Spammers con nuevas técnicas

Imagen de Epe

Tema: 

Vaya vaya, lo postearé enseguida en llugshispammer.org

Resulta ser que el otro día me contactaron de AOL porque desde un servidor mío se enviaba spam, hum, fui decidido a partir al usuario que andaba en eso, como siempre... y gracias a los logs de aol, logré determinar el usuario en cuestión... resulta ser que tenía de clave... su nombre de usuario!!!

qué hacen los spammers ahora? Tratan de averiguar la clave de un usuario, pero sin mucha sofisticación, sencillamente prueban usuarios los cuales saben que existen en internet (quizá porque su mail sale en algún lugar) y entonces verifican que su clave sea el mismo nombre de usuario.

Aunque no lo crean pasa.

Yo primero pensé que era cuestión de una sola vez.. y le cambiamos la clave a todos los usuarios de ese sitio (todos tenian de clave su nombre de usuario)... y lo dejé ahi pues pensé que había sido casualidad.

Pero la casualidad se repitió... hoy por la mañana otro reporte de aol desde otro servidor.. usuario=clave.... y ahi me preocupé.. porque en ese mismo servidor otro caso: usuario=clave.. caramba, definitivamente eso de poner de clave tu usuario parece ser una cuestión bien generalizada.

Ahora usaré el programa Crack para determinar usuarios con claves débiles en nuestros servidores, cambiarles y advertirles.. porque casualidad es una vez.. pero ya 3 entra en el terreno de técnicas de spam.. ya es algo a propósito.

Más tarde explico cómo utilizar lo del crack.

saludos
epe

Comentarios

yo tuve un problema parecido

Imagen de Ascii

yo tuve un problema parecido la semana pasada , supongo que es el mismo troyano.
Recibi una notificacion de AOL de que un servidor mio estaba enviando Viagra. Lo extraño del caso es que ese servidor solo acepta mensajeria autenticada, por lo que nunca nunca cae en listas negras.
Revisando logs resulta que uno de nuestros clientes estaba enviando volumen de mensajeria usando su contraseña, no revise la clave pero supongo que sea lo mismo.

salu2

eso del troyano me parece

Imagen de Epe

eso del troyano me parece curioso. Este último ataque provenía de decenas de direcciones y todas usaban admin/admin .... cmo que alguien en concierto las puso todas a enviar.

En las dos ocasiones anteriores fueron envíos simples (Desde una sola IP). Revísales las claves a todos, usa john the ripper... está corriendo hace par de horas y ya ha sacado varias (50% de usuarios) claves fáciles.

Saludos
epe
--
NuestroServer.com
Ecuador: +(593) 9 9246504, +(593) 2 600 4454
USA: +1 305 359 4495, España: +34 91 7617884


Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

no uso passwd/shadow para

Imagen de Ascii

no uso passwd/shadow para mis cliente, las tengo todo en una base de datos mysql con los password encriptados en md5.
Puedo hacer un pequeño script que haga eso. Segun vi el ataque es al puerto 25 , si desactivo la autenticacion en ese puerto y solo la dejo en 587 supongo que obtenga el mismo resultado.

salu2

hazle el scripy, a la final

Imagen de Epe

hazle el scripy, a la final es obtener un /etc/passwd a la antigua (Cuando incluidan su clave ahi mismo)

sobre desactivar la auth por el 25 sería simplemente una medida temporal.. porque enseguida usarán el 587 (en nuestro caso lo tenemos abierto pues los clientes vienen de todo el mundo).

Saludos
epe
--
NuestroServer.com
Ecuador: +(593) 9 9246504, +(593) 2 600 4454
USA: +1 305 359 4495, España: +34 91 7617884


Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

Explica como se usa el

Imagen de favrycio

Explica como se usa el crack, please, estos de aol dicen que soy spamer, una parte de mi log?, como se con que cuenta esta enviando?

Feb 9 12:56:42 mail MailScanner[947]: New Batch: Scanning 2 messages, 9846 bytes
Feb 9 12:56:42 mail MailScanner[947]: Spam Checks: Starting
Feb 9 12:56:43 mail postfix/smtpd[1952]: disconnect from mta209.mail.mud.yahoo.com[68.142.202.157]
Feb 9 12:56:44 mail postfix/smtp[1905]: BCD72B05C4: to=, relay=mx1.tirawa.com[217.174.210.77], delay=3169, status=sent (250 2.0.0 n19HqK1f019103 Message accepted for delivery)
Feb 9 12:56:44 mail postfix/smtp[1834]: AB54EB05CB: to=, relay=mail2.globotrek.ch[217.193.177.43], delay=3053, status=deferred (conversation with mail2.globotrek.ch[217.193.177.43] timed out while sending message body)
Feb 9 12:56:45 mail postfix/smtp[1862]: 66891B03D6: to=, relay=trend2.accessram.net[64.46.64.50], delay=3261, status=sent (250 Ok: queued as 0169C11FAAA)
Feb 9 12:56:46 mail postfix/smtp[1858]: 66891B03D6: to=, relay=galapagostraveller.com[209.51.149.28], delay=3262, status=sent (250 OK id=1LWaIp-0002YQ-8n)
Feb 9 12:56:46 mail postfix/smtp[1858]: 66891B03D6: to=, relay=galapagostraveller.com[209.51.149.28], delay=3262, status=sent (250 OK id=1LWaIp-0002YQ-8n)
Feb 9 12:56:46 mail postfix/smtp[1824]: AB54EB05CB: to=, relay=mail-fwd.mx.g19.rapidsite.net[199.239.254.18], delay=3055, status=sent (250 Backend Replied [26d60994.2795367328.801624.00-007.va1-mx25.stngva01.us.mxservers.net]: -0737712276 (Mode: normal))
Feb 9 12:56:47 mail postfix/smtpd[1948]: disconnect from srv1.puntonet.ec[190.12.32.4]
Feb 9 12:56:49 mail postfix/smtp[1870]: BCD72B05C4: to=, relay=mailin-02.mx.aol.com[64.12.137.89], delay=3174, status=sent (250 OK)
Feb 9 12:56:49 mail postfix/smtp[1870]: BCD72B05C4: to=, relay=mailin-02.mx.aol.com[64.12.137.89], delay=3174, status=sent (250 OK)
Feb 9 12:56:49 mail postfix/smtp[1870]: BCD72B05C4: to=, relay=mailin-02.mx.aol.com[64.12.137.89], delay=3174, status=sent (250 OK)

______________________
http://www.imapax.com