Еще немного о взломах
Nov. 25th, 2007 03:52 am![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
antonborisovВсе уже знают о взломах журналов. Пишут о том, что ломают через сервер mail.ru. Много пишут о том, что сервер имеет “дыры”, через которые “шутники” очень легко взламывают почтовые ящики.
Вполне возможно, что оно так и есть. Однако, есть еще много способов, “благодаря” которым, злоумышленник может очень легко стать “хозяином” вашего почтового ящика.
Вот, к примеру, один из способов.
Получил я такое вот письмо.
Здравствуйте!
За последнюю неделю было произведено большое количество попыток несанкционированного доступа
к Вашему почтовому ящику.
Для того чтобы наша служба поддержки смогла предоставить дополнительные средства для обеспечения безопасности вашего почтового ящика, нам необходимо удостовериться, что в системе находитесь вы, а не другой пользователь под вашим именем.
Более подробная информация по данному вопросу и форма для подтверждения ваших прав на этот
п/я находится по адресу:
Дальше идет адрес, (правильно это назывется URL)очень длинный. На первый взгляд кажется, что адрес этот действительно должен вести на mail.ru потому что начало адреса примерно такое:
http://r.mail.ru/
Как я уже написал выше, адрес очень длинный. Если кто-то, по невнимательности, “кликнет” на этот адрес URL, то он попадет на страницу с формой, в которую нужно, якобы, ввести данные. После того, как данные введены, можно считать, что адрес уже украден. Как и то, что вся ваша очень личная информация стала известна еще кому-то, кроме вас.
Или может так оказаться, что “кликнув” на этот адрес, к вам на компьютер радостно “прыгнет” небольшая программка, в простонародье называемая “троян”. В этом случае, вам “крупно повезет”, потому что она и без вашего труда будет отсылать “доброжелателю” всю вашу личную и важную информацию. Вам для этого совсем не нужно будет напрягаться. Она все за вас сделает.
Чтобы заполнить форму достаточно просто нажать на ссылку или скопировать её в окно вашего браузера.
В случае если ваши данные окажутся не верными Администрация Mail.Ru будет в праве заблокировать ваш почтовый ящик.
Так как будет предполагаться, что ящик используется злоумышленником завладевшим вашим паролем.
Служба поддержки пользователей Mail.Ru
Как можно распознать, действительно ли письмо это от Администрации сервера, или от “доброжелателя”?
Очень просто.
Для этого нужно знать совсем немногое. А именно.
1. Никогда не кликайте ни на какие линки в письмах и не открывайте никаких вложений. Особенно это касается тех писем, которые пришли к вам от неизвестного вам человека.
2. Всегда помнить очень простую вещь: — как правило, Администраторы серверов никогда не рассылают подобных писем. Тем более, их не рассылают Администраторы серверов с бесплатной почтой.
Во-первых, им некогда это делать.
Во-вторых, — им все равно, украдут у кого-то почтовый ящик или нет.
На каждом почтовом сервере есть страница с правилами, что нужно сделать, чтобы обезопасить свой почтовый ящик. Написав эти правила, Администрация считает здесь свою работу законченной. Все. Они сделали все возможное, все остальное в руках пользователя и на его совести.
3. Нужно быть внимательным, и ничего больше.
Что я имею в виду. Приведу полностью служебную информацию того самого письма, которое я получил. В ней очень много несуразностей, которые могут, даже очень мало разбирающемуся в компьютерах пользователю, показать то, что на самом деле письмо пришло не оттуда, откуда оно, якобы, пришло.
Прошу прощения за тавтологию, но это, действительно, так.
Итак, вот информация:
Return-path: <detochky@detochky.ru>
Первая строчка, на самом деле, должна показывать настоящий адрес, с которого прислано письмо. Обратите внимание, здесь вообще нет даже намека на домен mail.ru. Хотя, если письмо прислано оттуда, этот домен обязательно должен быть указан. Кстати, вполне может оказаться, что злоумышленник имеет этот адрес и пишет с него. Просто, злоумышленник еще “зелен”, а потому не имеет опыта подставлять адреса.
Received: from [80.93.48.176] (port=54453 helo=taukita.com)
Вторая строчка тоже может многое сказать. По IP адресу можно попробовать определить, через какого провайдера письмо отправляется. Я попробовал это сделать. Вот что об этом адресе рассказал whoise server.
organisation: ORG-CL37-RIPE
org-name: Concorde Ltd.
org-type: LIR
address: Prof. Popova str. 37 B
address: 197376
address: Saint-Petersburg
address: Russian Federation
phone: +78123477743
fax-no: +78123477743
role: PeterHost.Ru NOC
address: Professora Popova street, 37B
address: 199178, St-Petersburg, Russia
phone: +7 812 3477743
abuse-mailbox: abuse@peterhost.ru
На самом деле, информации было больше, но я убрал строчки, абсолютно ничего не говорящие. Но оставил те, которые могут помочь. В том случае, конечно, если кто-то решится вступить в контакт с провайдером того самого “деятеля”, приславшего письмо. Среди информации есть полный адрес провайдера; здесь хорошо видно, что наш провайдер находится в славном городе Санкт-Петербурге, есть номер телефона и даже факса, также есть и email адрес, который я выделил. Я имею в виду abuse-mailbox. Это как раз тот адрес, куда следует посылать жалобы о нарушителях.
Следующие служебные строки этого письма менее интересны.
Received-SPF: pass (mx32.mail.ru: domain of detochky.ru designates 80.93.48.176 as permitted sender)
Разве что вот эта. Она говорит о том, что такой домен detochky.ru действительно существует. И что ему разрешено отсылать письма на mail.ru.
Кстати, я проверил этот домен через whoise cервер тоже. Он мне выдал абсолютно сходную с тем IP адресом информацию. Имею в виду адрес, о котором я писал выше.
На этом я бы, пожалуй, и закончил, но нет. Бонус!
From: Администрация Mail.Ru Предупреждает! <sapportus@mail.ru>
Как думаете, о чем может говорить то слово, которое я выделил? А именно — sapportus
Правильно. Всего лишь о том, что “доброжелатель” еще и “двоечник”!
Update. Все же я проверил и “сходил” по тому адресу, который в письме. Со своего компьютера на котором стоит FreeBSD. Вы этого лучше не делайте.
В адресе идет переброска на какой-то украинский сервер.
Хакерской страницы на этом сервере уже нет. Есть только запись.
Доступ к запрошенной вами странице запрещен по административным причинам.
То есть, хакерскую страницу “прибили”.
В общем, будьте внимательны!
Всех Вам благословений!
Запись оттранслирована из моего журнала |
|---|
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
Можно вопрос?
Date: 2007-11-25 05:54 pm (UTC)Re: Можно вопрос?
Date: 2007-11-25 06:33 pm (UTC)Если коротко, то вас быстро перебросят на другой сайт. А именно, куда-то на Украину.
Re: Можно вопрос?
Date: 2007-11-25 06:37 pm (UTC)А вот дальше, как раз, идет перебрасывание совсем на другой сервер.
Re: Можно вопрос?
Date: 2007-11-25 09:21 pm (UTC)Адрес вроде r.mail.ru/cln2863/XYZ
Идем, получаем "302 Found" на XYZ - понятно.
А откуда и зачем на mail.ru перебросчик куда хошь?
Re: Можно вопрос?
Date: 2007-11-25 09:40 pm (UTC)Re: Можно вопрос?
Date: 2007-11-25 09:42 pm (UTC)Re: Можно вопрос?
Date: 2007-11-25 09:53 pm (UTC)Re: Можно вопрос?
Date: 2007-11-25 09:54 pm (UTC)спасибо за наводку, пошел фишить, гыгы
Re: Можно вопрос?
Date: 2007-11-28 05:28 pm (UTC)Мэйл - не только почта, это и портал. Все порталы (Яндекс и Рамблер тоже) имеют такие редиректоры, с которых (онлайн или по логам, это уж как угодно) снимается статистика переходов по порталу. Посмотрите, в частности, ссылки на новости на голове mail.ru - все идёт через r. У Рамблера всё идёт через /click?...
Другое дело, что редиректор, как и мирный атом, можно использовать в дурных целях...