Marek Marczykowski wrote:
> On 2009-08-09, Przemysław Gubernat <r...@W...r3pc10.pl.na.newsach> wrote:
>> Szymon Sokół pisze:
>>> On Sun, 09 Aug 2009 14:49:01 +0200, Lemat wrote:
>>>
>>>> Więc kolejnym krokiem spamerów będzie soft kradnący loginy i hasła lub
>>>
>>> To już robią. Miałem już parę przypadków spamu nadanego przez nasz webmail,
>>> ewidentnie za pomocą przechwyconego hasła. Ale to jest na razie margines...
>>>
>> Mam przypadek(i) spamu wysyłanego po autoryzacji SMTP AUTH :/
>> Nie często, ale jest ... raz na kwartał.
>
> Ja za to miałem przypadek wysyłania spamu przez webmail. Jak blokowanie
> tcp/25 będzie standardem to takie akcje też będą normalne, ale dużo
> łatwiej z tym walczyć (filtry na pocztę wychodzącą + blokowanie userów).
>

Ja ostanio na jednej z maszyn (ftp/www/poczta) miałem przypadek, gdzie
przez haknięte konto ftp został wrzucony skrypt perla który się wykonał,
usunął i zrobił z smtp jesień średniowiecza (czyli open relaya).

Oczywiście wszystko było robione przez bota (hack konta, skrypty itp).
Dość sprytne, bo ps aux pokazywał tylko jakieś ./sdfwe.pl które siedziały
sobie w pamięci ram - całe szczęście że logi serwera ftp nakierowały mnie
na dobry trop.

--
Artur 'Bzyk' Frydel
"W Królestwie Środka nigdy nie wiadomo, co jest przysłowiem, a co zwykłą
bzdurą. Dla ucha cudzoziemca jedno i drugie brzmi niebezpiecznie podobnie."

do góry

Grzegorz Staniak wrote:
> Wielogodzinne? Naprawdę? Dlaczego wielogodzinne?

Duże serwisy pocztowe np. Gmail za każdym razem używają innego IP do
połączeń wychodzących, przez co często występują ponad 15-godzinne
opóźnienia.

do góry

On Mon, 10 Aug 2009 22:22:30 +0200, Colin <m...@g...com>
wrote:

> Duże serwisy pocztowe np. Gmail za każdym razem używają innego IP do
> połączeń wychodzących, przez co często występują ponad 15-godzinne
> opóźnienia.

Dobry administrator powinien mieć przygotowaną whitelistę na
takie przypadki.

I tak, to zachowaie Gmaila jest kretyńskie.

r.
--
____________________________________________________
_____________
robert rędziak mailto:giekao-at-gmail-dot-com

I hope they don't fart at Greenpeace. That's bad for Gaia.

do góry

On 10.08.2009, RoMan Mandziejewicz <r...@p...pl> wroted:

>> Ale wiesz z grubsza jak to działa? Że widełki okresu
>> opóźnienia są konfigurowalne, a widziane wcześniej trójki
>> ip_klienta/nadawca/odbiorca są wpuszczane bez opóźnienia?
>
> Teoretycznie. Praktyka była jak powyżej.

Z całym szacunkiem: nie wierzę. Zbyt wiele razy śledziłem przesyłki
w logach i widziałem opóźnienia liczone w minutach. Najprawdopodobniej
wyjąłeś z logów kilka skrajnych przypadków.

> Absurdalnie i
> niedopuszczalnie. I nie było z kim rozmawiać, żeby to qrestwo
> wyłączyć.

Po pierwszym razie samo się wyłącza. Praktycznie.

GS
--
Grzegorz Staniak <gstaniak _at_ wp [dot] pl>
Nocturnal Infiltration and Accurate Killing

do góry

On 10.08.2009, Colin <m...@g...com> wroted:

>> Wielogodzinne? Naprawdę? Dlaczego wielogodzinne?
>
> Duże serwisy pocztowe np. Gmail za każdym razem używają innego
> IP do połączeń wychodzących, przez co często występują ponad
> 15-godzinne opóźnienia.

Uwierzyłbym, gdybym sam nie miał konta na GMailu, skąd idą forwardy
do skrzynki w firmie. Nigdy nie zarejestrowałem opóźnienia liczonego
w godzinach.

GS
--
Grzegorz Staniak <gstaniak _at_ wp [dot] pl>
Nocturnal Infiltration and Accurate Killing

do góry

Artur Frydel pisze:
> Marek Marczykowski wrote:
>> On 2009-08-09, Przemysław Gubernat <r...@W...r3pc10.pl.na.newsach> wrote:
>>> Szymon Sokół pisze:
>>>> On Sun, 09 Aug 2009 14:49:01 +0200, Lemat wrote:
>>>>
>>>>> Więc kolejnym krokiem spamerów będzie soft kradnący loginy i hasła lub
>>>> To już robią. Miałem już parę przypadków spamu nadanego przez nasz webmail,
>>>> ewidentnie za pomocą przechwyconego hasła. Ale to jest na razie margines...
>>>>
>>> Mam przypadek(i) spamu wysyłanego po autoryzacji SMTP AUTH :/
>>> Nie często, ale jest ... raz na kwartał.
>> Ja za to miałem przypadek wysyłania spamu przez webmail. Jak blokowanie
>> tcp/25 będzie standardem to takie akcje też będą normalne, ale dużo
>> łatwiej z tym walczyć (filtry na pocztę wychodzącą + blokowanie userów).
>>
>
> Ja ostanio na jednej z maszyn (ftp/www/poczta) miałem przypadek, gdzie
> przez haknięte konto ftp został wrzucony skrypt perla który się wykonał,
> usunął i zrobił z smtp jesień średniowiecza (czyli open relaya).
>
> Oczywiście wszystko było robione przez bota (hack konta, skrypty itp).
> Dość sprytne, bo ps aux pokazywał tylko jakieś ./sdfwe.pl które siedziały
> sobie w pamięci ram - całe szczęście że logi serwera ftp nakierowały mnie
> na dobry trop.
>

to juz powinno nasunac trop bo nazwa niezwiazana z niczym
swoja droga to dobrotliwy jestes ze wszystkie konta maja dostep do
powloki i na dodatek maja prawa wykonywac skrypty ktore maja dostep do
plikow "systemowych" ...

--
Adam

do góry

Użytkownik Colin napisał:

>> Wielogodzinne? Naprawdę? Dlaczego wielogodzinne?
> Duże serwisy pocztowe np. Gmail za każdym razem używają innego IP do
> połączeń wychodzących, przez co często występują ponad 15-godzinne
> opóźnienia.
Polecam połączyć sobie greylisting z np. SPF.

--
Wojtuś.net

do góry

Adam Paluch <a...@-...com.pl> wrote:
> to juz powinno nasunac trop bo nazwa niezwiazana z niczym
> swoja droga to dobrotliwy jestes ze wszystkie konta maja dostep do
> powloki i na dodatek maja prawa wykonywac skrypty ktore maja dostep do
> plikow "systemowych" ...

A czemu miałyby mieć dostęp do plików systemowych? Zapewne skrypt słuchał
na innym porcie i relayował (czy lepiej: forwardował) via lokalne SMTP.

Ponc
--
Kto misiowi urwał ucho?

do góry

Adam Paluch wrote:
>
> to juz powinno nasunac trop bo nazwa niezwiazana z niczym
> swoja droga to dobrotliwy jestes ze wszystkie konta maja dostep do
> powloki i na dodatek maja prawa wykonywac skrypty ktore maja dostep do
> plikow "systemowych" ...
>

Żadne z kont ftp nie ma dostępu do shella. Mają za to dostęp do www. Jest
tak jak napisał Tomek powyżej. Wraży kod robił relaya via 127.0.0.1. Logi
ftp pokazują wrzutke pliku, zmianę praw i usunięcie pliku - podejrzewam że w
międzyczasie coś wię wykonało via www. No a potem to już była jatka :)


--
Artur 'Bzyk' Frydel
"W Królestwie Środka nigdy nie wiadomo, co jest przysłowiem, a co zwykłą
bzdurą. Dla ucha cudzoziemca jedno i drugie brzmi niebezpiecznie podobnie."

do góry

Dnia Mon, 10 Aug 2009 19:33:38 +0200, RoMan Mandziejewicz napisał(a):

> Jak na razie, to jedyny efekt działań greylist, to wielogodzinne
> opóźnienia w dostarczaniu poczty. Absurd i tyle. Skuteczność antyspamowa
> - zerowa.

Greylist po OS działa całkiem sprawnie i ma zaskakująco dobrą skuteczność.

--
xbartx - Xperimental Biomechanical Android Responsible for Thorough
Xenocide

do góry