Jump to content

Checagem de dados roubados para envio de spam


bdlc

Recommended Posts

Pessoal,

Hoje nos deparamos em log de vários servidores nossos uma pré-checagem de dados roubados para contas de e-mail. O processo é simples, consiste em um envio de uma mensagem, autenticada na conta do usuário com os dados roubados (99,99% com uso de senha fraca), contendo todos os dados roubados no campo assunto da mensagem, vejam:

2018-06-07 09:13:29 1fQtnE-002tPX-EW <= renata@vivXXXXsil.com.br H=([127.0.0.1]) [109.225.191.137]:52028 P=esmtpsa X=TLSv1:ECDHE-RSA-AES256-SHA:256 CV=no A=dovecot_plain:renata@viXXXXsil.com.br S=756 id=FDF44BDA.4641878@viXXXXsil.com.br T="mail.viXXXXsil.com.br:587:renata@viXXXXsil.com.br:flora123:renata@viXXXXas" for mail38@rexstartnow.com

Em nosso caso, todos os envios foram destinados ao e-mail mail38@rexstartnow.com. Eu recomendo que todos verifiquem os seus servidores e antecipem a qualquer problema de envio de SPAM, o que pode causar o bloqueio do seu IP em listas negras. Por aqui somente encontramos o teste dos dados de acessos em dezenas de contas, sem nenhum envio de SPAM ainda.

Para fazer uma pesquisa em seus logs, utilize o comando abaixo:

grep rexstartnow.com /var/log/exim_mainlog | grep "T=\"mail\."

Espero ter ajudado!

Abraço, Bruno.

Link to comment
Share on other sites

  • Administration

Tive esse problema em 3 servidores de clientes os quais foram enviados para mail38@rexstartnow.com e mail39@rexstartnow.com
Bom saber que não fui o único rs....

Eu sou a existência que vocês chamam de "mundo". Ou talvez "universo", ou talvez "Deus", ou talvez "verdade", ou talvez "tudo", ou talvez "um".

Link to comment
Share on other sites

Owsbr,

Pela quantidade de registros que levantamos aqui, acredito que o esse ataque tenha atingido muitos servidores por aí. Infelizmente a maioria dos administradores não irá perceber antes do início do envio de SPAM.

Abraço, Bruno.

Link to comment
Share on other sites

  • Administration
1 minuto atrás, bdlc disse:

Owsbr,

Pela quantidade de registros que levantamos aqui, acredito que o esse ataque tenha atingido muitos servidores por aí. Infelizmente a maioria dos administradores não irá perceber antes do início do envio de SPAM.

Abraço, Bruno.

Pois é...Eu quanto o monitoramento bateu 30 e-mails na fila de e-mail já fui checar o que havia de errado rs...
Um dos problemas é que foi uma botnet BR ...Não veio da Russia, China, etc... foi algo nacional...com isso meu firewall não pegou =/ 

Mas o bom é ficar de olho rs..Acho que pode/deve vir algo pior por ai.

Eu sou a existência que vocês chamam de "mundo". Ou talvez "universo", ou talvez "Deus", ou talvez "verdade", ou talvez "tudo", ou talvez "um".

Link to comment
Share on other sites

Tenho observado que nosso AntiSpam Cloud Security tem bloqueado todos estes e-mails antes de chegar ao servidor de email, nossa equipe faz uma analise minuciosa para prevença de ataques deste tipo.

É sabido que isso não assegura 100% de proteção contra todas as ameaças – que a cada dia estão se tornando mais difíceis de detectar e solucionar – mas a definição das expectativas da Organização, com relação ao comportamento e os procedimentos necessários no manuseio de seus bens e ativos, deverá estar mais do que nunca enraizados na cultura da empresa ( treinamentos aos usuários, palestras etc ), pois a segurança não é só uma questão técnica, mas sim de política e educação corporativa.

Link to comment
Share on other sites

Sugiro um oneliner diferente para vc identificar quem está enviando tais mensagens:

 

grep rexstartnow.com /var/log/exim_mainlog | grep "A=dovecot_plain" | awk -Fdovecot_plain '{ print $2 }' | awk '{ print $1 }' | sed 's/^\://g' | sort | uniq -c | sort -g

 

O retorno será a lista de emails que autenticaram tais mensagens no Exim ordenadas pela quantidade de mensagens enviadas por cada conta.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

Do you agree with our terms?