Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Momenteel zware spamrun?
04-02-2011, 11:36 door Anoniem, 9 reacties
Momenteel ervaren wij een zware spamrun. Hieronder een deel van de body als ontvangen door onze e-mail server.
Alle mails bevatten een link naar: hxxp://b.view13.com
Iemand meer informatie hier over?
Mogelijke oorzaak: http://isc.sans.edu/diary.html?storyid=10345
Body:
<html>
<head>
<meta http-equiv=3D"Content-Type" content=3D"text/html; charset=3Dbig5">
<title>ryvkqnrvzhd</title>
<meta name=3D"GENERATOR" content=3D"Microsoft FrontPage 6.0">
</head>
<p><font color=3D"#ffffff">=A5=D8=B6H=B9D=A5=B4=B0=D5=ABn=B9=EF=A4=C0=B0=B5=
=A7=F3=E0=B1=BE=C7=B9=EF</font></p>
<body>
<p><a href=3D"http://a.view13.com#ryvkqnrvzhd.google.com.tw"><font size=3D=
"5" color=3D"#8000FF"><strong>=ABH=C5A=B2=C4=A4@ =BA=F4=B8=F4=ADq=C1=CA =B0=
=AA=B5e=BD=E8DVD~=A5=FE=A5x=B3=CC=A7C=BB=F930=A4=B8!~!!
~!!</strong>
<P>=A1@</P><p>
<a rel=3D"nofollow" target=3D"_blank" href=3D"http://b.view13.com#ryvkqnrv=
zhd.mail.yahoo.com">
<font size=3D"6" color=3D"#FF0FB4"><b>=A2=B1=A2=AF=A4=F9=A5u=ADn=A2=B6=A2=AF=
=A2=AF=A4=B8=A1A=B6R=A4G=A6b=B0e=A4@</b>
<P>=A1@</P><p>
<a rel=3D"nofollow" target=3D"_blank" href=3D"http://c.view13.com#ryvkqnrv=
zhd.google.com.tw">
<font size=3D"6" color=3D"#FF0000"><b>=AC=DDA=A4=F9=A6A=A4]=A4=A3=A5=CE=AA=
=E1=BF=FA=A4F</b>
<P>=A1@</P><p>
<P>=A1@</P><p>
<font color=3D"#ffffff">=B9=EF=AB=C8=B1=C6=A4K=B6=B2=B6R=C3P=A9O=C6[=BA=F4=
=A3x=AE=A6=B3=CC=B2y</font></p>
</html>
Alle mails bevatten een link naar: hxxp://b.view13.com
Iemand meer informatie hier over?
Mogelijke oorzaak: http://isc.sans.edu/diary.html?storyid=10345
Body:
<html>
<head>
<meta http-equiv=3D"Content-Type" content=3D"text/html; charset=3Dbig5">
<title>ryvkqnrvzhd</title>
<meta name=3D"GENERATOR" content=3D"Microsoft FrontPage 6.0">
</head>
<p><font color=3D"#ffffff">=A5=D8=B6H=B9D=A5=B4=B0=D5=ABn=B9=EF=A4=C0=B0=B5=
=A7=F3=E0=B1=BE=C7=B9=EF</font></p>
<body>
<p><a href=3D"http://a.view13.com#ryvkqnrvzhd.google.com.tw"><font size=3D=
"5" color=3D"#8000FF"><strong>=ABH=C5A=B2=C4=A4@ =BA=F4=B8=F4=ADq=C1=CA =B0=
=AA=B5e=BD=E8DVD~=A5=FE=A5x=B3=CC=A7C=BB=F930=A4=B8!~!!
~!!</strong>
<P>=A1@</P><p>
<a rel=3D"nofollow" target=3D"_blank" href=3D"http://b.view13.com#ryvkqnrv=
zhd.mail.yahoo.com">
<font size=3D"6" color=3D"#FF0FB4"><b>=A2=B1=A2=AF=A4=F9=A5u=ADn=A2=B6=A2=AF=
=A2=AF=A4=B8=A1A=B6R=A4G=A6b=B0e=A4@</b>
<P>=A1@</P><p>
<a rel=3D"nofollow" target=3D"_blank" href=3D"http://c.view13.com#ryvkqnrv=
zhd.google.com.tw">
<font size=3D"6" color=3D"#FF0000"><b>=AC=DDA=A4=F9=A6A=A4]=A4=A3=A5=CE=AA=
=E1=BF=FA=A4F</b>
<P>=A1@</P><p>
<P>=A1@</P><p>
<font color=3D"#ffffff">=B9=EF=AB=C8=B1=C6=A4K=B6=B2=B6R=C3P=A9O=C6[=BA=F4=
=A3x=AE=A6=B3=CC=B2y</font></p>
</html>
Reacties (9)
Als je spam aanbied voor analyse kun je het beste het gehele bericht posten, headers en body. Wel alle email adressen verwijderen of onklaar maken.
De sites met het view13.com domein functioneren als redirectors naar Taiwanese porno sites.
Ik zie geen overeenkomst tussen Taiwanese porno spam en Sans' melding van phishing op Indonesische servers.
De sites met het view13.com domein functioneren als redirectors naar Taiwanese porno sites.
Ik zie geen overeenkomst tussen Taiwanese porno spam en Sans' melding van phishing op Indonesische servers.
De links die erin staan zijn allemaal aziatische porno sites.
http://a.view13.com - http://www.dvd850.com/web.php?u_id=avddd
http://b.view13.com - http://avcool.ggg-av.com/home/index.php
http://c.view13.com - http://avcool.av-usb.com/home/index.php
Waarschijnlijk sites die gehacked zijn en misbruikt zijn.
google transelate http://b.view13.com:
"2011 ? / 01 / 29 items sent gifts super super majority? ???????????????? Kamigata?????, landlord?Year holiday pleasure."
Deze website is nog wel gewoon actief alsof er niks aan de hand is.
Suc6 hiermee ^_^
Lup0
http://a.view13.com - http://www.dvd850.com/web.php?u_id=avddd
http://b.view13.com - http://avcool.ggg-av.com/home/index.php
http://c.view13.com - http://avcool.av-usb.com/home/index.php
Waarschijnlijk sites die gehacked zijn en misbruikt zijn.
google transelate http://b.view13.com:
"2011 ? / 01 / 29 items sent gifts super super majority? ???????????????? Kamigata?????, landlord?Year holiday pleasure."
Deze website is nog wel gewoon actief alsof er niks aan de hand is.
Suc6 hiermee ^_^
Lup0
Mogelijk is er geen verband met het bericht op Sans.
opvalend is de Date die in de toekomst ligt en de mails zijn niet voor onze organisatie bedoeld (nee, onze server accepteerd geen relay).
Tussen 10 en 11 uur ontvingen we ongeveer 1000 a 1500 berichten per minuut! Dit lijkt me toch zeer hoog als één ontvanger!
die links lijken mij ook een proxy of forward mechanisme
Aanvulling op bericht:
Received: from uhovvtf.yahoo.com (uhovvtf.yahoo.com [77.36.72.5]) by with Microsoft SMTPSVC(5.0.2195.6824);
Wed, 09 Feb 2011 00:35:06 +0200
Message-ID: <efxjfdqjptrdmvckdturynxg.1386798291699627324439@yahoo.com>
Date: Wed, 09 Feb 2011 00:43:06 +0200
From: "¡»¢i¢i¡»¡»¢i¢i¡´¡´¡»±þ!±þ!±þ!¨C¤ùDVDª½±µ¤U±þ40¤¸!" <ryvkqnrvzhd@yahoo.com>
Reply-To: "¡»¡´¡»¡»¡»Fw: ¥þ¥x³Ì¤j¼vµºô,¨C©P§ó·s,§ó¦³·s¤ù¤j©ñ°e!" <ryvkqnrvzhd@yahoo.com>
To: shengann@yam.com
Cc: tiffany.write@msa.hinet.net, say17@ms84.url.com.tw, new.super@msa.hinet.net, tby.tw@msa.hinet.net, 2027@so-net.net.tw, alan.ericchen@msa.hinet.net, re9741@ms9.hinet.net, tony56.chang@msa.hinet.net, lin.ckit@msa.hinet.net, mahjong.a1969@msa.hinet.net, kita.yama@msa.hinet.net, vivian03@ms14.hinet.net, tq.tq5556@msa.hinet.net, kevin333@mail.apol.com.tw, tyler.pong@msa.hinet.net
Subject: ¬ü»LOLÃM¨®¥t¤H¹I·Q+¼v¤ù-²]¿ºµ·Äû¬ü¤k
Mime-Version: 1.0
Content-Type: multipart/alternative;
boundary="--NextPart_h73m7_uf_uo_0vwt5jp3lu_nwli"
----NextPart_h73m7_uf_uo_0vwt5jp3lu_nwli
Content-Type: text/html;
Content-Transfer-Encoding: quoted-printable
<eerdere body>
----NextPart_h73m7_uf_uo_0vwt5jp3lu_nwli--
opvalend is de Date die in de toekomst ligt en de mails zijn niet voor onze organisatie bedoeld (nee, onze server accepteerd geen relay).
Tussen 10 en 11 uur ontvingen we ongeveer 1000 a 1500 berichten per minuut! Dit lijkt me toch zeer hoog als één ontvanger!
die links lijken mij ook een proxy of forward mechanisme
Aanvulling op bericht:
Received: from uhovvtf.yahoo.com (uhovvtf.yahoo.com [77.36.72.5]) by with Microsoft SMTPSVC(5.0.2195.6824);
Wed, 09 Feb 2011 00:35:06 +0200
Message-ID: <efxjfdqjptrdmvckdturynxg.1386798291699627324439@yahoo.com>
Date: Wed, 09 Feb 2011 00:43:06 +0200
From: "¡»¢i¢i¡»¡»¢i¢i¡´¡´¡»±þ!±þ!±þ!¨C¤ùDVDª½±µ¤U±þ40¤¸!" <ryvkqnrvzhd@yahoo.com>
Reply-To: "¡»¡´¡»¡»¡»Fw: ¥þ¥x³Ì¤j¼vµºô,¨C©P§ó·s,§ó¦³·s¤ù¤j©ñ°e!" <ryvkqnrvzhd@yahoo.com>
To: shengann@yam.com
Cc: tiffany.write@msa.hinet.net, say17@ms84.url.com.tw, new.super@msa.hinet.net, tby.tw@msa.hinet.net, 2027@so-net.net.tw, alan.ericchen@msa.hinet.net, re9741@ms9.hinet.net, tony56.chang@msa.hinet.net, lin.ckit@msa.hinet.net, mahjong.a1969@msa.hinet.net, kita.yama@msa.hinet.net, vivian03@ms14.hinet.net, tq.tq5556@msa.hinet.net, kevin333@mail.apol.com.tw, tyler.pong@msa.hinet.net
Subject: ¬ü»LOLÃM¨®¥t¤H¹I·Q+¼v¤ù-²]¿ºµ·Äû¬ü¤k
Mime-Version: 1.0
Content-Type: multipart/alternative;
boundary="--NextPart_h73m7_uf_uo_0vwt5jp3lu_nwli"
----NextPart_h73m7_uf_uo_0vwt5jp3lu_nwli
Content-Type: text/html;
Content-Transfer-Encoding: quoted-printable
<eerdere body>
----NextPart_h73m7_uf_uo_0vwt5jp3lu_nwli--
Aanvulling op bericht:
Received: from uhovvtf.yahoo.com (uhovvtf.yahoo.com [77.36.72.5]) by with Microsoft SMTPSVC(5.0.2195.6824);
Received: from uhovvtf.yahoo.com (uhovvtf.yahoo.com [77.36.72.5]) by with Microsoft SMTPSVC(5.0.2195.6824);
Weet je ook zeker dat je mailserver (Exchange?) geen authenticated SMTP ondersteund? Dit staat standaard namelijk ingeschakeld. Mogelijk wordt er een useraccount misbruikt om dit via je server door te sturen.
05-02-2011, 13:06 door
spatieman
hinet.net staat zowiezo bekend om haar spam origins.
Door Anoniem: [/i
Weet je ook zeker dat je mailserver (Exchange?) geen authenticated SMTP ondersteund? Dit staat standaard namelijk ingeschakeld. Mogelijk wordt er een useraccount misbruikt om dit via je server door te sturen.[/quote]
Ik weet zeker dat dit niet uit onze Exchange omgeving komt.
Uiteindelijk zijn we er achter wat er aan de hand is, blijkbaar denken de 'spammers' dat Relay via ons mogelijk zou zijn. Dit is echter niet het geval. We hebben de volgorde van binnenkomst ietswat veranderd waardoor relay mail gelijk gedropped wordt. Nu kwam het eerst via het spam filter binnen waardoor alle mail gelijk als SPAM in quarantaine werd gezet.
Ik zie geen andere uitleg, omdat alle (blijkt uit div. steekproeven) mail niet voor ons bestemd is.
De run is donderdag begonnen en nu maandag, nog steeds bezig. We krijgen ongeveer 3 miljoen berichten per dag binnen.
Weet je ook zeker dat je mailserver (Exchange?) geen authenticated SMTP ondersteund? Dit staat standaard namelijk ingeschakeld. Mogelijk wordt er een useraccount misbruikt om dit via je server door te sturen.[/quote]
Ik weet zeker dat dit niet uit onze Exchange omgeving komt.
Uiteindelijk zijn we er achter wat er aan de hand is, blijkbaar denken de 'spammers' dat Relay via ons mogelijk zou zijn. Dit is echter niet het geval. We hebben de volgorde van binnenkomst ietswat veranderd waardoor relay mail gelijk gedropped wordt. Nu kwam het eerst via het spam filter binnen waardoor alle mail gelijk als SPAM in quarantaine werd gezet.
Ik zie geen andere uitleg, omdat alle (blijkt uit div. steekproeven) mail niet voor ons bestemd is.
De run is donderdag begonnen en nu maandag, nog steeds bezig. We krijgen ongeveer 3 miljoen berichten per dag binnen.
Uiteindelijk zijn we er achter wat er aan de hand is, blijkbaar denken de 'spammers' dat Relay via ons mogelijk zou zijn. Dit is echter niet het geval. We hebben de volgorde van binnenkomst ietswat veranderd waardoor relay mail gelijk gedropped wordt.
Ok, er word dus verbinding gemaakt met je Exchange server vanaf een extern IP adres. Deze is vervolgens in staat om mail te relayen via je server. Gelukkig wordt dit in een later stadium tegengehouden door je spamfilter.
De kans is dus zeer groot dat je server authenticated SMTP ondersteund, zodra een spammer dus een gebruikersnaam/wachtwoord van één van je gebruikers heeft is deze in staat om 'in te loggen' op je mailserver en de berichten door te sturen. Deze optie zul je moeten uitschakelen in Exchange (Default SMTP Virtual Server Properties -> Relay Restrictions) en daar de optie 'Allow all computers which successfully authenticate te relay, regardless of the list above' uitvinken.
Ook kun je in je logs achterhalen vanaf welk IP de mail wordt aangeboden bij je server en deze blokkeren in je firewall. Dit is echter een tijdelijke oplossing omdat anders binnen no time de mail via een ander IP wordt aangeboden. Als je toch in de logfiles zit kun je gelijk het account controleren waarmee de spammer verbinding maakt met je mailserver.
Bedankt voor je reactie, alleen zit het bij ons zo niet in elkaar.
De mail komt via 2 routes binnen. (Primair en een fallback via een andere provider)
Het probleem deed zich op onze fallback verbinding voor. Deze stuurde de inkomende mail gelijk naar het SPAM filter (Dit is geen Exchange). Dus heel Exchange zit er nog niet tussen. Daarna zou de mail naar Exchange gestuurd worden en daar staat relay uit. Maar de mail werd al gelijk in het SPAM filter tegengehouden. Onze fout was dat de fallback connectie alle mail doorstuurde en niet alleen de accepted domains. Ondanks dat was relayen zowiezo niet mogelijk, maar nu kreeg het SPAM filter alles over zich heen.
We zijn de inkomende mails (die zowiezo van buitenaf binnenkwamen) gelijk inhoudelijk gaan bekijken en geen enkel bericht en connectie had hetzelfde IP adres. Vermoedelijk het werk van een botnet dus en geen interne infectie.
Deze thread kan ook gesloten worden. Het was dus geen overdreven grote spamrun, echter ging de gehele run ten onrechte over onze server. Het was een slechte run voor de spammers, want geen enkele mail is daadwerkelijk verstuuurd! :-p
ik dank u voor de reacties
De mail komt via 2 routes binnen. (Primair en een fallback via een andere provider)
Het probleem deed zich op onze fallback verbinding voor. Deze stuurde de inkomende mail gelijk naar het SPAM filter (Dit is geen Exchange). Dus heel Exchange zit er nog niet tussen. Daarna zou de mail naar Exchange gestuurd worden en daar staat relay uit. Maar de mail werd al gelijk in het SPAM filter tegengehouden. Onze fout was dat de fallback connectie alle mail doorstuurde en niet alleen de accepted domains. Ondanks dat was relayen zowiezo niet mogelijk, maar nu kreeg het SPAM filter alles over zich heen.
We zijn de inkomende mails (die zowiezo van buitenaf binnenkwamen) gelijk inhoudelijk gaan bekijken en geen enkel bericht en connectie had hetzelfde IP adres. Vermoedelijk het werk van een botnet dus en geen interne infectie.
Deze thread kan ook gesloten worden. Het was dus geen overdreven grote spamrun, echter ging de gehele run ten onrechte over onze server. Het was een slechte run voor de spammers, want geen enkele mail is daadwerkelijk verstuuurd! :-p
ik dank u voor de reacties
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
