Jump to content
Sign in to follow this  
Dmitrith

Вирус? Утечка данных?

Recommended Posts

Дано: Поднят корпоративный почтовый сервер. На нем мой личный почтовый ящик. Пользуюсь этим ящиком с двух компьютеров через The Bat! (старенькие правда). На обоих компьютерах стоит KIS 14й.

Несколько дней не заглядывал в ящик, тут заглянул и... увидел как на меня сыпятся пара тысяч писем (при обычном трафике 1-2 письма в сутки). 99% писем было ответы от m-daemon'ов о том что такого почтового ящика не существует. Т.е. насколько я понимаю утекли мой логин/пароль от почты и через мой почтовый сервак разсылался спам. Что сделал:

1. Сменил пароль у почтового ящика.

2. Проверил остальные ящики почтовой системы - отправка только с моей учетки

3. Почистил очереди отправки (несколько тысяч писем было еще не доставлено).

4. Проверил оба компьютера полной проверкой на вирусы - ничего.

После этого поток писем о демонов стал потихоньку ослабевать. Вот типичный ответ (заголовок):

Return-Path:

Received: from s4.iphoster.net (ns4009780.ip-192-99-4.net [192.99.4.181]) by **mv.ru (**mv.ru) (MDaemon PRO v13.0.4) with ESMTP id md50000232658.msg for <d**@**mv.ru>; Thu, 12 Jun 2014 20:27:03 +0400

Authentication-Results: *mv.ruspf=neutral smtp.mail=;x-ip-ptr=pass dns.ptr=ns4009780.ip-192-99-4.net (ip=192.99.4.181)

X-Spam-Level:

X-Spam-Status: No, score=-0.50 required=5.0

X-Spam-Report: * 1.7 URIBL_BLACK Contains an URL listed in the URIBL blacklist* [uRIs: biz-offer4.ru]* 0.0 T_FUZZY_SPRM BODY: T_FUZZY_SPRM* 2.4 FRT_TODAY2 BODY: ReplaceTags: Today (2)* -4.7 BAYES_00 BODY: Bayesian spam probability is 0 to 1%* [score: 0.0000]* 0.1 ENTITY_DEC_ALPHANUM RAW: HTML contains needlessly encoded characters

X-Spam-Processed: melisakmv.ru, Thu, 12 Jun 2014 20:27:03 +0400(processed during SMTP session)

X-MDPtrLookup-Result: pass dns.ptr=ns4009780.ip-192-99-4.net (ip=192.99.4.181) (**mv.ru)

X-SpamFlt-Status: Not Detected

X-KASFlt-Status: Lua profiles 62631 [Jun 14 2014]

X-KASFlt-Status: {Formal}

X-KASFlt-Status: Version: 5.3.2

X-KASFlt-Status: Method: none

X-KASFlt-Status: Rate: 0

X-KASFlt-Status: Status: not_detected

X-SpamFlt-Phishing: Not Detected

X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17609

X-MDDK-Result: neutral (**mv.ru)

X-MDDKIM-Result: neutral (**mv.ru)

X-Rcpt-To: d*@**mv.ru

X-MDRcpt-To: d*@**mv.ru

X-MDRemoteIP: 192.99.4.181

X-Return-Path:

X-Envelope-From:

X-MDaemon-Deliver-To: d*@**mv.ru

Received: from mail by s4.iphoster.net with local (Exim 4.82) id 1Wv7oa-0001gC-56 for d*@**mv.ru; Thu, 12 Jun 2014 12:25:24 -0400

X-Failed-Recipients: root@s4.iphoster.net

Auto-Submitted: auto-replied

From: "Mail Delivery System" <Mailer-Daemon@s4.iphoster.net>

To: <d*@**mv.ru>

Subject: Mail delivery failed: returning message to sender

Message-ID: <E1Wv7oa-0001gC-56@s4.iphoster.net>

Date: Thu, 12 Jun 2014 12:25:24 -0400

 

 

 

This message was created automatically by mail delivery software.

 

A message that you sent could not be delivered to one or more of its

recipients. This is a permanent error. The following address(es) failed:

 

root@s4.iphoster.net

(ultimately generated from sales@moya-7ya.ru)

retry timeout exceeded

 

Насколько я вижу в июне прокатилась волна подобных заражений: на наши почтовые ящики так же поступал аналогичный спам со вполне валидных адресов в зоне .ru. Вот заголовок письма, пришедшего к нам на другой почтовый ящик с по-видимиму так же утекшей учетки:

Received: from piter36.dns-rus.net (piter36.dns-rus.net [91.219.194.36])

by **mv.ru (**mv.ru)

(MDaemon PRO v13.0.4)

with ESMTP id md50000397626.msg

for <na*@**mv.ru>; Sun, 15 Jun 2014 04:44:41 +0400

Authentication-Results: **mv.ru

spf=pass smtp.mail=gromova@caravancenter.ru;

x-ip-ptr=pass dns.ptr=piter36.dns-rus.net (ip=91.219.194.36);

dkim=pass header.d=caravancenter.ru (b=HU4N3AN9PM; 1:0:good);

Received-SPF: pass (**mv.ru: domain of gromova@caravancenter.ru

designates 91.219.194.36 as permitted sender)

x-spf-client=MDaemon.PRO.v13.0.4

receiver=**mv.ru

client-ip=91.219.194.36

envelope-from=<gromova@caravancenter.ru>

helo=piter36.dns-rus.net

X-Spam-Level: ***

X-Spam-Status: No, score=3.10 required=5.0

X-Spam-Report:

* 1.1 EXTRA_MPART_TYPE Header has extraneous Content-type:...type= entry

* 1.8 SUSPICIOUS_RECIPS Similar addresses in recipient list

* 3.1 HTML_IMAGE_ONLY_08 BODY: HTML: images with 400-800 bytes of words

* -4.7 BAYES_00 BODY: Bayesian spam probability is 0 to 1%

* [score: 0.0000]

* 0.0 HTML_MESSAGE BODY: HTML included in message

* 0.1 ENTITY_DEC_ALPHANUM RAW: HTML contains needlessly encoded characters

* 0.9 HTML_SHORT_LINK_IMG_1 HTML is very short with a linked image

* 0.8 MANY_EXCLAMATIONS Subject has many exclamations

X-Spam-Processed: **mv.ru, Sun, 15 Jun 2014 04:44:41 +0400

(processed during SMTP session)

X-MDPtrLookup-Result: pass dns.ptr=piter36.dns-rus.net (ip=91.219.194.36) (**mv.ru)

X-MDDKIM-Result: unapproved (**mv.ru)

X-MDSPF-Result: unapproved (**mv.ru)

X-Rcpt-To: na@**mv.ru

X-MDRcpt-To: na@**mv.ru

X-MDRemoteIP: 91.219.194.36

X-Envelope-From: gromova@caravancenter.ru

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=caravancenter.ru; s=default;

h=Content-Type:MIME-Version:Date:Subject:To:From:Message-ID; bh=luLqY/iHz/0lQmpnx7Yo3GWoZaccX+8gNKSS6yEEsnY=;

b=HU4N3AN9PMi0g8FsqOcKlZJL3zNVAgAFd1fQP48Fqo353JaMZLlUja6ITxiO8YIuH/yX+pPG142psHcEEq/4/Sw9/FSoulbFBsG1Gm5T6FTTw2kQIkEOe7b+6OvkrJRsk/lU//GXg0mRZckzGSB4MGlmyAQX+KpCJZDOaJE9iK0=;

Received: from biz-offer4.ru ([37.9.53.8]:61903 helo=zyycuns)

by piter36.dns-rus.net with esmtpa (Exim 4.82)

(envelope-from <gromova@caravancenter.ru>)

id 1WvyXW-0000D7-5Q; Sun, 15 Jun 2014 04:43:18 +0400

Message-ID: <1015A3F0FB2F0FDC00054CF6023CD6C0@yviy>

From: "VIP-casino" <gromova@caravancenter.ru>

To: <nata@megaprom.kiev.ua>,

<nata@**mv.ru>,

<nata@merch.ru>,

<nata@meta.ua>,

<nata@mig.com.ua>

Subject: =?windows-1251?B?0e7w4ugg6vP4ISvB7u3z8SAxMDAwJCE=?=

Date: Sun, 15 Jun 2014 04:43:17 +0400

MIME-Version: 1.0

Content-Type: multipart/related;

type="multipart/alternative";

boundary="----=_NextPart_000_21DF_01CF8854.5387E8C0"

X-Priority: 3

X-MSMail-Priority: Normal

X-Mailer: Microsoft Windows Live Mail 16.4.3528.331

X-MimeOLE: Produced By Microsoft MimeOLE V16.4.3528.331

X-AntiAbuse: This header was added to track abuse, please include it with any abuse report

X-AntiAbuse: Primary Hostname - piter36.dns-rus.net

X-AntiAbuse: Original Domain - **mv.ru

X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]

X-AntiAbuse: Sender Address Domain - caravancenter.ru

X-Get-Message-Sender-Via: piter36.dns-rus.net: authenticated_id: gromova@caravancenter.ru

X-Source:

X-Source-Args:

X-Source-Dir:

X-MDRedirect: 1

X-MDRedirect_From: nata@*mv.ru

X-Return-Path: <gromova@caravancenter.ru>

 

Собственно вопрос: откуда утечка и каким образом?

 

 

Share this post


Link to post

Скорее всего ваш ящик и не ломали

подставить левый почтовый адрес отправителя занятие не просто легкое, а очень легкое

у вас скорее всего имя и фамилия более менее стандартная

поэтому ящик скорее всего сгенерирован случайно (а вам просто не повезло)

 

Единственно что могу сказать попросите вашего сисадмина немного усилить защиту почтового сервера, что бы почта на ваш домен приходила, а отправлялась только с вашего + с вашей сети + через ввод пароля

Share this post


Link to post

Авторизация настроена и по SMTP. Так что исключен такой вариант. К тому же есть более простые ящики в домене типа sale@ которые не пострадали.

Share this post


Link to post

И Фишка в том что на почтовый сервер именно логинились под моим логином/паролем т.к. была куча писем в очередях отправки

Share this post


Link to post

Тогда смотрите в логах откуда логинились под вашим аккаунтом.

Локально - в отдел кадров

С внешней сети - ... - после смены паролей проблема осталась?

Share this post


Link to post
Тогда смотрите в логах откуда логинились под вашим аккаунтом.

Локально - в отдел кадров

Это есть в логах:

Received: from s4.iphoster.net (ns4009780.ip-192-99-4.net [192.99.4.181])

Явно прокси.

С внешней сети - ... - после смены паролей проблема осталась?

Нет. Месяц уже полет нормальный. В том-то и вопрос: как???

Share this post


Link to post
Нет. Месяц уже полет нормальный.

Тогда забейте

 

 

В том-то и вопрос: как???

Вопрос неясен

что "Как"

К чему относится?

К подбору аккаунта?

К возможности доступа к серверу?

или к чему?

 

Share this post


Link to post
забейте

Это официальный ответ? Мда.

Вопрос неясен

что "Как"

К чему относится?

К подбору аккаунта?

К возможности доступа к серверу?

или к чему?

Сформулирую более внятно: Каким образом произошла утечка логина/пароля с защищенного KIS компьютера. Антивирус не обнаружил никаких вирусов, так же акцентирую внимание на то что это не единоразовая утечка, волна абсолютно таких же рассылок (письмо аналогичное тому, что отсылалось с моей учетки) прошла в июне.

 

Вообще мне как-то странно слышать ответ "забей" на форуме организации, в чьи интересы входит компьютерная безопасность. Не страшно что клиенты начнут "забивать" на Вас и голосовать ногами в сторону других антивирусов?

Share this post


Link to post

Что бы этот ответ стал официальным мне надо

1. Переехать в Москву

2. Устроится работать в Лабораторию Касперского ;) (пункт 1 не сильно обязателен ;) )

 

Не страшно что клиенты начнут "забивать" на Вас и голосовать ногами в сторону других антивирусов?

)))

Если вам хочется кушать без соли - кушайте ;)

я то работаю тута

Share this post


Link to post
Сформулирую более внятно: Каким образом произошла утечка логина/пароля с защищенного KIS компьютера.

Сформулирую ответ по другому

Так как после смены пароля проблем больше нет забейте на проблему ;)

 

Share this post


Link to post
Если вам хочется кушать без соли - кушайте ;)

я то работаю тута

Я слышал, соль берётся только на берегах морей... типа заливчик какой.... неужели брехня?

Share this post


Link to post
Я слышал, соль берётся только на берегах морей... типа заливчик какой.... неужели брехня?

И у нас на берегу моря ))), 1.5 км под землей )))

 

А на дня приехал с Болгарии так у них так и добывают (из одной лужи и соль и асбест :( )

Share this post


Link to post
Что бы этот ответ стал официальным мне надо

1. Переехать в Москву

2. Устроится работать в Лабораторию Касперского wink.gif (пункт 1 не сильно обязателен wink.gif )

Может тогда не стоит совать нос туда, в чем не разбираетесь?

Share this post


Link to post
Может тогда не стоит совать нос туда, в чем не разбираетесь?

Dmitrith зачем вы так себя ведете, Kapral не официальное лицо Лаборатории Касперского.

Если вы желаете получить какие-либо официальные разъяснения то вам нужно обратиться в техническую поддержку через личный кабинет.

а по человечески вы не правы

Share this post


Link to post

Собственно всегда считал что официальный форум на то и официальный форум, что там можно задать развернутый вопрос (с логами/вложением файлов и т.п.). Как правило у серьезных компаний есть и личный кабинет и форум и телефон и твиттер и куча всего, где можно спросить и, как правило (не всегда правда) получить более-менее адекватный ответ. Если бы мне так ответил обычный юзер (как я) я бы так и не возмутился, но человек, находящийся в некой группе на форуме (пусть даже и тестер удаленный) на мой взгляд должен придерживаться общего имиджа компании, и отвечать так ну никак не должен. Я в принципе как бы и забил, но ситуация меня очень настораживает, ибо это практически невероятно чтоб так ушел пароль. А если троян до сих пор в компе?

Share this post


Link to post

Я тоже обычный пользователь и тоже нахожусь в определённой группе, но тут каждый высказывает свое личное мнение и советы. Даже ответы пользователей из группы "KL Russia" являются их собственным частным мнением, а не является официальным ответом ТП компании

ЗАО «Лаборатория Касперского» также предоставляет поддержку через форумы по адресу http://forum.kaspersky.com, обеспечивая возможность интерактивного общения с экспертами, способными помочь Клиенту или Потенциальному клиенту при работе с Продуктами. В настоящее время форумы поддерживаются на английском, русском, немецком и испанском языках.

 

напоминаю

Любое хамство, ненормативная лексика в адрес посетителей ресурса повлекут за собой санкции по ограничению доступа на форум, вплоть до полного блокирования. Уважайте себя и окружающих. Не заставляйте нас идти на крайние меры.
Edited by kmscom

Share this post


Link to post
Как правило у серьезных компаний есть и личный кабинет и форум и телефон и твиттер и куча всего, где можно спросить и, как правило (не всегда правда) получить более-менее адекватный ответ.
https://my.kaspersky.com/?logonSessionData=...mp;returnUrl=ru

А если троян до сих пор в компе?
проверьтесь тут http://forum.kaspersky.com/index.php?showforum=18 http://forum.kaspersky.com/index.php?showtopic=218224

Share this post


Link to post
Это официальный ответ? Мда.

Вообще мне как-то странно слышать ответ "забей" на форуме организации, в чьи интересы входит компьютерная безопасность. Не страшно что клиенты начнут "забивать" на Вас и голосовать ногами в сторону других антивирусов?

Формулировка "Забей", означает "не обращайте внимания-ничего страшного" чисто по дружески,а не ввиде типа "отстаньте со своими проблемами" в негативном понимании.Обратитесь в Тех.Поддержку через личный кабинет Касперского-там будет официальный ответ,но я думаю,что там будет такой же ответ,но чисто в официальном виде.

Share this post


Link to post
Dmitrith зачем вы так себя ведете,

а по человечески вы не правы

Так и нужно по-человечески объясняться.Пользователи разные и каждый понимает формулировку слово "Забей" по своему,как в дружеском понимание так и в недружелюбном.Не судите по своему мышлению,да, не судимы-будите.Я уж не говорю,когда меня откровенно посылают "На Ху.. бабочек ловить" http://forum.kaspersky.com/index.php?showt...p;#entry2267209 и вы в том числе поддерживаете эту позицию http://forum.kaspersky.com/index.php?s=&am...t&p=2267690 с издёвкой "Дискотека рулит".Так вам ли говорить о человеческих правах на этом форуме,принимая вид самой невинности в таких рассуждениях.

Всегда была за конструктивный и понятный диалог на этом форуме.

Dmitrith Если вас что то не устраивает.Можете всегда воспользоваться этим советом http://forum.kaspersky.com/index.php?s=&am...t&p=2267731

post-519327-1406231423_thumb.jpg

Edited by ***Leeloo***

Share this post


Link to post
И у нас на берегу моря ))), 1.5 км под землей )))

Так вон оно что... А я грешным делом подумал, что широкоизвестная дива Джен Псаки таки права... берега там у вас где-то образовались ;)

 

http://maxpark.com/community/6399/content/2769002

Edited by Maratka

Share this post


Link to post

Так дальше и будем выяснять отношения? Тему можно закрывать (это я уже у топикстартера спрашиваю)?

Share this post


Link to post
Guest
This topic is now closed to further replies.
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.