Перейти к содержанию
TANUKI

IP-шник попал в спам базы

Recommended Posts

TANUKI

У меня выделенный IP от провайдера. Набрел на пару проверялок

http://smart-ip.net/

http://2ip.ru/

которые предоставляют сервис проверки вашего ай-пи по спам-базам. Каждый из сервисов нашел по одному попаданию в спам-базы. Любопытно, что http://smart-ip.net/ промахнулся или слажал, потому что на нативном сайте спам-базы (я проверил апишку еще раз там) в списке моего адреса не числиться. Но вот http://2ip.ru/ не ошибся и на нативном сайте мой айпи значится в базе.

Вопросов два:)

Первый, как мог мой ай-пи попасть в эти базы, ведь я, как вы понимаете, спамом не промышляю.

Второй вопрос, который меня. собственно, и привел на эти срвисы. Как в моей Убунте в правилах фаерволла Firestarter оказался в вкладке Policy, в рубрике Allow connections from host вот этот ай-пи: 83.69.101.132 ?

Я в шоке:(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator

TANUKI

и давно вы в этом бизнесе? :ph34r:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
как мог мой ай-пи попасть в эти базы

Так вы его сами там и добавили. ;)

Почему нет во втором? У них другой подход – добавляют, но не показывают добавленному, что его тоже уже добавили.

А теперь посмотрите на это:

9115dde5b06ct.jpg 6a796416a0f0t.jpg c790096a44e8t.jpg

Отгадайте, кто из нас врёт. То ли я живу в Великобритании, то ли в Германии, то ли в Корее, то ли они врут, то ли что-то ещё...

Браузер не закрывал, прокси не включал. Значит и эти определители можно обмануть.

Смысл: не добавляйте себя в эти сервисы сами. Или используйте специальную браузерную защиту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
http://2ip.ru/

которые предоставляют сервис проверки вашего ай-пи по спам-базам.

Очень популярный и известный ресурс. При чем тут спам-базы?!

В базах информация о провайдерах вот и все(диапазоны адресов, кто и откуда)

что, speedtest.net тоже в спам-базы запишем?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
Очень популярный и известный ресурс. При чем тут спам-базы?!

Там есть дополнительные сервисы - в колоночке справа. Начниая от проверки портов, заканчивая проверкой Ай-Пи по спам-базам:)

Так вы его сами там и добавили. ;)

Смысл: не добавляйте себя в эти сервисы сами. Или используйте специальную браузерную защиту.

Понятно:) Я так и знал, в общем-то:)

А что за специальная браузерная защита? ТОР? Есть еще, конечно, Yauba (поисковик, через него можно на странички ходить через поиск анонимно), но с ТОРом или этим поисковиком многие сайты с капчей не срабатывают:(

Кстати. а вот кто из натоков фаерволлов может подсказать. как этот апйишник (о котором я писал выше) попал в правила фаерволла?:(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mrs Ganzalis
Первый, как мог мой ай-пи попасть в эти базы, ведь я, как вы понимаете, спамом не промышляю.

Как вариант что спам рассылалсы через ваш ай-пишник, и само собой без вашего ведома. Кто-то вас подвзломал :)

вот этот ай-пи: 83.69.101.132

Могу предположить что это он и есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
Могу предположить что это он и есть.

Странно... На ВайФай-роутере есть железный фаерволл (включен, конечно) + на Убунту встроенный работает (морду Фаерстартер к нему прикрутил). Хм...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
spamolov

Я как-то если честно всем этим расплодившимся сервисам по проверке IP в RBL списках не доверяю, так как все что они делают шлют dns запрос к RBL серверам.

Вот чем пользуюсь я, когда нужно проверить все более менее серьезные списки.

http://www.mxtoolbox.com/blacklists.aspx

Он проверяет все наиболее известные списки.

Теперь о причинах попадания. Одна из них,как сказали до меня коллеги - это троян шлет через вас спам. Вторая причина может быть что у этого IP до вас была обширная история и он уже достаточно давно в этих списках и ваш провайдер не хочет его оттуда удалять за ненадобностью.

Любой серьезный RBL лист должен предоставлять удаление (delisting) вашего IP если с него уже не ведется никакой подозрительной активности. Попадались одни дельцы которые за делистинг просили деньги,но это уже похоже на мошенничество.

А так если вы не хотите превращать свой домашний IP в почтовый сервер можете ничего не делать, кроме как проверить все анивирусом или антируткитом на linux и закрыть на выход порт 25.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
Теперь о причинах попадания. Одна из них,как сказали до меня коллеги - это троян шлет через вас спам.

Ну, троян вряд ли :) Это случилось буквально через пару-тройку дней, как я поставил на один из ноутбуков Линукс. Не будем сбрасывать со счетов два фаерволла (вай-файный и самого дистрибутива). Скорее всего я просто игрался с настройками Firestarter (ГУЙ для встроенного фаерволла) и случайно разрешил этот апйишник из числа тех, кто стучался ко мне во время скачки торрентов.

По правде говоря, в кеше Фаерфокса (когда я поставил для проверки Dr.Web for Linux) нашлись два скрипта, который антивир обозначил как зараженные. Но на вирустотале кроме Вэба их никто так не обозначил. Я отправил их в лабораторию Веба, но вразуметиельного ответа так и не получил :(

Разве можно было через два фаерволла с помощью скриптов (если это не фолс) прописать в программном фаерволле вражеский АйПи? А куда смотрел при этом железный фаерволл?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
spamolov
Ну, троян вряд ли :) Это случилось буквально через пару-тройку дней, как я поставил на один из ноутбуков Линукс. Не будем сбрасывать со счетов два фаерволла (вай-файный и самого дистрибутива). Скорее всего я просто игрался с настройками Firestarter (ГУЙ для встроенного фаерволла) и случайно разрешил этот апйишник из числа тех, кто стучался ко мне во время скачки торрентов.

По правде говоря, в кеше Фаерфокса (когда я поставил для проверки Dr.Web for Linux) нашлись два скрипта, который антивир обозначил как зараженные. Но на вирустотале кроме Вэба их никто так не обозначил. Я отправил их в лабораторию Веба, но вразуметиельного ответа так и не получил :(

Разве можно было через два фаерволла с помощью скриптов (если это не фолс) прописать в программном фаерволле вражеский АйПи? А куда смотрел при этом железный фаерволл?

А может быть обнародуете название RBL листа, в который вы попали, будет понятно серьезный ли это лист. :) Вы уверены,что IP до этого не был там?

А так смотря что за скрипт и под кем он стартует, если под рутом,то добавить что то в локальные правила файервола не составляет труда. Ну вот Вай Фай файервол, нужно смотреть что и как. Разьве он блокирует исходящие соединения по умолчанию? Но то, что Dr.Web определил два скрипта как зараженные наводит на мысли,что скриптики не простые,а можете их тут выложить?

Посмотрим :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
А может быть обнародуете название RBL листа, в который вы попали, будет понятно серьезный ли это лист. :) Вы уверены,что IP до этого не был там?

А так смотря что за скрипт и под кем он стартует, если под рутом,то добавить что то в локальные правила файервола не составляет труда. Ну вот Вай Фай файервол, нужно смотреть что и как. Разьве он блокирует исходящие соединения по умолчанию? Но то, что Dr.Web определил два скрипта как зараженные наводит на мысли,что скриптики не простые,а можете их тут выложить?

Посмотрим :)

Вот в этом листе: TQMCUBE (http://dnsbl.invaluement.com/)

Был ли раньше, не уверен, но по идее не должен был быть.

Стартовать под рутом никак не мог. Я ж не работаю под рутом, да и в Убунто автоотлогинивание рута происходит как только ты заканчиваешь работу, например, с установщиком программ.

И железный и системный должны препятстовать исходящим соединениям, разрешать только на открытые порты нужным программа, типа браузера, Пидгина. Даже торренты отдавать не дают (я не разрешал открывать порт).

Что за скрипты, к сожалению, выложить не могу - поставил для теста Убунту 10.04 (а там стояла 9.10 и скрипты стерлис при переустановке, конечно, отдельно я не догадался их сохранить). Могу только показать, что мне написал суппорт Др.Вэба - может кто-то из сотрудников Вэба (если это возможно) поможет их отыскать? Потому что посылал я их не по почте, а через форму на сайте...

Вот ответы на присланные скрипты:

"Dear ХХХХХХ@gmail.com,

This message has been automatically generated in response to

the creation of your request regarding:

"SUBMITTED SUSPICIOUS FILE",

a summary of which appears below.

There is no need to reply to this message right now.

Your request has been assigned an ID of [drweb.com #1232488].

Please include the string:

[drweb.com #1232488].

in the subject line of all future correspondence about this issue.

To do so, you may reply to this message.

Thank you for the cooperation

-------------------Request-----------------------------------------------

Hello,

User sent us a suspicious file.

User ip: ХХХ.ХХХ.ХХ.ХХ

User agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2) Gecko/20100301 Ubuntu/9.04 (jaunty) Firefox/3.6

User comment: Этот скрипт Др.Вэб для Линукс (бета) обзывает зараженным (мой ПК: Убунту 9.04). На вирустотале только Др.Вэб считает его таким.

User language: en

User email: ХХХХХХ@gmail.com

Original file name: 4404555Ad01

File size: 178529

MD5: 333ac38a2c12d39a22e52cf3a4308aaa

Второй файл:

There is no need to reply to this message right now.

Your request has been assigned an ID of [drweb.com #1232501].

Please include the string:

[drweb.com #1232501].

Original file name: A4D4061Fd01

File size: 328399

MD5: 39fc3ee35f9aca52ad5e057fc8b17b8d

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Vvvyg
    • akoK
      А обсуждение еще живое или форум по UVS переехал?
    • PR55.RP55
      Тема:  https://forum.esetnod32.ru/messages/forum3/topic16196/message111006/#message111006 Как видно применён твик: № 18 В итоге по логу FRST видим: HKLM\...\Policies\Explorer: [DisallowRun] 0
      HKLM\...\Policies\Explorer: [RestrictRun] 0
      HKU\S-1-5-19\...\Policies\Explorer: [DisallowRun] 0
      HKU\S-1-5-19\...\Policies\Explorer: [RestrictRun] 0
      HKU\S-1-5-20\...\Policies\Explorer: [DisallowRun] 0
      HKU\S-1-5-20\...\Policies\Explorer: [RestrictRun] 0
      HKU\S-1-5-21-1616146017-2463400075-1735324224-1000\...\Policies\Explorer: [DisallowRun] 0
      HKU\S-1-5-21-1616146017-2463400075-1735324224-1000\...\Policies\Explorer: [RestrictRun] 0
      HKU\S-1-5-18\...\Policies\Explorer: [DisallowRun] 0
      HKU\S-1-5-18\...\Policies\Explorer: [RestrictRun] 0 т.е. мало того, что от uVS   на данный момент БЕСПОЛЕЗЕН так ещё и создаются параметры которых  НЕ было изначально. т.е. мусор. uVS не проверяет - есть там, что, или нет. Просто вносит\добавляет свои записи. Почему uVS Бесполезен ? Достаточно посмотреть темы - на любом форуме. Антивирусы\сканеры, как правило, ещё до применения таких программ как: FRST; uVS и т.д. зачищают угрозы. Остаются внесённые в систему изменения: Правила\запреты; Папки\Каталоги; Сетевые Параметры и т.д. Какова роль uVS  ? 
    • PR55.RP55
      Пока форум не работал по ошибкам, предложениям, замечаниям публиковал здесь: https://forum.esetnod32.ru/forum8/topic15904/?PAGEN_1=5 ------------ ------------
      Образ в теме:  https://forum.esetnod32.ru/messages/forum6/topic16189/message110932/#message110932    
    • santy
      Форум открыт для доступа и комментариев и предложений. Можно продолжить по  работе с uVS здесь.
×