Вот где @ зарыта

Чисто почта

добавить в избранное

Вот где @ зарыта

Прочитали: 5681 Комментариев: 62 Рейтинг: 293

7 ноября 2016

В выпуске «Наше дело – предупредить!» мы уже говорили о том, что владельцы того или иного сайта и составители списка нерекомендованных для посещения ресурсов могут расходиться во мнении относительно вредоносности контента. Чтобы понять, почему так происходит, посмотрим, в каких случаях ресурс попадает в список нерекомендуемых.

Предположим, сайт рассылает спам. Отбросим вариант, что его владельцы занимаются этим специально (хотя спамеры утверждают, что действуют в рамках закона, большинство пользователей с этим не согласны), и предположим, что это не их вина. Рассылка спама может происходить в следующих случаях:

Взлом сайта, изменение логики его работы или внедрение специальных скриптов. Это, наверное, самый очевидный вариант: вполне логично блокировать взломанный ресурс, пока его не починят. Единственная проблема может быть связана с тем, что владельцы ресурса могут «по-тихому» все починить и утверждать, что ничего не было.

Насколько сложной может быть спам-система, внедренная на сайт. История одного анализа.

А дальше я узрел полноценный файл-менеджер, писанный на php. Настолько полноценный, что:

он имел красивый тёмно-серый интерфейс с тёмно-зелёными буквами, местами перемежаемые серыми и жёлтыми;
он имел 2 панели. Привет far, nc, vc, и т.д.;
он имел разные режимы отображения. Списки, таблицы с перечислением свойств и прав;
он имел команды на копирование, перемещение, удаление, изменение прав;
он имел возможность просматривать и редактировать текст файлов;
он имел админские права на ОС.

Вот последнее меня повергло в шок. На сервере-то пользователя залогиненного не висит. Да и нигде, естественно, не сохранено. Как — не знаю.

Что примечательно. С админскими правами беда наблюдалась независимо от веб-сервера (и IIS, и Apache).

https://habrahabr.ru/post/221871

Взлом почтовых ящиков в результате отсутствия проверки паролей, создаваемых пользователями ресурса, или ошибок настройки системы безопасности по умолчанию. Это сложный случай. По идее, нужно блокировать только взломанные почтовые ящики, но добавление в черный список миллиона-другого адресов в неделю (все мы помним количество утечек почтовых баз данных) мгновенно раздует его до немыслимых размеров. Поэтому блокирование ресурса с разрешением доверенных адресов в случае множественных взломов вполне логично, так как аналитики, проверяющие ресурс, не могут знать, какие адреса взломаны, а какие нет.
Утечка паролей доступа к почтовым ящикам. Ситуация с блокировкой аналогична предыдущей — логично заблокировать ресурс и разрешить доверенные адреса.
Отсутствие опыта или ошибки в ходе разработки сайта, в результате чего возможна отправка писем через формы обратной связи, не имеющие «капчи» для подтверждения того, что пишет человек, а не робот. Ситуация аналогична предыдущей, но доказать наличие проблемы на сайте проще — она видна невооруженным глазом.
Возможность массовой регистрации, в ходе которой отправляются сообщения якобы зарегистрировавшемуся пользователю. Такое также возможно из-за ошибок при создании ресурса.
Отправка уведомлений с использованием нарушений в логике работы ресурса. Например, злоумышленники пользуются уведомлениями почтового сервера отправителю, когда почтовый ящик получателя недоступен или не существует. Такие сообщения известны как Non-Delivery Report (NDR), Delivery Status Notification (DSN), Non-Delivery Notification (NDN), bounce message. Отправка спама достигается путем подделки адреса отправителя.

Антиспам Dr.Web автоматически фильтрует так называемый технический спам, в том числе bounce-сообщения. Подробности на http://products.drweb.ru/antispam.

Пересылка полученных сообщений. Самый лакомый кусочек для спамеров — OpenRelay. Раньше такая возможность широко применялась легально, но в результате деятельности спамеров сошла на нет. Сейчас пересылка полученных сообщений без авторизации является ошибкой администратора ресурса. Однозначный черный список.

Перечень немаленький — и это мы не рассмотрели более экзотические ситуации вроде атаки со взломом серверов, через которые почтовые сообщения проходят по пути к нам, и их подменой.

Как видим, причины, по которым сайты могут рассылать спам, весьма разнообразны: от уязвимостей в коде сайта до ошибок в его настройке. К сожалению, большинство ошибок — на руку злоумышленникам.

#спам #нерекомендуемые_сайты

Антивирусная правДА! рекомендует

Вы никогда не сможете проверить безопасность всех ресурсов, с которых получаете почтовые сообщения, поэтому использование антиспама — необходимая мера.
Письмо от неизвестного отправителя с неинтересным или непонятным содержимым — повод не просто насторожиться, а зайти на страничку https://support.drweb.ru/new/urlfilter и отправить письмо на анализ в вирусную лабораторию «Доктор Веб».

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

zitkss
09:54:07 2020-06-01

Лучше общаться лично, а не письма писать.

ka_s
08:54:20 2018-09-02

Антиспам облегчает и ускоряет ежедневный просмотр почтовых сообщений. До установки антиспама в почтовом ящике ежедневно обнаруживалось до 100 писем, из которых до 95% было спама. На "отсев" спама уходило до 1 часа. После установки антиспама количество писем сократилось до приемлемых 10-15. Одно неудобство - в папку спама иногда стали попадать "нужные" письма. На фоне резкого снижения рисков получить какую-нибудь заразу этим неудобством можно пренебречь.

Денисенко Павел Андреевич
16:48:51 2018-08-05

Мы не можем, а вот Dr.Web может проверить безопасность всех ресурсов.

alex-diesel Собкор
12:23:47 2018-03-24

согласен.
вот бы DrWeb предложил бы какую-нибудь прогу для владельцев сайтов.
зы, простите, если уже надоел с этой идеей ))

Toma
17:53:31 2017-11-23

Без надежного качественного антивируса сейчас не куда! Без антивируса в почту лучше не заглядывать.

Шалтай Александр Болтай Собкор
13:13:09 2016-12-22

Девушки порой такие скрытные: — Имя: Екатерина. Фамилия: скрыто. Дата рождения: скрыто. E—mail: ivanova1992@мэйл.ру

vinnetou
12:42:22 2016-12-11

Спасибо за информацию ,записал страничку куда отправить на анализ ,пригодится .

Laventurier
16:35:30 2016-12-06

100 безопасности не бывает.

Вячeслaв Собкор
10:15:17 2016-11-10

@Неуёмный_Обыватель, мы проверили, ваша лицензия разрешает вам работать с техподдержкой. Создавайте запрос и мы постараемся решить проблемы

Zserg
22:16:29 2016-11-09

Пользительно

sania2186
18:03:38 2016-11-08

Вы никогда не сможете проверить безопасность всех ресурсов

Кирилл
17:10:02 2016-11-08

@Неуёмный_Обыватель, зря у вас на поддержку нет надежды :) Вы им всё-таки тикет создайте, а если будут какие-то проблемы, то пишите мне номер тикета - поможем найти взаимопонимание.

Неуёмный Обыватель Собкор
16:56:33 2016-11-08

@м...ч, на поддержку у меня надежды нет. Я по незнанию условий продлил свою коммерческую лицензию с помощью серийника, выигранного на антивирусной правде. Теперь я стал нежелательным элементом :(

Вячeслaв Собкор
16:13:31 2016-11-08

@Неуёмный_Обыватель, а что говорит техподдержка?

Неуёмный Обыватель Собкор
16:11:30 2016-11-08

@м...ч, это я понимаю. Про что я и писал, что "я крайне редко пользуюсь почтой через веб-интерфейс, практически всегда использую почтовый клиент." Поэтому хотелось бы знать, почему хваленый SpIDerMail не люстрирует мою почту. С одной стороны это хорошо, что никто не роется в моей переписке. Но с другой стороны я же специально ставил программу, чтобы она защищала меня от мошенников и злоумышленников.
Но на данный момент ничего из перечисленного не работает:
-эвристический анализ;
-фильтрация противодействия;
-анализ на основе HTML-сигнатур;
-семантический анализ;
-анти-скамминг технология;
-фильтрация технического спама
----
Всё это замечательно проходит и всю работу SpIDer Mail приходится выполнять мне лично вручную. Кроме того, при ручном способе не может идти и речи про защиту от какого-то моментального взлома при прочтении письма. Вдруг опять такой способ будет в ходу в результате выявления какой-либо уязвимости

Вячeслaв Собкор
09:52:00 2016-11-08

@Неуёмный_Обыватель, Да, антиспам работает только в модуле SpIDerMail. Перехват спама в браузере - крайне сложная задача. Во первых как отличить текст на странице gmail или mail.ru от аналогичного текста просто на странице. Во вторых - на странице нет информации, которая в обычном письме прописана в служебных полях и которая используется в правилах фильтрации. В итоге ни контрольную сумму не посчитаешь нормально, ни информации для правил. Нужно ориентироваться только на сам текст письма, а это крайне ненадежно. Есть конечно методу фильтрации текстового спама, но я навскидку не помню десктопных продуктов с такими фильтрами

Вячeслaв Собкор
09:44:12 2016-11-08

@Неуёмный_Обыватель, увы при пересылке меняются служебные поля. Именно поэтому требуется само письмо, а для этого его можно только сохранять в файл. Опять же, если мы сделаем функцию Отправить письмо, то это будет означать наличие общедоступного адреса - куда начнет тоннами слаться спам. Возможно с целью DDoS

nahimovec
09:22:29 2016-11-08

Ознакомления,значит вооружен.

aleks_ku
22:48:22 2016-11-07

правильно напомнили

Б...а
22:38:50 2016-11-07

Теперь буду отсылать на анализ )

razgen Собкор
22:35:50 2016-11-07

@maghan,Спам-фильтры очень полезная штука. Хотя у человека ежедневно пользующегося, настроены и черные списки и спам-фильтры уже давно.
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Лично я не знаю и пока ещё не пробовал разобраться как настраивать спам-фильтры, да мне почему-то кажется что у процентов 80 пользователей настройки по умолчанию. Главное ничего не отключать.

Luger Собкор
22:35:10 2016-11-07

Антиспам включен в обязательном порядке.

В...а
22:22:47 2016-11-07

экзотические ситуации?

НинаК
22:09:39 2016-11-07

перед почтой - прочитано

Dvakota
22:01:44 2016-11-07

Буду знать .

krant
21:33:23 2016-11-07

Давняя проблема с письмами. Спасибо за рекомендации.

ek
21:17:03 2016-11-07

Перечень немаленький!

kva-kva
20:56:34 2016-11-07

везде внимание!

orw_mikle
20:46:22 2016-11-07

Никогда не открываю вложенные файлы любых расширений, если письмо от незнакомого источника.

mk.insta
20:34:33 2016-11-07

про письма - настороже!

Неуёмный Обыватель Собкор
20:27:05 2016-11-07

@razgen, да, спасибо, там можно отправить файл. Хотя это совсем другой сервис. Было бы удобнее просто переправлять подозрительный письма например через стандартную функцию в письме "Переслать". В помощи к программе указаны такие адреса для отправки:
·письмо, ошибочно оцененное как спам, – на адрес vrnonspam@drweb.com;

·спам, нераспознанный системой, – на адрес vrspam@drweb.com.

Zulfat
20:07:50 2016-11-07

Антиспам необходим.

razgen Собкор
19:58:51 2016-11-07

@Неуёмный_Обыватель,:"....Не понял, каким способом можно отправить по рекомендованной в п.2 ссылке письмо на анализ..."

Внизу слева имеется функционал "Отправить подозрительный файл на анализ в лабораторию".

А можно сразу напрямую зайти на страницу по ссылке https://vms.drweb.ru/sendvirus/?ph=%5BCAB_USER_SERIAL_PH%5D&lng=ru.

Дмитpий Собкор
19:03:48 2016-11-07

@Неуёмный_Обыватель, Уже добрался в раздел справки, очень подробный, посвящённый этому инструменту. Мне уже понятно в чём ошибался :)

Неуёмный Обыватель Собкор
18:56:42 2016-11-07

Дмитрий, "И решает спам это или не спам тоже тот почтовый провайдер, точнее его фильтры или фильтры настроенные Вами в своей учётной записи."
Эта часть как раз работает у провайдера. Как я уже писал, метка X-Yandex-Spam в письмах проставляется.

Неуёмный Обыватель Собкор
18:23:31 2016-11-07

@Дмитрий, я крайне редко пользуюсь почтой через веб-интерфейс, практически всегда использую почтовый клиент. И именно для этого случая и предназначен модуль SpIDer Mail, насколько я понимаю. Хотелось бы разъяснений @admin по этому поводу

B0RIS
18:03:51 2016-11-07

Ссылка в рекомендациях верна?

Дмитpий Собкор
17:46:58 2016-11-07

@Неуёмный_Обыватель, Все эти метки, как понимаю, предназначаются для контроля траффика проходящего через Ваш почтовый сервер, если таковой имеется в Вашей системе, пересылать дальше или блокировать. Открывая свою почту через вебинтерфейс другого почтового провайдера её безопасность проверяется другими стандартными модулями DrWeb. И решает спам это или не спам тоже тот почтовый провайдер, точнее его фильтры или фильтры настроенные Вами в своей учётной записи. Кажется так. Если что напутал, надеюсь меня поправят :)

Неуёмный Обыватель Собкор
16:08:34 2016-11-07

Я вот не вижу, как работает антиспам и вообще работает ли у меня он. В настройках антивирусной программы всё включено, однако ни одного спам-письма еще не было поймано за все годы. Ведь результат работы должен был проявиться письма с темой [OBORONA-SPAM] встречаются, а вот с пометкой, которую должен проставить SpIDer Mail нет ни одного письма. Более того, ни в одном письме не смог обнаружить метки X-DrWeb-SpamState, X-DrWeb-SpamVersion, X-DrWeb-SpamReason. Зато отметка X-Yandex-Spam стабильно обнаруживается.
Кроме того, несмотря на то, что опция "Добавлять заголовок 'X‑Antivirus' к сообщениям" включена и никогда не выключалась, ни в одном письме не смог обнаружить соответствующий заголовок. Получается, что компонент SpIDer Mail - не более, чем пиар-ход :(

User ZZZ
15:40:24 2016-11-07

Ок.Спасибо.

Неуёмный Обыватель Собкор
14:10:55 2016-11-07

Не понял, каким способом можно отправить по рекомендованной в п.2 ссылке письмо на анализ. Открывается "Сообщить о ложном срабатывании или пропуске вредных ссылок в Родительском или Офисном контроле". Какое это имеет отношение к антиспаму?

Альфа
12:47:58 2016-11-07

Антиспам тоже включен.

Геральт Собкор
12:18:00 2016-11-07

Без антиспама никуда.

maxtat
11:58:11 2016-11-07

Разъяснено понятно. Спасибо за выпуск.

DrKV Собкор
11:40:01 2016-11-07

Обычно тоже сразу удаляю.

GREII Собкор
11:02:09 2016-11-07

Левые письма удаляются без какого-либо интереса Спасибо Доктор Веб

dyadya_Sasha Собкор
10:58:20 2016-11-07

"...Письмо от неизвестного отправителя с неинтересным или непонятным содержимым — повод не просто насторожиться..."
Редко, но бывают такие письма. Обычно сразу удаляю, хотя правильнее было бы ДрВебу отправлять. Будем делать правильнее.

Fix
10:46:59 2016-11-07

спасибо Dr.Web

razgen Собкор
10:15:25 2016-11-07

@Влад, всё это понятно.но что делать будем если нам всем виндовс вырубят?вбросы с запада инфы уже идут.

Надо, начинать переходить на отечественные ОС.
Тем более, что в линейке антивирусных продуктов компании "Доктор Веб" предложения для Linux имеются.

L1t1um
09:55:27 2016-11-07

Спасибо за рекомендации. Антиспам ON!

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Вот где @ зарыта

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей