On Sun, 9 Aug 2009 16:10:43 +0200, RoMan Mandziejewicz wrote:

> Poobserwuj ruch wychodzący z zombie i przekonasz się, że jego
> większość trafia do open-relay a nie bezpośrednio do MX-ów odbiorców.

Głupstwa gadasz.

--
Szymon Sokół (SS316-RIPE) -- Network Manager B
Computer Center, AGH - University of Science and Technology, Cracow, Poland O
http://home.agh.edu.pl/szymon/ PGP key id: RSA: 0x2ABE016B, DSS: 0xF9289982 F
Free speech includes the right not to listen, if not interested -- Heinlein H

do góry

On Sun, 09 Aug 2009 14:49:01 +0200, Lemat wrote:

> Więc kolejnym krokiem spamerów będzie soft kradnący loginy i hasła lub

To już robią. Miałem już parę przypadków spamu nadanego przez nasz webmail,
ewidentnie za pomocą przechwyconego hasła. Ale to jest na razie margines...

--
Szymon Sokół (SS316-RIPE) -- Network Manager B
Computer Center, AGH - University of Science and Technology, Cracow, Poland O
http://home.agh.edu.pl/szymon/ PGP key id: RSA: 0x2ABE016B, DSS: 0xF9289982 F
Free speech includes the right not to listen, if not interested -- Heinlein H

do góry

Hello Szymon,

Sunday, August 9, 2009, 4:30:07 PM, you wrote:

>> Poobserwuj ruch wychodzący z zombie i przekonasz się, że jego
>> większość trafia do open-relay a nie bezpośrednio do MX-ów odbiorców.
> Głupstwa gadasz.

Jakie głupstwa - obserwacja żywego okazu zombie.

--
Best regards,
RoMan mailto:r...@p...pl

do góry

On Sun, 9 Aug 2009 16:05:11 +0200, RoMan Mandziejewicz
<r...@p...pl> wrote:

> To, że botnety nadal będą się miały dobrze. Bo problem nie w
> nadawcach, tylko w tym, że mają do kogo nadawać.

Kompletnie nie rozumiesz idei MSA.

> I kto to niby ma robić? Ci sami właściciele dziurawych serwerów,
> którym do tej pory się tego nie chciało robić?

Opowiedz o tej dziurawości.

r.
--
____________________________________________________
_____________
robert rędziak mailto:giekao-at-gmail-dot-com

I hope they don't fart at Greenpeace. That's bad for Gaia.

do góry

On Sun, 9 Aug 2009 16:33:09 +0200, Szymon Sokół
<s...@b...operator.from.hell.pl> wrote:

>> Więc kolejnym krokiem spamerów będzie soft kradnący loginy i hasła lub
>
> To już robią. Miałem już parę przypadków spamu nadanego przez nasz webmail,
> ewidentnie za pomocą przechwyconego hasła. Ale to jest na razie margines...

Ale zbieranie statystyk wewnątrz własnego serwera i reagowanie
na zmiany to już żaden problem. Można w łatwy sposób przyciąć
takie trefne konto przy samym zadku.

r.
--
____________________________________________________
_____________
robert rędziak mailto:giekao-at-gmail-dot-com

I hope they don't fart at Greenpeace. That's bad for Gaia.

do góry

On 09.08.2009, RoMan Mandziejewicz <r...@p...pl> wroted:
>>>> A co im da zmiana portu z 25 na 567, skoro żaden poprawnie
>>>> skonfigurowany serwer nie przyjmie na tym porcie poczty od
>>>> nieuwierzytelnionego użytkownika? A na porcie 25 *musi*...
>>>
>>> Musi adresowane od lub do użytkownika tego serwera. Nie musi
>>> obcych. Problemem nie jest nadawanie na porcie 25 ale pootwierane
>>> serwery, niepilnujące co i od kogo odbierają.
>>
>> W trzech zdaniach zdołałeś wpaść w sprzeczność z tym co
>> sam mówisz. Jeśli "musi adresowane od lub do użytkownika tego
>> serwera", to problemem nie są "pootwierane serwery, niepilnujące
>> co i od kogo odbierają" (open relaye to w dzisiejszych czasach
>> rzadkość), tylko możliwość dotarcia z botnetów na port
>> 25 serwerów które _muszą_ przyjąć pocztę dla lokalnych
>> użytkowników.
>
> Poobserwuj ruch wychodzący z zombie i przekonasz się, że jego
> większość trafia do open-relay a nie bezpośrednio do MX-ów
> odbiorców. Nadawanie bezpośrednio wymagałoby mnóstwa zapytań do
> DNSów a to właśnie zbyt łatwo wykryć.

Ale masz na to jakieś kwity?

>>> I zmiana portów nic tu nie zmieni.
>>
>> Uwierzytelnienie robi jednak różnicę.
>
> Odrobinę spowolni i tyle.

Przypominają mi się bardzo autorytatywne wypowiedzi jak to
np. greylisting nie ma prawa działać, bo przecież tak łatwo go
uwzględnić.

GS
--
Grzegorz Staniak <gstaniak _at_ wp [dot] pl>
Nocturnal Infiltration and Accurate Killing

do góry

RoMan Mandziejewicz wrote:

> Hello Szymon,
>
> Sunday, August 9, 2009, 4:30:07 PM, you wrote:
>
>>> Poobserwuj ruch wychodzący z zombie i przekonasz się, że jego
>>> większość trafia do open-relay a nie bezpośrednio do MX-ów odbiorców.
>> Głupstwa gadasz.
>
> Jakie głupstwa - obserwacja żywego okazu zombie.
>

więc może poobserwuj sobie więcej egzemplarzy zombie należących do różnych
botnetów, bo to co powiedziałeś post wcześniej to jakiś nietypowy przypadek.

--
Pozdrawiam
Lemat
easyISP jest spam friendly - utrzymuje notorycznego spamera polandexport /
ipeik / netex-sterling, pomóżcie ich przekonać nie wykupując u nich
hostingu.

do góry

RoMan Mandziejewicz pisze:
> Hello Szymon,
>
> Sunday, August 9, 2009, 4:30:07 PM, you wrote:
>
>>> Poobserwuj ruch wychodzący z zombie i przekonasz się, że jego
>>> większość trafia do open-relay a nie bezpośrednio do MX-ów odbiorców.
>> Głupstwa gadasz.
>
> Jakie głupstwa - obserwacja żywego okazu zombie.
>

To skąd w logach mam tysiące połączeń z nerwostrady? Adresaci docelowi
są na moim serwerze, nie relay w świat?

wer

do góry

Colin wrote:

> RoMan Mandziejewicz wrote:
>> Poobserwuj ruch wychodzący z zombie i przekonasz się, że jego
>> większość trafia do open-relay a nie bezpośrednio do MX-ów odbiorców.
>
> Większość trafia do MX-ów.

dokładnie tak, widać to w logach wszystkich serwerów poczty

>> Nadawanie bezpośrednio wymagałoby mnóstwa zapytań do DNSów a to
>> właśnie zbyt łatwo wykryć.

skoro tak łatwo wykryć to czemu nikt tego nie robi?

> Zapytania nie są typu MX tylko ANY, przez to nie są tak łatwe do wykrycia.

w ciągu ostatnich 4 dni miałem 466 zapytań typu ANY i 74304 zapytań typu MX,
to jakoś nie potwierdza tego co mówisz.

--
Pozdrawiam
Lemat
easyISP jest spam friendly - utrzymuje notorycznego spamera polandexport /
ipeik / netex-sterling, pomóżcie ich przekonać nie wykupując u nich
hostingu.

do góry

Szymon Sokół pisze:
> On Sun, 09 Aug 2009 14:49:01 +0200, Lemat wrote:
>
>> Więc kolejnym krokiem spamerów będzie soft kradnący loginy i hasła lub
>
> To już robią. Miałem już parę przypadków spamu nadanego przez nasz webmail,
> ewidentnie za pomocą przechwyconego hasła. Ale to jest na razie margines...
>
Mam przypadek(i) spamu wysyłanego po autoryzacji SMTP AUTH :/
Nie często, ale jest ... raz na kwartał.

--
[WRC] Biały Scenic 2000 1,9 dTI
CB: Intek M-490 ML 145

+-=-=-=-=-=-=-=- Przemysław Gubernat -=-=-=-=-=-=-=-=-=-=-=-+
| _API Internet_ A. Stolarczyk i P. Gubernat Spółka Jawna |
+-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
=-=-=-=-+

do góry