Forum » Programska oprema » Vsak dan virus (Beagle) iz istega naslova
Vsak dan virus (Beagle) iz istega naslova
Paramedic ::
Hi!
Vsakemu se kdaj zgodi, da dobi kak .exe ali karkoli z virusom v priponki. No, meni se pa zadnje 2 tedna dogaja, da dobivam vsak dan Beagle v taki ali drugačni priponki v emailu. Email račun imam odprt na email.si, v "From:" pa vsakič napiše istega človeka z emailom @iskratel.si .
Kaj moram naredit, da se to neha, recimo neka preiskava naredi? Sem dal v tracert tisti 'from ip', in se izgubi nekje v .arnes.si domeni.
Torej kam se naj obrne človk v takem primeru?
Vsakemu se kdaj zgodi, da dobi kak .exe ali karkoli z virusom v priponki. No, meni se pa zadnje 2 tedna dogaja, da dobivam vsak dan Beagle v taki ali drugačni priponki v emailu. Email račun imam odprt na email.si, v "From:" pa vsakič napiše istega človeka z emailom @iskratel.si .
Kaj moram naredit, da se to neha, recimo neka preiskava naredi? Sem dal v tracert tisti 'from ip', in se izgubi nekje v .arnes.si domeni.
Torej kam se naj obrne človk v takem primeru?
Microsoft ::
V takem primeru se uporabi Outlook 2003. :))
Tools > Options... > tab Preferences > kliknes na Junk E-mail... > tab Blocked Senders > dodas @iskratel.si ali krneki@iskratel.si.
by Miha
Tools > Options... > tab Preferences > kliknes na Junk E-mail... > tab Blocked Senders > dodas @iskratel.si ali krneki@iskratel.si.
by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr
Paramedic ::
Sem zaenkrat to naredu, ampak upam, da obstaja kakšna bolj elegantna rešitev. Kakšna prijava na arnes, od koder zgleda prihaja, nekje bolj pri izvoru bi rad, da ustavijo, kdor pač je za to zadolžen. Al se ne splača drugega, kot da nastavim, naj briše s serverja?
Microsoft ::
Nek na forumo (zdele sm cisto pozabil) je blo napisano, da napisan posiljatel ni nujno, da je res posiljatelj. Tako, da ni kul, da kr nekoga obtozis, da ti posilja neke mejle, ker sam naslov prejemnika se ni potrdilo, da ti ga je res on poslal.
by Miha
by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr
b ::
Pa saj je enostavno. Poisci si kaksna navodila, kako se bere headerje e-maila. Potem lahko vidis tocno od kod je stvar prisla in javis tja.
Odpri email tako, da vidis vse, kar je v njemu. Izgleda nekako takole:
Pomembni so tiste vrstice, ki se zacnejo z Received:. Vsak mail streznik, ki prejme sporocilo, doda eno tako vrstico na zacetek.
Tukaj lahko vidis, da sporocilo izvira iz IP-ja 212.235.141.138, ki ga je poslal preko avs2.arnes.si, ki ga je poslal naprej na hydra.aufbix.org (moj mail streznik).
Pri virusih je ponavadi tako, da Received headerjev sploh ni, oz. je samo tisti, ki ga doda tvoj mail streznik (lahko so tudi trije, kot prikazuje avs2.arnes.si, najprej sprejme sporocilo, potem ga poslje antivirusnemu strezniku in potem ga spet sprejme, toda to ni pomembno - v takem primeru ti bo sporocilo - ce je virus - pobrisal ze postni streznik).
Iz tega se da razbrati, od kje je prislo sporocilo. Ce pride zmeraj iz istega IP naslova, potem obvestis "lastnika" tega IP naslova. Tega lahko ugotovis z uporabo programa whois (na Unix in Unix-like sistemih), lahko pa si pomagas tudi s spletno stranjo geektools. Program (oz. stran) ti za IP 212.235.141.138 izpise te podatke:
role: ARNES NOC
address: ARNES
address: Jamova 39
address: SI-1000 Ljubljana
address: Slovenia
phone: +386 1 4798800
fax-no: +386 1 4798899
e-mail: noc@arnes.si
trouble: ----------------------------------------------------
trouble: For network connectivity related problems contact:
trouble: - noc@arnes.si
trouble: For security related problems contact:
trouble: - si-cert@arnes.si
trouble: For problems relating electronic mail abuse contact:
trouble: - abuse@arnes.si
In ti lahko v primeru, da dobivas iz nekega IP-ja veliko virusov (ali spama, ali cesarkoli, kar ti pac ne pase), posljes pritozbo na abuse@arnes.si.
Pa ne tega pocet, ce si iz enega IP-ja dobil en virus. Se res ne splaca. Ce se pa pojavlja skos isto, potem pa le.
Odpri email tako, da vidis vse, kar je v njemu. Izgleda nekako takole:
Return-Path: <xxx@guest.arnes.si> Delivered-To: xxx@hydra.aufbix.org Received: from avs2.arnes.si (avs2.arnes.si [193.2.1.75]) by hydra.aufbix.org (hey mr. postman!) with ESMTP id 093A736E6D1; Thu, 22 Jul 2004 03:45:20 +0200 (CEST) Received: from localhost (avs2.arnes.si [193.2.1.75]) by avs2.arnes.si (Postfix) with ESMTP id E899B26E1F8; Thu, 22 Jul 2004 03:45:19 +0200 (CEST) Received: from avs2.arnes.si ([193.2.1.75]) by localhost (avs2.arnes.si [193.2.1.75]) (amavisd-new, port 10024) with ESMTP id 42778-01; Thu, 22 Jul 2004 03:45:16 +0200 (CEST) Received: from [212.235.141.138] (unknown [212.235.141.138]) by avs2.arnes.si (Postfix) with ESMTP id 9384D26D83A; Thu, 22 Jul 2004 03:45:11 +0200 (CEST) Subject: Zabava From: XXX <xxx@guest.arnes.si> Content-Type: multipart/related; type="multipart/alternative"; boundary="=-VdyqUTpWIhj9a83WrKDK"
Pomembni so tiste vrstice, ki se zacnejo z Received:. Vsak mail streznik, ki prejme sporocilo, doda eno tako vrstico na zacetek.
Tukaj lahko vidis, da sporocilo izvira iz IP-ja 212.235.141.138, ki ga je poslal preko avs2.arnes.si, ki ga je poslal naprej na hydra.aufbix.org (moj mail streznik).
Pri virusih je ponavadi tako, da Received headerjev sploh ni, oz. je samo tisti, ki ga doda tvoj mail streznik (lahko so tudi trije, kot prikazuje avs2.arnes.si, najprej sprejme sporocilo, potem ga poslje antivirusnemu strezniku in potem ga spet sprejme, toda to ni pomembno - v takem primeru ti bo sporocilo - ce je virus - pobrisal ze postni streznik).
Iz tega se da razbrati, od kje je prislo sporocilo. Ce pride zmeraj iz istega IP naslova, potem obvestis "lastnika" tega IP naslova. Tega lahko ugotovis z uporabo programa whois (na Unix in Unix-like sistemih), lahko pa si pomagas tudi s spletno stranjo geektools. Program (oz. stran) ti za IP 212.235.141.138 izpise te podatke:
role: ARNES NOC
address: ARNES
address: Jamova 39
address: SI-1000 Ljubljana
address: Slovenia
phone: +386 1 4798800
fax-no: +386 1 4798899
e-mail: noc@arnes.si
trouble: ----------------------------------------------------
trouble: For network connectivity related problems contact:
trouble: - noc@arnes.si
trouble: For security related problems contact:
trouble: - si-cert@arnes.si
trouble: For problems relating electronic mail abuse contact:
trouble: - abuse@arnes.si
In ti lahko v primeru, da dobivas iz nekega IP-ja veliko virusov (ali spama, ali cesarkoli, kar ti pac ne pase), posljes pritozbo na abuse@arnes.si.
Pa ne tega pocet, ce si iz enega IP-ja dobil en virus. Se res ne splaca. Ce se pa pojavlja skos isto, potem pa le.
Zgodovina sprememb…
- spremenilo: b ()
Paramedic ::
JimiBtn: saj jaz vem, da mi virus na pošilja tisti človek, ki je napisan v From, sicer bi mu jaz kar poslal email, da z njegovega naslova prihajajo virus in naj poskrbi za AV zaščito, al kej takega, vendar vem, da to nima smisla, pravtako tega človeka ne obtožujem, saj ni sam kriv, da ima nekdo njegov naslov v address booku, itd...
b: v headerju je tole:
--------------------------------------------------------
Return-Path: [njegov_email@iskratel.si]
Received: from mx3.email.si ([81.24.97.26])
by mai-stor2.email.si (Cyrus v2.2.6) with LMTPA;
Wed, 04 Aug 2004 09:52:27 +0200
X-Sieve: CMU Sieve 2.2
Received: from Arnes.com (unknown [194.249.111.180])
by mx3.email.si (Postfix) with SMTP id 965D57F51
for [moj_email_naslov@email.si]; Wed, 4 Aug 2004 09:52:29 +0200 (CEST)
Date: Wed, 04 Aug 2004 10:15:56 +0100
To: "Moje_Ime" [moj_naslov@email.si]
From: "Njegov_Priimek" [njegov_email@iskratel.si]
Subject: Fax Message
Message-ID: [vquvxrqjherjsifpklx@email.si]
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="--------fnzkziauyshmyldecact"
---------------------------------------------------------
Sem spremenik lomljene oklepaje v oglate, da ni html.
Na tistem whois sem pa izvedel samo za OŠ Kamnik
Kaj zdaj? A naj na abuse@arnes.si pošljem email in jim pokažem header?
Zakaj se tega lotevam, pove že prvi post - vsak dan iz istega naslova in istega "Received:" IP-ja dobim Beagla v .exe, .zip, .com fajlu. Rad bi odpovedal naročnino .
b: v headerju je tole:
--------------------------------------------------------
Return-Path: [njegov_email@iskratel.si]
Received: from mx3.email.si ([81.24.97.26])
by mai-stor2.email.si (Cyrus v2.2.6) with LMTPA;
Wed, 04 Aug 2004 09:52:27 +0200
X-Sieve: CMU Sieve 2.2
Received: from Arnes.com (unknown [194.249.111.180])
by mx3.email.si (Postfix) with SMTP id 965D57F51
for [moj_email_naslov@email.si]; Wed, 4 Aug 2004 09:52:29 +0200 (CEST)
Date: Wed, 04 Aug 2004 10:15:56 +0100
To: "Moje_Ime" [moj_naslov@email.si]
From: "Njegov_Priimek" [njegov_email@iskratel.si]
Subject: Fax Message
Message-ID: [vquvxrqjherjsifpklx@email.si]
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="--------fnzkziauyshmyldecact"
---------------------------------------------------------
Sem spremenik lomljene oklepaje v oglate, da ni html.
Na tistem whois sem pa izvedel samo za OŠ Kamnik
Kaj zdaj? A naj na abuse@arnes.si pošljem email in jim pokažem header?
Zakaj se tega lotevam, pove že prvi post - vsak dan iz istega naslova in istega "Received:" IP-ja dobim Beagla v .exe, .zip, .com fajlu. Rad bi odpovedal naročnino
. ToniT ::
% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-service...
inetnum: 194.249.111.176 - 194.249.111.255
netname: O-27JKA-LJ-EDUS-NET
descr: Osnovna sola 27. julij
descr: Kamnik
descr: Slovenia
country: SI
admin-c: MB24027-RIPE
tech-c: MB24027-RIPE
status: ASSIGNED PA
mnt-by: ARNES-MNT
mnt-lower: ARNES-MNT
changed: uros.kapelj@arnes.si 20000828
changed: mihael.dimec@arnes.si 20000831
source: RIPE
route: 194.249.0.0/16
descr: ARNES provider block
origin: AS2107
mnt-by: AS2107-MNT
changed: jauk@arnes.si 19960307
source: RIPE
person: Milenka Brajer
address: Osnovna sola 27.julij
address: Tomsiceva 27
address: SI-1231 Kamnik
address: Slovenia
phone: +386 1 8391145
fax-no: +386 1 8391145
e-mail: milenka.brajer@guest.arnes.si
nic-hdl: MB24027-RIPE
mnt-by: ARNES-MNT
changed: uros.kapelj@arnes.si 20000828
changed: mihael.dimec@arnes.si 20000831
source: RIPE
Bo pomagalo?
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-service...
inetnum: 194.249.111.176 - 194.249.111.255
netname: O-27JKA-LJ-EDUS-NET
descr: Osnovna sola 27. julij
descr: Kamnik
descr: Slovenia
country: SI
admin-c: MB24027-RIPE
tech-c: MB24027-RIPE
status: ASSIGNED PA
mnt-by: ARNES-MNT
mnt-lower: ARNES-MNT
changed: uros.kapelj@arnes.si 20000828
changed: mihael.dimec@arnes.si 20000831
source: RIPE
route: 194.249.0.0/16
descr: ARNES provider block
origin: AS2107
mnt-by: AS2107-MNT
changed: jauk@arnes.si 19960307
source: RIPE
person: Milenka Brajer
address: Osnovna sola 27.julij
address: Tomsiceva 27
address: SI-1231 Kamnik
address: Slovenia
phone: +386 1 8391145
fax-no: +386 1 8391145
e-mail: milenka.brajer@guest.arnes.si
nic-hdl: MB24027-RIPE
mnt-by: ARNES-MNT
changed: uros.kapelj@arnes.si 20000828
changed: mihael.dimec@arnes.si 20000831
source: RIPE
Bo pomagalo?
Matko ::
ti kar poklici na arnes - podpora uporabnikom, pa jim zatezi,
jst sem jim vceraj, isti problem, samo druga sola in par 10 virusov na dan,
obljubili so da bodo uredili, ce jim posljes email ni nobenega odziva,
za to naj bi skrbel g. Božič, ki pa je skoz na dopusto alo bolniski,
sele po enmu tednu sem dobil njegovega nadomestnika,
ce jim bo dovolj ljudi tezilo, bodo prej uredili zadeve
jst sem jim vceraj, isti problem, samo druga sola in par 10 virusov na dan,
obljubili so da bodo uredili, ce jim posljes email ni nobenega odziva,
za to naj bi skrbel g. Božič, ki pa je skoz na dopusto alo bolniski,
sele po enmu tednu sem dobil njegovega nadomestnika,
ce jim bo dovolj ljudi tezilo, bodo prej uredili zadeve
darkolord ::
jaz sem poslal email na abuse@arnes.si pa sem lepo zatezil pa so od takrat naprej nisem dobil vec nobenega maila od tistega cloveka
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | [LINUX] Pošiljanje mailaOddelek: Operacijski sistemi | 1972 (1849) | 'FireSTORM' |
| » | Siol does it again (strani: 1 2 3 4 )Oddelek: Novice / Omrežja / internet | 16474 (16474) | Bakunin |
| » | spammmOddelek: Omrežja in internet | 1076 (987) | SLOWWWeb.net |
| » | Sobig.F na pohoduOddelek: Omrežja in internet | 2079 (1779) | ABX |
| » | e.mail spamerOddelek: Omrežja in internet | 2659 (2147) | Tr0n |