Re: some strange logs

От: Roman Prokhorov <CGatePro_at_mx_ru>
Дата: Mon 12 Feb 2007 - 04:50:49 MSK

Hello,
  Vladimir S. Mendelevich on 11.02.2007 23:35 wrote:

> Hello, Dmitry!
> You wrote to "CommuniGate Pro Russian Discussions" <CGatePro@mx.ru> on
> Sun, 11 Feb 2007 21:08:49 +0300:
>
> DA> При чем здесь машина пользователя, если использовадся заход через
> DA> WebUser? Из приведенного выше куска лога видно, что писбма
> DA> перенаправлялись через WebUser интерфейс. Теперь имело бы смысл
> DA> отфильтровать лог по номеру этой сессии, чтобы увидеть, откуда
> DA> пользователь работал.
>
> Ну так не пальцем деланы. Сессия открывалась из их офиса. Доступа туда у
> меня нет. По логам вижу их NAT адрес.
>
> ??>> До этого у них весь офис накрыли
> ??>> какие-то вирусы. По телефону рассказывали сказки.
> ??>>
> ??>> В общем, выглядело так. Все письма, что ЭТО видело в папках оно
> ??>> размножало непонятным мне образом. То-есть, через WEB интерфейс. Через
> ??>> smtp и них ничего не проходило. В итоге была куча отлупов. Они тоже
> ??>> попадали под раздачу.... Пока не закрыл доступ так и продолжалось.
> ??>>
> ??>> Установить, что было с той стороны не удастся. Хотелось бы понять
> ??>> механизм.
>
> DA> В данном случае письма перенаправлялись, что называется, "ручками".
> DA> "автоматическое размножение" было бы возможно с использованием правил -
> DA> ног тогда бы и лог был другим.
>
> Понятно, что не правилом. Это было бы видно. Мне в их офисе сказали, что
> пользователь болеет дома, а машина его в ремонте. Это и странно. Они
> сначала претензии выставляли. Я стал выяснять, что он там делает в
> конекретый момент времени. А когда выяснил, что его нет, переслал им
> логи. Претензии резко исчезли.
>
> Этих размножений было ОЧЕНЬ много. Около 5000 за раз. Собственно, на все
> письма в ящике. А там одних отлупов дофига.

А посылались они на один адрес или на разные?

> Но все равно я не понимаю. Что за софтина, да еще и с большой
> вероятностью запускаемая несознательно, могла это делать. Я ПОЧТИ
> уверен, что это не человек.

Ну, теоретически можно создать скриптик, который открывает WebMail сессию (зная логин и пароль) и по HTTP кидает команды на Forward/Redirect случайных номеров писем из ящика с известным именем...

А если это человек, он может отфорвардить 5000 писем за раз, если откроет ящик с 5000 письмами, нажмёт select all, введёт адрес и нажмёт redirect to...

Советую ужесточить Outgoing Flow Control <http://www.stalker.com/CommuniGatePro/Local.html#Flow>

-- 
Roman
Получено Mon Feb 12 01:50:46 2007

Этот архив был сгенерирован hypermail 2.1.8 : Mon 12 Feb 2007 - 05:13:13 MSK