The Diary
cmage's blog
<- Дневника
Архив за Декември, 2005
Сряда, 7 Декември 2005
Антивирусни и тем подобни
От доста време се чудя дали да не си направя и аз един блог (щото било модерно)и все не мога да се наканя. Да не говорим, че направо се чудя какво и как ще пиша в него. Е, наканих се. Избраният софтуер е на Георги Чорбаджийски, чийто Glog чета редовно и това, което ми хареса в него е колко просто е направено всичко. Е - ето го и моя блог, а сега само времето ще покаже какво и как ще се появява в него.
Другата причина за пускането му е, че за пореден път се издразних от безхаберието на някой админи на претенциозни фирми по отношение на антивирусният им софтуер, с който филтрират пощата си на мейл сърверите. То бива, то може, ама чак пък толкова е направо прекалено. Какво имам в предвид.
На времето може и да е работила схемата: Получаваш заразен е-мейл, пращаш обратна разписка на подателя, да си знае, да си изчисти машината. Да, ама сега 99.99% от вирусите слагат за From: нещо съвсем "случайно". И в голяма степен от случаите, това "случайно" е мейл адреса на човек, който го има я в адрес листата на заразения компютър, я някъде кеширан от интернет страниците. В общият случай хвърчат обратни "предупреждения" към съвсем невинни хора, създавайки паника и мултиплицирайки трафика при това ненужно. Когато днес за пореден път се хванах да разчистя входящата пощенска кутия на account, който е направен само и единствено да се ползва за From: и Reply-to: полетата при регистрация на един известен сайт, за пореден път се хванах за главата. Имайте в предвид, че НИКОЙ (разбирайте човек), НИКОГА не праща от този мейл адрес каквато и да е поща. Въпреки всичко пощенската кутия се пълни ежедневно с всякакви предупрежения, че разбираш ли ме ти комютъра бил заразен. Доказателствата от днес - след малко. А сега си представям как му се изправя косата на горкия бай Пешо от Долно Сусурлево, нагледал се на научна фантастика, когато получи някой от следните "предупреждения".
Колеги, спрете го това безумие - пращайте подобни писма към /dev/null директно. Иначе не помагате на никой - напротив, всявате паника в нищо неподозиращите потребители!
А ето и малко хедъри от подобни писма:
From: MAILER-DAEMON {at} skype.net (Mail Delivery System)
Subject: Undelivered Mail Returned to Sender
To: system {at} mtel.net
..
<noreply {at} skype.net>: host 127.0.0.1[127.0.0.1] said: 550 5.7.1 Message content rejected, id=15117-02 - VIRUS: Worm.Mytob.Gen-2 (in reply to end of DATA command) ...
Received: from mtel.net (121-195.city-lan.org [213.145.121.195]) by mail.skype.net (Postfix) with ESMTP id 87FDA4DFC2 for <noreply {at} skype.net> Wed, 30 Nov 2005 21:30:04 +0100 (CET)
From: system {at} mtel.net
To: noreply {at} skype.net
Мдааа .... не знаех, че на www.mtel.bg IP-то му е 213.145.121.195
Следващите - за по-голям майтап, погледнете хедърите и се опитайте да отгатнете какво не е наред.
Return-Path: <MAILER-DAEMON {at} mtel.net>
Delivered-To: system {at} mtel.net
...
Received: from mbox.infotel.bg (212.39.65.212) by mail.mtel.net with SMTP; 1 Dec 2005 11:06:30 -0000
Received: from mtel.net (IDENT:root@localhost.localdomain [127.0.0.1]) by mbox.infotel.bg (8.12.5/8.12.5) with ESMTP id jB1B4S8C010494 for <system {at} mtel.net>; Thu, 1 Dec 2005 13:04:29 +0200
...
From: "Returned mail" <MAILER-DAEMON {at} mtel.net>
To: system {at} mtel.net
Subject: Delivery reports about your e-mail
...
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MIMEOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
...
----Virus Warning Message (from InterScanVirusWall mbox.infotel.bg)
Found virus WORM_MYDOOM.L in file Message.scr The uncleanable file is deleted.
If you have questions, contact administrator.
---------------------------------------------------------
WTF?! Само на мен ли ми се струва или моя мейл сървер е токова интелигентен, че знае че InterScanVirusWhatever на инфотел е прихванал вирус?
НСИ
Delivered-To: system {at} mtel.net
...
From: "AntiVirus Admin" <postmaster {at} venus.nsi.bg>
To: system {at} mtel.net
Subject: virus found in sent message "HELLO"
Attention: system {at} mtel.net
A virus was found in an Email message you sent. This Email scanner intercepted it and stopped the entire message reaching its destination.
The virus was reported to be:
Worm.Mytob.AC
Please update your virus scanner or contact your IT support personnel as soon as possible as you may have a virus on your system.
Your message was sent with the following envelope:
MAIL FROM: system {at} mtel.net
RCPT TO: brian {at} prnk-13.nsi.bg
... and with the following headers:
--- MAILFROM: system {at} mtel.net Received: from unknown (HELO mtel.net) (84.242.186.225) by venus.nsi.bg with SMTP; 1 Dec 2005 15:17:56 +0200
Странно, и тук не си виждам IP-тата. За сметка на това обаче, трябва възможно най-скоро да се обадя на някой от ИТ-то. Мда.
uni-sofia. И то UCC. Обзалагам се, че не го администрира Веселин Колев.
Received: from ns.libsu.uni-sofia.bg (62.44.110.10) by mail.mtel.net with SMTP; 2 Dec 2005 08:12:00 -0000
Date: 2 Dec 2005 08:02:59 -0000
From: "System Anti-Virus Administrator" <root {at} test-mail.ucc.uni-sofia.bg>
To: system {at} mtel.net
Subject: virus found in sent message "Mail Delivery (failure yankova {at} libsu.uni-sofia.bg)"
Attention: system {at} mtel.net
A virus was found in an Email message you sent. This Email scanner intercepted it and stopped the entire message reaching its destination.
The virus was reported to be:
HTML/IFrame@expl
Please update your virus scanner or contact your IT support personnel as soon as possible as you have a virus on your system.
Your message was sent with the following envelope:
MAIL FROM: system {at} mtel.net
RCPT TO: yankova {at} libsu.uni-sofia.bg
... and with the following headers:
Received: from ady.uni-sofia.bg (62.44.96.7) by ns.libsu.uni-sofia.bg with SMTP; 2 Dec 2005 08:02:58 -0000
Received: from libsu.uni-sofia.bg (136.net2.mobifonika.com [62.73.91.136]) by ady.uni-sofia.bg (8.13.4/8.12.11) with ESMTP id jB28BNKS009374 for <yankova {at} libsu.uni-sofia.bg>; Fri, 2 Dec 2005 10:11:24 +0200
From: system {at} mtel.net
To: yankova {at} libsu.uni-sofia.bg
Да, ОК, whatever ...
Evrocom.net - същата история като по-горе на ucc.uni-sofia
Ето едни други любимци - MVR.BG
Received: from unknown (HELO mvr2.int.mvr.bg) (212.122.166.134) by mail.mtel.net with SMTP; 6 Dec 2005 10:19:42 -0000
Received: by MVR2 with Internet Mail Service (5.5.2657.72) id <W9NDB37V>; Tue, 6 Dec 2005 12:19:15 +0200
From: System Administrator <postmaster {at} mvr.bg>
To: system {at} mtel.net
Subject: Undeliverable: Hello
Your message
To: helen {at} mail.ru
Subject: Hello
Sent: Tue, 6 Dec 2005 13:10:49 +0200
did not reach the following recipient(s):
helen {at} mail.ru on Tue, 6 Dec 2005 12:19:10 +0200 The recipient name is not recognized The MTS-ID of the original message is: c=us;a= ;p=mvr;l=MVR20512061019W9NDB37S
Моля?! Каква helen {at} mail.ru ви гони по вашите сървери?! А онова c=us в MTS-ID-то какво е?!
prosoft.bg - като mvr.bg. Само c=bg ;-)
И списъка продължава ли продължава - сигурно томове мога да изпиша. Схванахте идеята. Ако сте прочели до тук.
[ Коментари: 7 / Добави коментар ]Коментари
я пейстни хедърите на такива писма от Evrocom.net
@dzver е аз използвеам неговия Glog. Но ще се опитам, когато ми остане време.
@veno
Тези дни, когато се върна в България. Надявам се да не съм ги изтрил.
@veno
Return-Path: <>
Delivered-To: system {at} mtel.net
..
Received: from ns2.evrocom.net (217.10.240.242)
by mail.mtel.net with SMTP; 5 Dec 2005 10:23:25 -0000
Received: (qmail 45247 invoked by uid 1001); 5 Dec 2005 09:57:27 -0000
Date: 5 Dec 2005 09:57:27 -0000
From: "System Anti-Virus Administrator" <root {at} ns2.evrocom.net>
To: system {at} mtel.net
Subject: virus found in sent message "Mail Delivery (failure nbiv {at} evrocom.net)"
Message-ID: <ns2.evrocom.net113377664746144467@ns2.evrocom.net>
X-Tnz-Problem-Type: 40
MIME-Version: 1.0
Content-type: text/plain
...
Attention: system {at} mtel.net
A virus was found in an Email message you sent.
This Email scanner intercepted it and stopped the entire message
reaching its destination.
The virus was reported to be:
Worm.SomeFool.P
Please update your virus scanner or contact your IT support
personnel as soon as possible as you may have a virus on your system.
Your message was sent with the following envelope:
MAIL FROM: system {at} mtel.net
RCPT TO: nbiv {at} evrocom.net
fixed, добре, че сме се изложили само на secondary MTA-то ;)
Причината, поради която пощенските хъбове ady.uni-sofia.bg и ns.uni-sofia.bg не генерират съобщения за заразени с вирус писма е, че върху тях няма пощенски скенери. Целта е да се избегне претоварване на системата вследствие сканиране. Пощенският поток към AS5421 (SUNET) е огромен и сканиране за вируси на писмата се прави единствено и само на сървърите, на които стоят кутиите на потребителите. А и целта на пощенския хъб е само да маршрутизира пощенския поток и нищо друго.
Примерно посочения горе ns.libsu.uni-sofia.bg е такъв краен сортировчик с локални потребителски кутии (не го администрирам аз). Хората не са сложили антивирусен скенер. Може да имат слаба машина и да дистрибутират натоварването от сканиране върху локалните станции, на които се получават вирусите и има антивирусен софтуер.
Аз лично не мисля, че изпращането на писмо със съобщение към подателя, че компютъра му е заразен, е много ефективно. Причината е, че огромното болшинство вируси изобщо не използват при изпращането на писмата за себевъзпроивеждане, някакъв реално съществуващ адрес. Основния похват е да да се използва някакво име на домейн и към него да се прибавя произволно име на кутия. Другият е да се чете локалния адресен лист и да се изпращат писма от името на адресите налични в него. Има и трети - генериране на имена на домейни.
Обраното съобщение помага само, ако някой изпрати прикачен файл съзнателно, но не знае, че файла е заразен (примерно MS Office форматен файл с VBS базиран вирус в него).
Петък, 9 Декември 2005
Журналистическa порнография
Това е ЛИЧНО моя позиция, която по никакъв начин не ангажира нито фирмата в която работя, нито някой от нейните служители.
От началото искам да уточня, че темата за авторските права изобщо няма и да я засягам.
За пореден път се убеждавам, че половината журналисти,претендиращи да пишат на ИТ тематика (най-общо) хал-хабер си нямат с какво си вадят хляба. Погледнете тук: http://www.standartnews.com/archive/2005/12/09/investigate/index.htm
Даже при повърхностно четене статията бъка с грешки и откровени глупости. Да оставим настрана, че същите тези журналисти си спретнаха една хубава ефтинка сензация на гърба на хората без грам доказателства по случая и им лепнаха едни етикети, които ще си ги носят цял живот (нали се сещате - ходи доказвай, че не си камила), ами поне можеха да напишат нещо технически грамотно. Да започнем малко от това "Когато са получили потребителското си име и паролата, човек от фирмата им е обяснил, че когато изпишат IP адреса FTP://217.75.128.33, получават достъп до "чудесна база данни с XXX съдържание"."
Прост nslookup показва, че това всъщмност е mm.gen.wazzzup.net (mp3.online.bg). Където всъщност имало mp3-ки. Ахмдам. Всъщност твърдението е тотално объркано. "Чудесната колекция от XXX съдържание" по мои спомени (аз съм клиент на online.bg) беше на ex.online.bg, което се явяваше front-end към hell.online.bg и earth.online.bg, сърверите с очевидно големи дискови масиви. И да, там имаше порно - ама това порно беше на Private и на Vivid. Фирми, които са се доказали в световен мащаб като порно производители и цялта им продукция е ЗАКОННА за лица 18+ и с актьори на възраст 18+.
Твърдение номер две:
"На сходен IP адрес пък - FTP://217.75.128.55 се съдържал музикалният каталог с безплатни песни във формат mp3."
Яко. 217.75.128.55 и до момента се ресолва като www.mirela.bg. И си работи като такова. Агенция за недвижими имоти. Сигурно с апартаментите според писача на стандарт вървят и малки дечица. Аман от глупости.
"Акцията на антимафиотите започва от прихванат интернет трафик."
Интересно твърдение. Тогава започвала акцията. А на какво основание ПРЕДИ да започне акцията е бил "прихващан" интернет трафика?
"Експертизите на двата иззети от антимафиотите сървъра показват, че администраторите им прилежно са систематизирали филмите по заглавия и вид съдържание, което прави невъзможна тезата, че не са знаели какво има на компютрите."
Глупости на търкелета. Тоя чувал ли е за скриптове? Май не. Просто си ги представям администраторите на Онлайн как по цели нощи преглеждат филми и ги "систематизират".
"В друг поддомейн се държи порното - www.ex.online.bg. "
Поредната глупост. Там беше търсачката за филми и музика.
"Преди по-малко от година нещата се променят. Достъпът до порното от сайта е отрязан, като се влиза с парола и заплащане през IP адресите."
Глупости. ex.online.bg беше оставено отворено само за клиенти на Онлайн. За ВСИЧКИ клиенти.
"За да се маскира пиратското съдържание на музика и холивудски филми, при изписването на www.mp3.online.bg потребителят автоматично се прехвърля в сайта www.mmgen.vazzup.net."
То едно маскиране шЪ знаиш. Поне wazzzup да беше написано вярно ...
И накрая: Дами и Господа Журналисти. Кога ще се извините ПУБЛИЧНО, по начина по който бяха отправени ПУБЛИЧНО обвиненията към хората от Онлайн за това, че ги квалифицирахте в медиите като "педофили", обвинение, което даже не е било повдигнато според днешните публикации? Не че очаквам да го направите. Това не е сензация. Но ще е сензация, ако поне веднъж се извините за това, че сте очернили някой и сте му съсипали името.
[ Коментари: 3 / Добави коментар ]Коментари
Нямам думи. И аз много се издразних от публикациите в Стандарт, които си бяха откровена порнография. Тия хора като не знаят нещо, защо изобщо пишат?? :(
Съжалявам, че излизат такива парцали в страната ни. На вестник Стандарт само тази статия да му беше кусура..Всичко там е така преувеличено, поднесено като някаква огромна сензация. Например като парламентарна кола уби човек, там излезе заглавие: "парламентарна кола уби скитник". И вътре замазана случката... Как човека стана скитник хич не ми стана ясно.
Да са живи и здрави админите на онлайн и дано тези журналистически глупости не им се отразят негативно.
българиа - репортери = rating , алчност , идиоти
не всички са така но повечето репортери са абсолютни кретени станали такива с враски >
нито на тях нито на редакторите им дреме за това което пишат стига то да е сензациа > и ние жием в тая даржава о_0 1во са лажите > сензациата после е ратинга българиа .. :<
nqmam dumi napravo me razbixte
Написа sladura (email) на 11-Apr-2007 15:36
Събота, 10 Декември 2005
Още малко по вчерашната тема от yovko
[ Добави коментар ]
Петък, 16 Декември 2005
Уточнение към Журналистическa порнография
Поради недоглеждане от моя страна, за което се извинявам, частта:
"
"На сходен IP адрес пък - FTP://217.75.128.55 се съдържал музикалният каталог с безплатни песни във формат mp3."
Яко. 217.75.128.55 и до момента се ресолва като www.mirela.bg. И си работи като такова. Агенция за недвижими имоти. Сигурно с апартаментите според писача на стандарт вървят и малки дечица. Аман от глупости."
"
не е съвсем вярна. Истина е, че обратният запис на 217.75.128.55 се ресолва като www.mirela.bg, но самото www.mirela.bg се намира на адрес 217.75.128.58 в момента (mirela2.mirela.bg). На адреса 217.75.128.55 (www.mirela.bg) обаче не мога да намеря нито ftp, нито web сървер.
Благодаря на човека, който ми обърна внимание върху това в клубовете на dir.bg. Подписва се като "Areнт"
п.п.
А според http://news.bg/article.php?cid=7&pid=0&aid=169500 участниците в "педофилската" мрежа са все още 7... Нямам думи просто.
[ Добави коментар ]
Except where otherwise noted the content of this site is licensed under a
Creative Commons Attribution License.Comments, texts and pictures not signed by me are property of their respective owners.
Glog (c) 2003-2005 by Georgi Chorbadzhiyski. Some rights reserved.
Страницата е генерирана от Glog v3.50
Лична молба - подмени целеникавите цветове с някакви по-поносими. Така блогът ти прилича на този на Чорбаджийски, а той изглежда отвратително и не знам как хората изобщо успяват да го гледат :)
Дано имаш много интересни неща да кажеш!
Написа dzver (email) (www) на 12-Dec-2005 01:16