LINUX.ORG.RU
ФорумAdmin

Zimbra user@xxx.yy is hacked

 ,


1

2

Добрый день!
Случилась такая хрень, все пользователи почтовОГО сервера zimbra версия 8.8.8 получили письмо такого содержания:
отправитель user.AD@xxx.ru
получатель user.AD@xxx.ru

Return-Path: user@xxx.ru
Received: from mail.xxx.ru (LHLO mail.xxx.ru) (192.168.ххх.238) by
mail.xxx.ru with LMTP; Tue, 16 Oct 2018 02:06:32 +0300 (MSK)
Received: from localhost (localhost [127.0.0.1])
by mail.xxx.ru (Postfix) with ESMTP id 811B49437FB
for <user@xxx.ru>; Tue, 16 Oct 2018 02:06:32 +0300 (MSK)
X-Virus-Scanned: amavisd-new at ххх.ru
X-Spam-Flag: YES
X-Spam-Score: 12.334
X-Spam-Level: ************
X-Spam-Status: Yes, score=12.334 required=3 tests=[BAYES_50=0.8,
DATE_IN_FUTURE_12_24=3.199, DOS_OE_TO_MX=2.523,
FROM_IN_TO_AND_SUBJ=1.499, HELO_DYNAMIC_IPADDR=1.951,
RCVD_IN_DNSWL_NONE=-0.0001, RDNS_NONE=0.793, URIBL_BLOCKED=0.001,
XPRIO=1.568] autolearn=no autolearn_force=no
Received: from mail.xxx.ru ([127.0.0.1])
by localhost (mail.xxx.ru[127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id bxq6PTAp4tU4 for <user@xxx.ru>;
Tue, 16 Oct 2018 02:06:32 +0300 (MSK)
Received: from client-200.121.200.222.speedy.net.pe (unknown [ххх.ххх.ххх.ххх])
by mail.xxx.ru (Postfix) with ESMTP id 966CF943765
for <user@xxx.ru>; Tue, 16 Oct 2018 02:06:30 +0300 (MSK)
Message-ID: <AFBF774BA067839C8C44789354B0AFBF@SM702NEC2Q>
From: <user@xxx.ru>
To: <user@xxx.ru>
Subject: user@xxx.ru is hacked
Date: 16 Oct 2018 18:39:00 +0100
MIME-Version: 1.0
Content-Type: text/plain;
charset=«windows-1252»
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.5512
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512

Hello!

My nickname in darknet is sonny33.
I hacked this mailbox more than six months ago,
through it I infected your operating system with a virus (trojan) created by me and have been monitoring you for a long time.
If you don't belive me please check 'from address' in your header, you will see that I sent you an email from your mailbox.

Even if you changed the password after that - it does not matter, my virus intercepted all the caching data on your computer
and automatically saved access for me.

I have access to all your accounts, social networks, email, browsing history.
Accordingly, I have the data of all your contacts, files from your computer, photos and videos.

I was most struck by the intimate content sites that you occasionally visit.
You have a very wild imagination, I tell you!

During your pastime and entertainment there, I took screenshot through the camera of your device, synchronizing with what you are watching.
Oh my god! You are so funny and excited!

I think that you do not want all your contacts to get these files, right?
If you are of the same opinion, then I think that $515 is quite a fair price to destroy the dirt I created.

Send the above amount on my BTC wallet (bitcoin): 19D67Tgb3neJiTHd8pZDEBYmUn2qSjxEeB
As soon as the above amount is received, I guarantee that the data will be deleted, I do not need it.

Otherwise, these files and history of visiting sites will get all your contacts from your device.
Also, I'll send to everyone your contact access to your email and access logs, I have carefully saved it!

Since reading this letter you have 50 hours!
After your reading this message, I'll receive an automatic notification that you have seen the letter.

I hope I taught you a good lesson.
Do not be so nonchalant, please visit only to proven resources, and don't enter your passwords anywhere!
Good luck!

Что и где нужно прикрутить для предотвращения таких рассылок?
Спасибо.
P.S.: версию Zimbra поднял до 8.8.10


плати скорее, а то век потом не отмоешься! <fat mode=«off»/>

aol ★★★★★ ()

X-Spam-Score: 12.334
X-Spam-Level: ************

Ну и зачем вы спам с таким шкворцем пользователям отдаете?

Случилась такая хрень

«Случилось» - это когда в детстве описался/обкакался.

ЗЫ вангую проблема начинается отсюда: «почтовОГО»

anc ★★★★★ ()

Аналогичная проблема, но на postfix, в логах видно, что подключились из Бразилии, отправили письмо самому себе, пароль на адрес поменял, спустя неделю - аналогичное письмо. Троянов у пользователя не обнаружено.

bb8 ()

видел письма с заголовками from: <uberuser@superdomain> rcpt to: <uberuser@superdomain>, subject: uberuser@superdomain is hacked.

Внимания не придаю, так как успешно режется спаморезкой и пользователям такое письмо даже не попало. Спаморезка успешно увидела внешний ip отправителя.

Aborigen1020 ()
Ответ на: комментарий от bb8

Добавлю: mail.log

Oct 17 18:55:50 mail-server postfix/smtpd[13678]: connect from 93-43-176-212.ip93.fastwebnet.it[93.43.176.212]
Oct 17 18:55:50 mail-server postfix/smtpd[13678]: E0CAB2801CA: client=93-43-176-212.ip93.fastwebnet.it[93.43.176.212]
Oct 17 18:55:51 mail-server postfix/cleanup[13685]: E0CAB2801CA: message-id=<021405597273060412635170@***.ru>
Oct 17 18:55:51 mail-server postfix/qmgr[29950]: E0CAB2801CA: from=<mon@***.ru>, size=2358, nrcpt=1 (queue active)
Oct 17 18:55:51 mail-server postfix/smtpd[13678]: disconnect from 93-43-176-212.ip93.fastwebnet.it[93.43.176.212] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
Oct 17 18:55:55 mail-server postfix/pickup[13086]: 8C9D92816A8: uid=5001 from=<mon@***.ru>
Oct 17 18:55:55 mail-server postfix/cleanup[13685]: 8C9D92816A8: message-id=<021405597273060412635170@***.ru>
Oct 17 18:55:55 mail-server postfix/pipe[13686]: E0CAB2801CA: to=<mon@***.ru>, relay=spamassassin, delay=5.4, delays=1.2/0.01/0/4.2, dsn=2.0.0, status=sent (delivered via spamassassin service)
Oct 17 18:55:55 mail-server postfix/qmgr[29950]: E0CAB2801CA: removed
Oct 17 18:55:55 mail-server postfix/qmgr[29950]: 8C9D92816A8: from=<mon@***.ru>, size=2917, nrcpt=1 (queue active)
Oct 17 18:55:55 mail-server clamsmtpd: 11BE95: accepted connection from: 127.0.0.1
Oct 17 18:55:55 mail-server postfix/smtpd[13692]: connect from localhost[127.0.0.1]
Oct 17 18:55:55 mail-server postfix/smtpd[13692]: A551E2801CA: client=localhost[127.0.0.1]
Oct 17 18:55:55 mail-server postfix/cleanup[13685]: A551E2801CA: message-id=<021405597273060412635170@***.ru>
Oct 17 18:55:55 mail-server postfix/qmgr[29950]: A551E2801CA: from=<mon@***.ru>, size=3132, nrcpt=1 (queue active)
Oct 17 18:55:55 mail-server clamsmtpd: 11BE95: from=mon@***.ru, to=mon@***.ru, status=CLEAN
Oct 17 18:55:55 mail-server postfix/smtp[13690]: 8C9D92816A8: to=<mon@***.ru>, relay=127.0.0.1[127.0.0.1]:10025, delay=0.5, delays=0.34/0.01/0.05/0.1, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as A551E2801CA)
Oct 17 18:55:55 mail-server postfix/qmgr[29950]: 8C9D92816A8: removed
Oct 17 18:55:55 mail-server postfix/smtpd[13692]: disconnect from localhost[127.0.0.1] ehlo=1 xforward=1 mail=1 rcpt=1 data=1 quit=1 commands=6
Oct 17 18:55:55 mail-server postfix/pipe[13694]: A551E2801CA: to=<mon@***.ru>, relay=dovecot, delay=0.2, delays=0.1/0.02/0/0.09, dsn=2.0.0, status=sent (delivered via dovecot service)
Oct 17 18:55:55 mail-server postfix/qmgr[29950]: A551E2801CA: removed

Но в dovecot.log нет записей об попытках 93.43.176.212

Каким образом mon@***.ru с 93.46.176.212 отправляет письмо самому себе?

bb8 ()
Ответ на: комментарий от Deleted
Тема: 	mon@***.ru is hacked
Дата: 	17 Oct 2018 18:33:54 +0100
От: 	mon@***.ru
Кому: 	*** <mon@***.ru>


Hello!

My nickname in darknet is spiros72.
I hacked this mailbox more than six months ago, 
through it I infected your operating system with a virus (trojan) created by me and have been monitoring you for a long time.

So, your password from mon@***.ru is ***

Even if you changed the password after that - it does not matter, my virus intercepted all the caching data on your computer
and automatically saved access for me.

I have access to all your accounts, social networks, email, browsing history.
Accordingly, I have the data of all your contacts, files from your computer, photos and videos.

I was most struck by the intimate content sites that you occasionally visit.
You have a very wild imagination, I tell you!

During your pastime and entertainment there, I took screenshot through the camera of your device, synchronizing with what you are watching.
Oh my god! You are so funny and excited!

I think that you do not want all your contacts to get these files, right?
If you are of the same opinion, then I think that $837 is quite a fair price to destroy the dirt I created.

Send the above amount on my BTC wallet (bitcoin): 1EZS92K4xJbymDLwG4F7PNF5idPE62e9XY
As soon as the above amount is received, I guarantee that the data will be deleted, I do not need it.

Otherwise, these files and history of visiting sites will get all your contacts from your device.
Also, I'll send to everyone your contact access to your email and access logs, I have carefully saved it!

Since reading this letter you have 48 hours!
After your reading this message, I'll receive an automatic notification that you have seen the letter.

I hope I taught you a good lesson.
Do not be so nonchalant, please visit only to proven resources, and don't enter your passwords anywhere!
Good luck!
bb8 ()

Для таких ситуаций придумали дмарк

anonymous ()

Сегодня тоже прилетело такое счастье на древний заброшенный институтский ящик, но на него настроена пересылка на действующий. Смущает, что пароль в письме не от ящика, но давно у меня был такой в одном государственном сервисе. На всякий случай поменял данные на новые (правда в обновленной версии сервиса, где и пароль давно другой).

TarANtuL ()

SCAM

Это тупой скам. Протокол SMTP был разработан без оглядки на безопасность. Любой может послать почту с любого существующего адреса. Единственная защита от получения таких поддельных писем - настроить SPF для своего домена.

MATPOC ()
Ответ на: SCAM от MATPOC

Re: SCAM

Мне аналогичные письма приходят, Вот интересно откуда он берет пароли? Они явно не от ящика, но были использованы мной когда то на других аккуаунтах.

anonymous ()
Ответ на: Re: SCAM от anonymous

Они и не берут пароли. Подделывают адрес отправителя и получателя, а почтовик не догадывается про такое.

Aborigen1020 ()
Ответ на: комментарий от anonymous

возможно. те, которые приходят, не читаю, режутся сразу, приходят на очень давно неактивных пользователей.

Надо будет заглянуть, почитать, что там.

Aborigen1020 ()
Ответ на: комментарий от anonymous

Вот это самому интересно, что за глобальная утечка данных? Забив в гугл характерную фразу из письма нашел много обсуждений данной рассылки. Причем пароли у всех не от ящиков, а от других сервисов. Например упоминался LinkId.

TarANtuL ()
Ответ на: комментарий от TarANtuL

Мне 3 раза письмо приходило и там было 3 разных моих пароля. Где утечка понять не могу :(

Messiah ()
Ответ на: комментарий от bignic

По теме я и написал, зачем спам с таким шкворцем пользователю отдавать? У меня он сразу удаляется.

anc ★★★★★ ()
Ответ на: комментарий от TarANtuL

Вот это самому интересно, что за глобальная утечка данных? Забив в гугл характерную фразу из письма нашел много обсуждений данной рассылки. Причем пароли у всех не от ящиков, а от других сервисов. Например упоминался LinkId.

Ваш вариант, на уровне предположения. Когда-то в каком-то сервисе где фигурирует ваш email увели пароль (вири, подобрали, утечка, &etc) т.е. получилась нехилая БД вида email - пароль, а так как многие юзеры используют одинаковый пасс везде, вот «пальцем в небо» и присылают.

А в целом достаточно много вирей забирающих пароли из популярных почтовых программ, да и просто кейлогеров. Помните обсуждения когда опубликовали достаточно крупные базы gmail, yandex, &etc, народ находил там свои пароли но в основном уже старые, т.е. база копилась не один год.

Так же боты подбирающие пароли на почтовые ящики как были, так и продолжают работать. Людей использующих простые пароли весьма много. Так что это тоже в копилку «откуда берут пароль»

anc ★★★★★ ()
Ответ на: SCAM от MATPOC

Единственная защита от получения таких поддельных писем - настроить SPF для своего домена

Не совсем верно. Начнем с того что MAIL FROM и то что написано в теле письма «это два разных человека». А вот про настройки почтаря и т.д. говорить можно долго. Только вот в конечном итоге как бы не настраивали, вы можете только уменьшить кол-во спама но не побороть его. Спамеру ничто не мешает зарегить-домен-настроить-честный-честный-почтарь и рассылать спам да и другие случаи возможны начиная от взломанных чужих почтарей заканчивая использованнием уведенного пароля от какогонить юзера.

anc ★★★★★ ()

Мне аж 3 письма пришло и судя по паролям в них — утечка от МРГ, потому что они у меня были установлены на ICQ. И как раз почта, на которую пришли письма, указана как Primary e-mail.

elanc ()
Ответ на: комментарий от elanc

потому что они у меня были установлены на ICQ

«Вспомнила бабка как девкой была» - теже продажи шестизнаков когда-то были очень «модными».

anc ★★★★★ ()
Ответ на: комментарий от anc

У меня высокий уровень спам-фильтра, эти письма пользователи вытаскивают из папки спам, куда оно собственно и попало....вопрос был в другом - чего поправить в настройках сервера, чтобы предотвратить подобную рассылку?

bignic ()
Ответ на: комментарий от bignic

У меня высокий уровень спам-фильтра, эти письма пользователи вытаскивают из папки спам

Повторюсь. Я с таким шкворцем, если быть точным больше 10, вообще удаляю. Больше 5-ти в папку спам. Судя по отсутствию жалоб со стороны пользователей, они у нас достаточно «напуганные», спаморезка работает как надо.

вопрос был в другом - чего поправить в настройках сервера, чтобы предотвратить подобную рассылку?

Тут «почти» как писали выше, на постфиксе возможно настроить проверку соответствия mail from и from в теле письма + наличие авторизации и т.д. К сожалению я не знаток постфикса (сэндмыло пользую), но тут, не так что бы давно пролетала подобная тема, думаю найдете. Поможет или нет, хз, у вас зимбра, а она как говорят рулится только через свой интерфейс, т.е. можно забыть про ручное исправление конфигов постфикса, но возможно сама тема наведет на мысли где в этой «зимбре» «галочки» поставить.

anc ★★★★★ ()
Ответ на: комментарий от TarANtuL

Messiah TarANtuL

пошли письма с темой вида: password (djkuju12hflgjhn20) for user@domain.tld is compromised

Связался с владелельцем уз, он сказал, что такой пароль указывал давно на какой-то площадке электронных торгов. Пароль на почте другой. А у вас к чему привели оперативно-розыскные мероприятия?

Aborigen1020 ()
Ответ на: комментарий от bignic

ну, значит просто рассылка такая.

client-200.121.200.222.speedy.net.pe
X-Mailer: Microsoft Outlook Express 6.00.2900.5512

ну все очевидно же.

Что и где нужно прикрутить для предотвращения таких рассылок?

обучить байес что такое письмо - спам. Не отдавать зачумленные письма пользователям во избежание вопросов.

Aborigen1020 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.