Help - Ma Disperat Tipul Asta Care Imi Tot Trimite Mailuri

danielgh

De vreo 5 zile primesc mailuri cu un virus si m-am cam plictisit pentru ca pana acum am primit vreo 50.

Va rog sa ma ajutati si pe mine pentru ca nu ma pricep sa identific cine il trimite - vreau sa fac ceva ca deja nu se mai poate.

Nu stiu sa citesc headerul asta si dupa ce ca ma innebunesc emailurile de la bancpost, raiffeisen, bcr etc (stiti voi care...) - mai imi vin si astea.

Antivirusul zice ca a sters:

kdotuo.zip - Win32/Mytob.VW worm - deleted

kdotuo.zip > ZIP > kdotuo.txt .scr - Win32/Mytob.VW worm - was a part of the deleted object

Headerul ultimului mail este urmatorul

DomainKey-Status: no signature

Received: (qmail 17614 invoked from network); 1 Oct 2009 18:44:31 +0200

Received-SPF: neutral (telip.ro: 92.82.182.54 is neither permitted nor denied by domain of prahovasport.ro) client-ip=92.82.182.54; envelope-from=administrator@prahovasport.ro; helo=prahovasport.ro;

Received: from unknown (HELO prahovasport.ro) (92.82.182.54)

by ns.telip.ro with SMTP; 1 Oct 2009 18:44:27 +0200

From: administrator@prahovasport.ro

To: office@prahovasport.ro

Subject: [virus Win32/Mytob.VW worm] Sorry your account has been suspended

Date: Thu, 1 Oct 2009 19:44:31 +0300

MIME-Version: 1.0

Content-Type: multipart/mixed;

boundary="----=_NextPart_000_0006_0A048D44.679676C3"

X-Priority: 3

X-MSMail-Priority: Normal

X-NOD32Result: Infected, Win32/Mytob.VW worm

Lamuriri suplimentare:

prahovasport.ro - este al meu -

telip.ro - este al meu - si este domeniul pentru ns-uri.

administrator@prahovasport.ro - nu exista

Multumesc anticipat

alexcrist

Salut danielgh,

În primul rând, în headerul postat apare faptul că detecţia nu a fost generată de un produs BitDefender, iar din motivul acesta este greu şi nu putem să îţi oferim suport tehnic pentru un produs ce nu aparţine de BitDefender.

Ca să nu te las totuşi fără un răspuns, pot să îţi spun următorul lucru: câmpurile de From/To/Subject din header sunt simple câmpuri cu caracter informativ pentru user, şi nu reprezintă în niciun fel sursa/destinaţia reală a unui mesaj email. Aceste câmpuri pot fi foarte uşor modificate (sau pot chiar să lipsească), falsificându-se astfel adevărata sursă a mesajului. De aceea, aşa cum ai observat, un mesaj poate părea că a venit de la o altă adresă (sau de la o adresă inexistentă).

De asemenea, în header se specifică faptul că mesajul a provenit de la adresa 92.82.182.54 (care aparent nu se poate traduce într-un nume de domeniu).

Sfatul meu este să îţi protejezi serverul de email, să nu mai accepte conexiuni SMTP neautentificate (eventual să îl setezi să meargă pe conexiuni securizate SSL/TSL). De asemenea, din moment ce deţii aceste siteuri, presupun că ai o listă de newsletter. Dacă este aşa, te sfătuiesc să dai cât mai curând posibil un mesaj tuturor abonaţilor că "cineva" se foloseşte de numele siteului pentru a trimite mesaje ilegale (SPAM) şi infectate, şi că nu trebuie să se deschidă sub nicio formă fişierele ataşate.

Cris.

danielgh

Salut - si multumesc de raspuns.

1) am si bitdefender dar uite ca nu mi-a venit pe o adresa citita de calculatoarele cu el.

2) serverul de email nu accepta conexiuni smtp neautentificate - am patit probleme cu asta cand aveam server in state si m-am invatat minte

3) am renuntat la setarea de mail de confirmare (box trapper) deoarece ma suna lumea si zicea ca nu pot trimite comunicate si alte asemenea informatii - -- nu se prind toti de idee -

4) stiu ca se pot trimite mailuri cu alta adresa si chiar alt ip - dar asta chiar devenise enervant

5) lista de mailuri nu folosesc - distributia se face prin feedburner - deci nu are cum

6) aseara dupa ce am mai primit vreo 10 mailuri - am fost sunat de la romtelecom pentru confirmarea primirii mailului pe abuse at romtelecom si sper sa il anunte ei pe proprietar ca trebuie sa ia ceva masuri.

Am postat aici pentru doua motive:

1) folosesc bitdefender si vand asa ca vroiam si eu suport

2) e un forum in limba romana specializat si eram sigur ca imi rapunde si mie cineva.

alexcrist

1) am si bitdefender dar uite ca nu mi-a venit pe o adresa citita de calculatoarele cu el.

Ar fi fost bine să specifici de la început asta, pentru că altfel riscai să rămâi fără niciun răspuns. Deşi este un "forum specializat" (cum spui tu), totuşi este forum oficial de suport, nu forum general.

2) serverul de email nu accepta conexiuni smtp neautentificate - am patit probleme cu asta cand aveam server in state si m-am invatat minte

Da, aici am dat puţin cu bâta în baltă, probabil din cauza orei târzii. Emailul respectiv a venit de la alt IP (nu de la serverul tău), deci nu are nicio legătură cu serverul tău.

4) stiu ca se pot trimite mailuri cu alta adresa si chiar alt ip - dar asta chiar devenise enervant

Practic, nu prea ai protecţie împotriva acestor emailuri, decât folosirea unui filtru antispam (sau filtru după IP, în caz că IPul e constant). Până la urmă este un email normal (ignorând faptul că are un conţinut maliţios), pe care serverul de email trebuie să-l primească.

Ca fapt divers, eu primesc zilnic zeci de emailuri ca venind de la "mine", pe adresa de pe GMail (dar el le pune automat în Spam).

5) lista de mailuri nu folosesc - distributia se face prin feedburner - deci nu are cum

OK, însă problema rămâne: "cineva" (sau "ceva") trimite emailuri în numele serverului tău. Chiar dacă efectiv emailul vine din altă parte, marea majoritate a utilizatorilor nu se uită în header (probabil nici nu ştiu ce e un header), şi vor lua de bun ce scrie la From.

Pentru a-ţi ajuta şi proteja utilzatorii, ar fi bine ca, măcar pentru o vreme, să postezi pe site (sau pe feed), un avertisment legat de problema asta. Mai ales că nu foloseşti liste, poţi să spui ceva de genul "Site-ul nostru nu vă va trimite niciodată emailuri cu ataşamente (arhivate - dacă ataşamentul respectiv este arhivat)".

6) aseara dupa ce am mai primit vreo 10 mailuri - am fost sunat de la romtelecom pentru confirmarea primirii mailului pe abuse at romtelecom si sper sa il anunte ei pe proprietar ca trebuie sa ia ceva masuri.

Fiind un IP al lor, ar trebui să rezolve problema.

Însă protecţia cea mai bună pentru tine tot un filtru antispam ţi-o oferă. Acum ai avut "noroc" (să spun aşa), pentru că era IP al Romtelecom. Însă dacă era un IP străin, nu ştiu cât succes ai fi avut cu raportul.

Cris.