Puste maile z ossscan*tenablesecurity.com

[Ubek308]

Ostatnio dostaje puste maile z główkami jak nizej.

----------------------------- cut --------------------------------
From MAILER-DAEMON Sat Dec 13 08:56:25 2014
Return-Path: <MAILER-DAEMON>
Received: from ossscan7.oss.tenablesecurity.com (scanning-service-7.nessus.org [4.79.179.81])
--------------------------- end ----------------------------------

Niby ktos skanuje ale czy z porządności czy checi zrobienia dowcipu tego wykapowac nie moge.
Ktokolwiek slyszal, ktokolwiek wie ...

[igotit4free]

Nie do końca rozumiem czym się kierujesz? Dostajesz spam. Ze spamem postępuje się w jeden, ściśle określony sposób. W czym leży twój problem?

[Ubek308]

(Temat zmienilem).

To nie do konca jasne ze to spam.
Mail nie moze przyjsc "From MAILER-DAEMON" bez domeny bo sendmail odrzuci.
Poza tym - co to za spam jak mail jest pusty.

I przepraszam ale nie wkleilem jednej linijki, przegapilem.
Mail wyslany jest do:
for <nobody+"|sleep 1; ping -p cafebabe -c 3 ossscan7.oss.tenablesecurity.com"@localhost>

To dopiero mnie interesuje.

[igotit4free]

Wybacz porównanie, ale kojarzy mi się to z sytuacją człowieka któremu ptak narobił na głowę... zamiast rozłożyć parasol zastanawiasz się czy to był gołąb, czy wrona. Znasz nadawcę? Spodziewasz się wiadomości od niego? Jeśli nie, to jest to spam i tyle. Odetnij, zapomnij.

[jacekalex]

Mail nie moze przyjsc "From MAILER-DAEMON" bez domeny bo sendmail odrzuci.

Masz w domenie (strefa DNS) ustawiony rekord SPF?

Pytam, bo takie bzdurne zwrotki to typowa sytuacja, kiedy ktoś podszywa się pod Twoją domenę,
i spamuje ile wlezie.
Nie znam żadnego admina, który by się zmartwił zawartością zwrotek filtrów spamowych, a jak ktoś się podszywa pod twoją domenę, to odpowiedź na podstawie danych z DNS leci do Ciebie.

Kiedyś u mnie pojawiało się około 5000 takich zwrotek dziennie (z różnych serwerów i domen),
SPF rozwiązał problem w ciągu 72 godzin.


PS.
Jeśli to z jednej domeny leci, to napisz zgłoszenie an adres abuse@tenablesecurity.com albo postmaster@tenablesecurity.com,
z prośbą o wyjaśnienie, co jest grane.

To by było na tyle

[Ubek308]

Wybacz porównanie, ale kojarzy mi się to z sytuacją człowieka któremu ptak narobił na głowę... zamiast rozłożyć parasol zastanawiasz się czy to był gołąb, czy wrona.

Owszem, ale zycie nauczylo mnie przyglądac sie drobiazgom.
Kiedys zwykly 'ls' dziwnie wyswietlal liste plikow.
Bardzo minimalnie inaczej choc juz nie pamietam szczegolow.
Pokazalem to adminowi z wiekszym doswiadczeniem, jak zaczal sie przygladac - znalazl nieproszonego goscia na serwerze.
/bin/ls bylo podmienione i zbieralo nasze hasla do pliku, mialo juz kilkanascie.

TAKIE rzeczy mnie interesują.
Hacker nie wrzuca bannera z napisem "Witajcie, oto jestem".
Malutkie, prawie niezauwazalne objawy, wspola cecha: nietypowe, takie jakich do tej pory nie spotkalem.

Wysylanie maila do "pipe" to BARDZO zly znak jesli nie ja sam to robie. Jak mail gdzies dociera - jeszcze gorszy.
Niemniej - poczytawszy Google tez doszedlem do tego ze chyba ktos wysyla maile podszywajac sie pode mnie i ja dostaje zwrotki.
Powiedzmy ze temat zamkniety poki nic nowego sie nie wydarzy.

PS:
SPF-a zrobic nie moge, mam hosta na noip.com

[jacekalex]

SPF-a zrobic nie moge, mam hosta na noip.com

Możes, tylko trzeba umieć, wtedy możesz dać np:

Kod: Zaznacz cały

"v=spf1 a  mx -all"

[Ubek308]

Znam rekord SPF. Ustawialem niejednokrotnie.
Moge ale za kase. Az tak bardzo stalej nazwy nie potrzebuję.

"TXT, SPF, and SRV records and the use of some special clients are Plus / Enhanced features.
Upgrade now to use them."

[jacekalex]

To oszczaj noip, na Freedns42 mam całą domenę na zmiennym obecnie IP, i wszystko śmiga.