Checagem de dados roubados para envio de spam

[bdlc]

Pessoal,

Hoje nos deparamos em log de vários servidores nossos uma pré-checagem de dados roubados para contas de e-mail. O processo é simples, consiste em um envio de uma mensagem, autenticada na conta do usuário com os dados roubados (99,99% com uso de senha fraca), contendo todos os dados roubados no campo assunto da mensagem, vejam:

2018-06-07 09:13:29 1fQtnE-002tPX-EW <= renata@vivXXXXsil.com.br H=([127.0.0.1]) [109.225.191.137]:52028 P=esmtpsa X=TLSv1:ECDHE-RSA-AES256-SHA:256 CV=no A=dovecot_plain:renata@viXXXXsil.com.br S=756 id=FDF44BDA.4641878@viXXXXsil.com.br T="mail.viXXXXsil.com.br:587:renata@viXXXXsil.com.br:flora123:renata@viXXXXas" for mail38@rexstartnow.com

Em nosso caso, todos os envios foram destinados ao e-mail mail38@rexstartnow.com. Eu recomendo que todos verifiquem os seus servidores e antecipem a qualquer problema de envio de SPAM, o que pode causar o bloqueio do seu IP em listas negras. Por aqui somente encontramos o teste dos dados de acessos em dezenas de contas, sem nenhum envio de SPAM ainda.

Para fazer uma pesquisa em seus logs, utilize o comando abaixo:

grep rexstartnow.com /var/log/exim_mainlog | grep "T=\"mail\."

Espero ter ajudado!

Abraço, Bruno.

[NullRoute]

Tive esse problema em 3 servidores de clientes os quais foram enviados para mail38@rexstartnow.com e mail39@rexstartnow.com
Bom saber que não fui o único rs....

[bdlc]

Owsbr,

Pela quantidade de registros que levantamos aqui, acredito que o esse ataque tenha atingido muitos servidores por aí. Infelizmente a maioria dos administradores não irá perceber antes do início do envio de SPAM.

Abraço, Bruno.

[NullRoute]

1 minuto atrás, bdlc disse:

Owsbr,

Pela quantidade de registros que levantamos aqui, acredito que o esse ataque tenha atingido muitos servidores por aí. Infelizmente a maioria dos administradores não irá perceber antes do início do envio de SPAM.

Abraço, Bruno.

Pois é...Eu quanto o monitoramento bateu 30 e-mails na fila de e-mail já fui checar o que havia de errado rs...
Um dos problemas é que foi uma botnet BR ...Não veio da Russia, China, etc... foi algo nacional...com isso meu firewall não pegou =/ 

Mas o bom é ficar de olho rs..Acho que pode/deve vir algo pior por ai.

[ABREU]

Tenho observado que nosso AntiSpam Cloud Security tem bloqueado todos estes e-mails antes de chegar ao servidor de email, nossa equipe faz uma analise minuciosa para prevença de ataques deste tipo.

É sabido que isso não assegura 100% de proteção contra todas as ameaças – que a cada dia estão se tornando mais difíceis de detectar e solucionar – mas a definição das expectativas da Organização, com relação ao comportamento e os procedimentos necessários no manuseio de seus bens e ativos, deverá estar mais do que nunca enraizados na cultura da empresa ( treinamentos aos usuários, palestras etc ), pois a segurança não é só uma questão técnica, mas sim de política e educação corporativa.

[patrickheinz]

Sugiro um oneliner diferente para vc identificar quem está enviando tais mensagens:

 

grep rexstartnow.com /var/log/exim_mainlog | grep "A=dovecot_plain" | awk -Fdovecot_plain '{ print $2 }' | awk '{ print $1 }' | sed 's/^\://g' | sort | uniq -c | sort -g

 

O retorno será a lista de emails que autenticaram tais mensagens no Exim ordenadas pela quantidade de mensagens enviadas por cada conta.