail.nuichuan.local (Postfix, from userid 798)
    id 64DEF15BF6; Wed, 18 May 2016 16:06:15 -0400
To: nuichuan@  vision.com.tw
Subject: Re:
From: "Louisa Garza" <GarzaLouisa75@biz.rr.com>
MIME-Version: 1.0
Content-Type: multipart/mixed;
    boundary="------------332a3a5df17acfdfdddc823deae51d0b"



Part 3: Message-Id: 是怎麼假造出來的,Mail Server(此例為:biz.rr.com)不會檢查Message-Id嗎?
Message-Id: <20160518160615.64DEF15BF6@mail.nuichuan.local>
Date: Wed, 18 May 2016 16:06:15 -0400
Status: R
X-Status: A
   簡單表頭
詳列附件


Hey nuichuan,

I hope you're doing well. I've attached the latest draft of my proposal.
I hope it proves helpful!

Regards,

Louisa Garza
[/quote]
« 上次編輯: 2016-05-24 17:18 由 tonyvan123 »

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5365
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
Re: 病毒信的來源
« 回覆 #4 於: 2016-05-24 17:20 »
信件的 header, 收到什麼就什麼, 要假造什麼資料都可以.
而且... SMTP 沒有 "檢查" 信件內容的功能.... 所以什麼都可以是假的. 要檢查請自己用另外的軟體去中介處理.

唯一可信的是你自已 server 加上的.... 你說的那幾個 postfix 加上的. postfix 本來就會把 group 轉發給每一個.
比較詳細的資訊請自己去看 log.

tonyvan123

  • 活潑的大學生
  • ***
  • 文章數: 447
    • 檢視個人資料
Re: 病毒信的來源
« 回覆 #5 於: 2016-05-24 18:15 »
信件的 header, 收到什麼就什麼, 要假造什麼資料都可以.
而且... SMTP 沒有 "檢查" 信件內容的功能.... 所以什麼都可以是假的. 要檢查請自己用另外的軟體去中介處理.

唯一可信的是你自已 server 加上的.... 你說的那幾個 postfix 加上的. postfix 本來就會把 group 轉發給每一個.
比較詳細的資訊請自己去看 log.

TW大的意思是說,信根本不是由bizz.rr.com寄出的,是由機器人電腦寄出,要擋這樣的mail,只能用Layer 7用關鍵字去擋

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5365
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
Re: 病毒信的來源
« 回覆 #6 於: 2016-05-24 20:42 »
是那兒寄來的沒錯... 不過... 難不成你要把 rr.com 擋了?
那可是一個很大的 pool.... 如果是這種擋法, 應該沒多久全世界可能有八成的 ip 都會被你擋掉了.

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17306
    • 檢視個人資料
    • http://www.study-area.org
Re: 病毒信的來源
« 回覆 #7 於: 2016-05-24 22:36 »
Received: by mail.nuichuan.local (Postfix, from userid 798)
    id 64DEF15BF6; Wed, 18 May 2016 16:06:15 -0400
這是對方用本機的 postfix 來寄,有可能也是肉雞...

Received: from rrcs-70-63-251-34.midsouth.biz.rr.com (rrcs-70-63-251-34.midsouth.biz.rr.com [70.63.251.34])
    by ms7.  vision.com.tw (Postfix) with ESMTP id B63452383829
看來就直接傳到你的 ms7 來,對方的 IP 是 70.63.251.34,你不爽的話可以擋掉它。
不過如 twu2 兄所言,擋不完啦...

看看有沒有RBL,或許可以設定一下~~


dark

  • 俺是博士!
  • *****
  • 文章數: 1493
    • 檢視個人資料
Re: 病毒信的來源
« 回覆 #8 於: 2016-05-26 00:16 »
您可以 google 一下 "telnet 寄信"
然後照著打 , 寄給自己
你就會知道 mail 運作方式了

也順便用不同的讀信軟體開來看看
能大略知道各標頭是給誰用的

若願意 , 在 google 一下 "telnet 看網頁"
就更能體會出這些協定標頭存在的意義

完成上述後 , 你可以寄給自己不同手法的信
你就不覺得那封信奇怪了

另外
可以打錯帳號 , 試看看猜帳號手法
利用不存在帳號退信 , 達到寄信手法


若貴公司沒有 mail spam
您這問題應該見怪不怪
若有 mail spam , 是否該詢問一下廠商
機器 , 設定若沒問題
你就該想哪裡出現祕密通道了 ...


至於 ... 這種廣告信都沒 "+賴" 關鍵字
沒專人聊天 , 直接刪除就是了


tonyvan123

  • 活潑的大學生
  • ***
  • 文章數: 447
    • 檢視個人資料
Re: 病毒信的來源
« 回覆 #9 於: 2016-05-26 10:30 »
您可以 google 一下 "telnet 寄信"
然後照著打 , 寄給自己
你就會知道 mail 運作方式了

也順便用不同的讀信軟體開來看看
能大略知道各標頭是給誰用的

若願意 , 在 google 一下 "telnet 看網頁"
就更能體會出這些協定標頭存在的意義

完成上述後 , 你可以寄給自己不同手法的信
你就不覺得那封信奇怪了

另外
可以打錯帳號 , 試看看猜帳號手法
利用不存在帳號退信 , 達到寄信手法


若貴公司沒有 mail spam
您這問題應該見怪不怪
若有 mail spam , 是否該詢問一下廠商
機器 , 設定若沒問題
你就該想哪裡出現祕密通道了 ...


至於 ... 這種廣告信都沒 "+賴" 關鍵字
沒專人聊天 , 直接刪除就是了

我試著在FreeBSD的Postfix中加入Spam看看

tonyvan123

  • 活潑的大學生
  • ***
  • 文章數: 447
    • 檢視個人資料
Re: 病毒信的來源
« 回覆 #10 於: 2016-05-26 10:33 »
Received: by mail.nuichuan.local (Postfix, from userid 798)
    id 64DEF15BF6; Wed, 18 May 2016 16:06:15 -0400
這是對方用本機的 postfix 來寄,有可能也是肉雞...

Received: from rrcs-70-63-251-34.midsouth.biz.rr.com (rrcs-70-63-251-34.midsouth.biz.rr.com [70.63.251.34])
    by ms7.  vision.com.tw (Postfix) with ESMTP id B63452383829
看來就直接傳到你的 ms7 來,對方的 IP 是 70.63.251.34,你不爽的話可以擋掉它。
不過如 twu2 兄所言,擋不完啦...

看看有沒有RBL,或許可以設定一下~~

RBL用了3個
sbl.spamhaus.org

cbl.abuseat.org

dul.dnsbl.sorbs.net

dark

  • 俺是博士!
  • *****
  • 文章數: 1493
    • 檢視個人資料
Re: 病毒信的來源
« 回覆 #11 於: 2016-05-27 06:57 »
您另一篇 "存在不同版本module" 該不會是您開始動作了吧 ...

真訝異 ...
貴公司年紀不小了 , mail server 竟然這麼清閒

小弟對 mail 這協定也感冒 ... 所以沒深入研究
就很久以前玩過一次 ironport 的經驗 (一次就很給面子了)
記憶中 ..

當 mail server 前端層層保護整合成一台後
RBL 功能屬於最前端 firewall 部分
黑名單的 syn 封包直接就丟棄了

而完成三項交握後 , 反解 dns 查看該 IP 是否有 MX 記錄
沒有 MX 記錄則中斷連線

這封病毒信可是來自浮動 IP


或許現在 mail 技術有變 , 但基本上邏輯應該不會差太多
因為網路設備的技術 , 與架構牽動著
..... 嗯 .. 貴公司真不只一台 mail 嗎 ?


tonyvan123

  • 活潑的大學生
  • ***
  • 文章數: 447
    • 檢視個人資料
Re: 病毒信的來源
« 回覆 #12 於: 2016-05-27 16:15 »
您另一篇 "存在不同版本module" 該不會是您開始動作了吧 ...

真訝異 ...
貴公司年紀不小了 , mail server 竟然這麼清閒

小弟對 mail 這協定也感冒 ... 所以沒深入研究
就很久以前玩過一次 ironport 的經驗 (一次就很給面子了)
記憶中 ..

當 mail server 前端層層保護整合成一台後
RBL 功能屬於最前端 firewall 部分
黑名單的 syn 封包直接就丟棄了

而完成三項交握後 , 反解 dns 查看該 IP 是否有 MX 記錄
沒有 MX 記錄則中斷連線

這封病毒信可是來自浮動 IP


或許現在 mail 技術有變 , 但基本上邏輯應該不會差太多
因為網路設備的技術 , 與架構牽動著
..... 嗯 .. 貴公司真不只一台 mail 嗎 ?

ironport公司應該不會買,價格和上層習慣的問題,總公司目前用Mikrotik 1100ah作gateway和防火牆,試過Layer 7,非常陽春,基本上regex沒有作用,只能用關鍵字而已,MIS目前有3位,有專業知識的只有我1位,公司有300至350人之間,分佈在30個點,合作的經銷商.代理商有近80個

目前我受總經理和我屬下的監視中(另篇提到的貴公子),雖然我到公司已10年,但我不被信任,我屬下到公司已5年了,產值仍為負數的,他除了挖洞給我跳,也挖洞給北部所有同事跳,但公司無意讓我訓練他,也無意Fire掉他,以上看完,應該知道資訊這塊公司雖重視,但認知卻遠遠不足

公司花了約50萬讓那位貴公子上課(5年),花在我身上約20萬(10年)

我只能就現有設備發揮

mail server嗎?只有1台 ?
mail server忙碌當然比不上像物流公司,每天E-MAIL SEND約萬封(MAIL GROUP也只算1封)
« 上次編輯: 2016-05-27 16:38 由 tonyvan123 »

dark

  • 俺是博士!
  • *****
  • 文章數: 1493
    • 檢視個人資料
Re: 病毒信的來源
« 回覆 #13 於: 2016-05-28 10:01 »
不錯了 ... 小弟還沒遇過願意投資在小弟身上的 ...
小弟碰過的設備 , 大多是路過小弟身邊趁機偷玩的

對 mail 感冒是打定主意不想碰
所以當初跟 ironport 的一面之緣 , 也很猶豫要不要花時間偷拆來玩
... 雖然在那多年後有碰過 mail 附件與稽核的問題 , 算多少有一點幫助

mail 這東西一直讓人卻步 ... 以前 "mail 大型架構" 時期更甚
所以小弟在站裡很少參與 mail 討論 ...


說清閒是指 .. 這麼少防護 , 卻也這麼少騷擾 ...

而這篇討論的重點 , 在於阻擋 ip 而非 domainname
異地而處 , 若中毒來自貴公司內部呢 ?

昨天剛睡醒 , 邏輯不是那麼清楚 ...
記得雖設了多筆 MX , 但都指向同一 IP
所有設備都在那台 gateway 後面
而貴公司非擁有大型 IP 網段

那最精簡方案剩 dns 時間當緩衝
您卻設 7 天

tonyvan123

  • 活潑的大學生
  • ***
  • 文章數: 447
    • 檢視個人資料
Re: 病毒信的來源
« 回覆 #14 於: 2016-05-30 13:43 »
不錯了 ... 小弟還沒遇過願意投資在小弟身上的 ...
小弟碰過的設備 , 大多是路過小弟身邊趁機偷玩的

對 mail 感冒是打定主意不想碰
所以當初跟 ironport 的一面之緣 , 也很猶豫要不要花時間偷拆來玩
... 雖然在那多年後有碰過 mail 附件與稽核的問題 , 算多少有一點幫助

mail 這東西一直讓人卻步 ... 以前 "mail 大型架構" 時期更甚
所以小弟在站裡很少參與 mail 討論 ...


說清閒是指 .. 這麼少防護 , 卻也這麼少騷擾 ...

而這篇討論的重點 , 在於阻擋 ip 而非 domainname
異地而處 , 若中毒來自貴公司內部呢 ?

昨天剛睡醒 , 邏輯不是那麼清楚 ...
記得雖設了多筆 MX , 但都指向同一 IP
所有設備都在那台 gateway 後面
而貴公司非擁有大型 IP 網段

那最精簡方案剩 dns 時間當緩衝
您卻設 7 天

哇,那我算是辛運了,曾上過SQL Server 6.5(約18年前了),公司幫我付了全額,Tuxedo是上個公司同仁幫我上課,大概也花了64個小時,Oracle
 tunning也是上個公司的同仁幫我上的課,也花24小時

5月23日就出現了和合作廠商的E-MAIL不通的問題,從那時開始清查MAIL帳號,共查到5個帳號被盜,10個已離職的帳號也一起刪了,至今還在查MAIL Server和WEB Server共有那些帳號被盜

  不過WEB帳號就難查了,因為有些合作廠商的點並沒有固定IP,又加上他們下班時間在22:00,清查完他們送修的產品約在01:30,清查起來格外費力

zelda

  • 懷疑的國中生
  • **
  • 文章數: 87
    • 檢視個人資料
Re: 病毒信的來源
« 回覆 #15 於: 2016-05-31 17:46 »
聽起來上個公司的氣氛不錯啊
同事會分享技術