Обнаружение ботнета для рассылки спама?

0

1

Реальная ситуация: Клиент продолбал пароль от почтового ящика.

Результат: через некоторое время с него начинают слать спам, что обнаручивается очень быстро (логины >3 разных стран за короткое время) и ящик заблокировался автоматом.

Дальше, все кто пытается им воспользоваться - однозначно участники ботнета?

Ссылка

←	Научите проводить анализ защищенности механизма проверки лицензии в клиент-серверных приложениях

WPA2 PSK

→

а при чем тут страны? устаревшие способы утификации же, мобили жэ есть. а так то нет, не участники если действий подходящих по спам не совершают по логикке так кажется получается.

~~dima1981~~ ★
(24.01.17 17:08:13 MSK)

Ответ на: комментарий от dima1981 24.01.17 17:08:13 MSK

а при чем тут страны

База ip->страна не очень большая и проверка не отнимает много ресурсов.

Уточнение: те, кто пытается рассылать почту с этого аккаунта (кроме локальной сети и возможно адресов своей страны) - участники ботнета?

мобили жэ есть

А что делать с почтовыми клиентами? Они про двухфакторную аутентификацию и одноразовые пароль обычно ничего не зают.

vel ★★★★★
(24.01.17 18:22:24 MSK) автор топика

Ответ на: комментарий от vel 24.01.17 18:22:24 MSK

сам ящик участник ботнета, те которые с него рассылают если это не один человек то походу нет и опять же т характера рассылки зависит, тут доступ к черным спискам нужен тогда, чтоб при присечении ботнет деятельности на аккаунте и сохранении его для дальнейшего мирного использования иметь возможность вычеркнуть его из списка но это долгая история мне кажется и без регламента никуда, например максимум две возможности восстановления доброго имени или три, а потом навсегда и предупреждать юзеров чтоб данные от ящиков берегли. когда придет айди днк аутентификация станет проще, тогда по линости станет можно бонить, но скоро ли это фик знает настанет.

а вот с клиентами не знаю, если через мобили код отправлять и на какой то одноразовый ящик создавать перекидывать если это реализовать реально хочта с которого приходит письмо в ответ на которое и надо точ то на моббили пришло отправить. а вообще нет идей особо, если только стандартизация ауутентификации гллобальная тогда все все станут узнавать автоматически и заранее апи затачивать всех произведений под одну гребенку являющейся базой для любых серверов, а если екзотики захотелось то фигач а про массовость забудь.

~~dima1981~~ ★
(24.01.17 18:36:18 MSK)

Ссылка

Да, т.к. откуда еще они могут узнать этот адрес.

Другое дело, что так поймать можно далеко не весь ботнет. Ну и со временем все меньше и меньше ломиться будут, если уже не работает.

Deleted
(24.01.17 18:44:55 MSK)

Ответ на: комментарий от Deleted 24.01.17 18:44:55 MSK

Ну вот с 0:30 до 18:30 примерно 1100 хостов пришли.. Если им в ответ не выдавать ошибку, то все придут :)

vel ★★★★★
(24.01.17 18:53:42 MSK) автор топика

Ответ на: комментарий от vel 24.01.17 18:53:42 MSK

Тут ханипот нужен который будет говорить success на отправку почты и бережно складировать IP-шники клиентов. А, ну и саму почту отправлять естественно в /dev/null

Pinkbyte ★★★★★
(25.01.17 17:23:51 MSK)

Ответ на: комментарий от Pinkbyte 25.01.17 17:23:51 MSK

+2 к карме

dcopm999
(28.01.17 08:54:46 MSK)

Ссылка

Ответ на: комментарий от Pinkbyte 25.01.17 17:23:51 MSK

Интересно, но через сутки, они снова начали пытаться рассылать спам.

Аккаунт занесен в черный список, но пароль пока не сменен.

vel ★★★★★
(28.01.17 12:38:31 MSK) автор топика

Ссылка

Ответ на: комментарий от vel 24.01.17 18:22:24 MSK

На гмыле для этого генерируются уникальные пароли для клиентов, которые надо использовать только в этом клиенте — один раз вводится в настройки и больше не показывается.

anonymous
(12.02.17 18:47:49 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Научите проводить анализ защищенности механизма проверки лицензии в клиент-серверных приложениях

Security

WPA2 PSK

→

Похожие темы