Blok SMTP

Z KHnetWiki

Přejít na: navigace, hledání

Obsah

Zablokované odesílání pošty

Spousta virů, červů nebo spyware je zneužívána pro rozesílání nevyžádané pošty (spamů). Vypadá to asi tak, že na daný počítač přijde hlášení od organizace zabývající se hledáním právě těchto počítačů a my jsme nuceni zablokovat počítači odesílání pošty (port 25 - SMTP). Uživatel je pak také k nalezení v "blokacích" na našem webu.

Problém těchto programů je hlavně ten, že je schopen zahltit prakticky jakoukoliv linku do sítě (o wifi to platí zvlášť) a způsobuje také obtěžování dalších stovek (a více) lidí po celém internetu.

Správci sítě KHnet.info mají povinnost (po příchodu hlášení) zablokovat počítač minimálně tak, aby již tyto emaily nefungovaly. Takže si uživatel nepošle žádný email pomocí jakéhokoliv programu (outlook, thunderbird, apod). Není omezeno používání webových rozhraní emailů (khnet.info, seznam, centrum, aj., případně našeho vnitřního serveru smtp.khnet.info). Uživateli je oznámena blokace emailem. Pokud si uživatel problém neodstraní, riskuje zablokování přístupu do celé sítě (viz. bod F Provozního řádu).

Funguje též automatický systém. Jednoduše počítá provoz z jednotlivých IP adres na SMTP servery. Při překročení hranice (cca 50) je rozesílán email s informací co to ten počítač dělá, vč. vzorku provozu ze které člověk vcelku rychle a úspěšně pozná, zda se jednalo skutečně o emaily. Při překročení počtu 200 pokusů o email za 24 hodin je automaticky vyvolána blokace popsaná v předchozím odstavci.

Antivirový program nic nenalezne

To se stát může. Teoreticky nemusel antivir červa/vira/spyware v okamžiku nákazy znát, takže nevyvolal žádnou protiakci. A poté je již možné, že se virus "schoval" tak, že antivir nemá šanci ho odhalit. Jiný problém je v tom, že viry tohoto typu nejsou většinou klasickými viry a použivají jiné způsoby šíření mezi počítači. To se týká především variant nazývaných červi. Ti se dokáží doslova "provrtat" do počítače po síti tak, aniž by si toho kdokoliv a cokoliv všimlo. Opět to má za následek nemožnost včasné detekce antivirem.

Správcům sítě KHnet.info lze v tomto ohledu věřit. Pokud prohlásí, že je počítač nakažen a vykazuje všechny příznaky tak tam prostě "něco je". Jsou schopni sledovat provoz z počítače a poznají to. Např. viry rozesílající spamy se poznají tak, že je v jeden okamžik spousta spojení na emailové servery po celém světě (často včetně neexistujících - prostě to zkouší). Málokdo v čechách používá zahraniční emailový server a ještě méně lidí používá víc než jeden, či dva. A i když náhodou používají víc serverů (např. já), tak nikdy ne naráz v jeden okamžik. To samé jsou projevy obecných červů. Opět se zkouší připojit na spoustu různých (tedy i neexistujících) počítačů najednou. Většinou zneužívají chyb windows, především jejich části "sdílení souborů". Takže jsou opět poměrně dobře rozpoznatelné.

Způsoby ochrany

Stoprocentní ochrana asi neexistuje, ale lze možnost šíření omezit na naprosté minimum. Můžeme tomu říkat svatá čtveřice - Antivir, Antispyware, Firewall a aktualizace windows.

  • Antivir - ten zabezpečí to, že virus není schopný nakazit počítač klasickými cestami. Tj. pomocí nakaženého souboru doneseného např. na disketě nebo cdčku, nebo došlého emailem, po ICQ, případně staženém z webové stránky, nebo podobně. Musí být aktuální! Měsíc starý antivir je naprosto k ničemu, byť např. NOD32 je schopen nalézt spoustu virů i bez jejich znalosti - říká se tomu heuristika. Jenže na to nelze spoléhat.
  • Antispyware - hlídání škodlivého softwaru, který není virem. To jsou různé prográmky snažící se nainstalovat na počítač při prohlížení stránek na internetu (porno je zářný příklad). Spyware je špatný v tom, že ho existují obrovská kvanta a není v silách antivirových společností je detekovat všechny. Proto jsou specializované firmy zabývající se spywarem. Ale ani ty nemohou znát vše ... Je nutné použít zdravý rozum a neklikat bláznivě na každý odkaz, který se nám líbí. Nebo spouštět všechno, co přijde emailem (zfalšovat adresu odesílatele totiž není vůbec žádný problém a myslet si že to je email od kamaráda - byť anglicky - je běžná praxe). Seznam kvalitních antispyware programů je zde
  • Firewall - doslova protipožární zeď. A funguje podobně - postaví zeď veškerému provozu ze sítě, co nemá na počítači co dělat. Důležité je především bezhlavě nepovolovat vše, co si řekne. Takže např. povolit sdílení souborů pouze z vlastních počítačů, programy které nemusí přijímat komunikaci ze sítě zásadně nepovolovat. Ono jich moc není - v podstatě pouze např. FTP klienti či hry (a to pouze v případě, kdy je potřeba zakládat "server" pro jiné hráče). Rozhodně nenadělá škodu zákaz, když člověk neví ... vždy to lze změnit, pokud něco nefunguje.
  • Aktualizace windows - žádný program není dokonalý, zvlášť windows ne. Proto microsoft pravidelně vydává aktualizace, které opravují nalezené chyby. Většina chyb, která je zneužitelná pro šíření virů/červů je opravena dříve, než se nějaký virus objeví. Tzn. pokud je počítač udržovaný, je poměrně nepravděpodobné jeho zneužití. Z toho důvodu lze dokonce zapnout automatiku (resp. po nainstalování windows je zapnutá) - potom si počítač nové aktualizace stahuje a instaluje sám, bez nutnosti zásahu uživatele. Je zarážející, že se stále šíří červi potřebující k "provozu" chybu windows opravenou před několika lety ... Vysvětlení je pouze jedno. Procento kradených (nelegálních) windows je vysoké a jelikož mají lidé strach (není se co divit, s ukradeným automobilem také nesnese jezdit kdekdo), tak si aktualizace vypnou. A to je špatné ... hodně špatné.

Způsoby detekce

Antivirem

Správně nainstalovaný a udržovaný antivir kontroluje každý spouštěný program sám automaticky a pokud se mu nelíbí, tak zakáže jeho spuštění. To je naprostý základ. Bohužel, jak bylo zmíněno výše, někdy to nestačí ... Virus může být spouštěn ještě dříve, než antivir a může se dokázat "schovat". Některé viry dokonce dokáží některé antiviry zablokovat tak, že přestanou fungovat.

  • Jedno řešení je spustit počítač v tzv. nouzovém režimu (stisk F8 ihned při startování windows) a teprve v něm ručně proscanovat celý disk nevyšší úrovní detekce. V 99% případů v tu chvíli není virus v paměti, takže je antivir schopen ho najít a případně i odstranit.
  • Druhé řešení je vymontovat disk z počítače a nechat ho proscanovat na jiném počítači.
  • Třetí řešení je využití specializovaných CDček, ze kterých se počítač spustí a následně zkontroluje (je k nalezení např. na www.grisoft.cz, bohužel ne každá antivirová firma toto řešení nabízí).

Sledováním provozu

Toto řešení využívá vlastnosti všech červů - komunikace po síti. Programem tcpview.exe (případně originální stránky zde) se lze podívat, co všechno za programy na počítači se snaží komunikovat, případně přijímat data. Analýza těchto informací sice již vyžaduje určité znalosti, ale v jednoduchosti stačí říct, že žádný program by neměl mít "hodně" spojení (snad kromě procesu s názvem System) ven do internetu. Zvlášť pokud je tam spousta (většinou stejných) programů navazujících spojení (ve sloupečku Remote address) na porty 25 (SMTP), 445 a 135-139. Nejsou-li vidět tyto čísla, lze vypnout v menu Options/Resolve Addresses. Kvalitním indikátorem je také spousta stavů "SYN SENT". Seznam lze také uložit do souboru - pokud ho pošlete na e-mail, zkusíme ho prohlédnout a vynést rozsudek. Tento program dokonce umožňuje zjistit, kde program na disku je, takže je ho možno ručně nalézt (raději ve zmíněném nouzovém režimu) a smazat. Většinou to problém vyřeší.

HijackThis

Pomocí prográmku HijackThis lze zjistit strašnou spoustu informací o spuštěných programech, instalovaných doplňcích apod. Vysvětlovat se mi to nechce ... koukněte sem Zjištěné informace lze uložit do souboru a poslat někomu, kdo tomu rozumí. Např na guru

Vzor hlášení o rozesílání spamů

Důkazy jsou zvýrazněné. Podle nich lze jednoznačně identifikovat původce toho emailu, neboť hlavičky Received vkládají do emailů všechny servery, přes které email prochází (každý jednu) a ty již zfalšovat v podstatě nelze (nelze předpokládat, že by všechny byly napadeny nějakým červíkem a nešlo to tedy vystopovat). V poslední části hlášení je vidět i vlastní znění emailu. Ruku na srdce ... poslal by takovouto kravinu nějaký normální uživatel? Pouze pokud by to naschvál někomu přeposlal k identifikaci ... to by ovšem hlavičky vypadaly správně, např. From i ty Received.

Dobry den, 
preposilame stiznost na rozesilani nevyzadane posty (spamu) z adresy ve 
Vam pridelenem IP rozsahu. Zadame o prijeti prislusnych opatreni k zabraneni 
teto cinnosti. Na tento informacni mail, prosime, neodpovidejte. 

S pozdravem 

NOC / Sloane Park Property Trust Praha 
Hotline: 844-55-XX-YY

************* Zacatek preposilane zpravy:

> [ SpamCop V640 ]
> This message is brief for your comfort.  Please use links below for details.
> 
> Email from 88.146.226.000 / Fri, 21 Sep 2007 08:27:24 -0400
> 
> [ Offending message ]
> Return-Path: <mailman-bounces@skiltech.com>
> X-Original-To: x
> Delivered-To: x
> Received: from localhost (localhost [127.0.0.1])
> 	by mail.skiltech.com (Postfix) with ESMTP id ADB7823EFC5
>  	for <x>; Fri, 21 Sep 2007 08:27:43 -0400 (EDT)
> X-Virus-Scanned: amavisd-new at skiltech.com
> X-Spam-Flag: NO
> X-Spam-Score: 5.167
> X-Spam-Level: *****
> X-Spam-Status: No, score=5.167 tagged_above=2 required=9 tests=[AWL=1.800,
> 	BAYES_50=0.001, FRT_DOLLAR=2.366, FRT_OPPORTUN1=1]
> Received: from mail.skiltech.com ([127.0.0.1])
> 	by localhost (bunning.skiltech.com [127.0.0.1]) (amavisd-new, port 10024)
> 	with ESMTP id HCPDQPZVwuZL for <x>;
> 	Fri, 21 Sep 2007 08:27:36 -0400 (EDT)
> Received: from ennis.skiltech.com (lists.skiltech.com [65.36.174.216])
> 	by mail.skiltech.com (Postfix) with ESMTP id 390B1244C94
> 	for <x>; Fri, 21 Sep 2007 08:27:36 -0400 (EDT)
> Received: from ennis.skiltech.com (localhost.skiltech.com [127.0.0.1])
> 	by ennis.skiltech.com (Postfix) with ESMTP id E54D21CDEA
> 	for <x>; Fri, 21 Sep 2007 08:27:35 -0400 (EDT)
> X-Original-To: x
> Delivered-To: x
> Received: from mail.skiltech.com (bunning.skiltech.com [65.36.251.181])
> 	by ennis.skiltech.com (Postfix) with ESMTP id E39DC1CDE2
> 	for <x>;
> 	Fri, 21 Sep 2007 08:27:34 -0400 (EDT)
> Received: by mail.skiltech.com (Postfix)
> 	id DC141244CAB; Fri, 21 Sep 2007 08:27:34 -0400 (EDT)
> Delivered-To: x
> Received: from localhost (localhost [127.0.0.1])
> 	by mail.skiltech.com (Postfix) with ESMTP id BC1C1244C99
> 	for <x>; Fri, 21 Sep 2007 08:27:34 -0400 (EDT)
> X-Virus-Scanned: amavisd-new at skiltech.com
> Received: from mail.skiltech.com ([127.0.0.1])
> 	by localhost (bunning.skiltech.com [127.0.0.1]) (amavisd-new,
> 	port 10024)
> 	with ESMTP id 8kp10kyHP5uG for <x>;
> 	Fri, 21 Sep 2007 08:27:27 -0400 (EDT)
> Received: from NEKDO_U_NAS.kh-net.cz (unknown [88.146.226.000])
> 	by mail.skiltech.com (Postfix) with ESMTP id A8C8B244CB0
> 	for <x>; Fri, 21 Sep 2007 08:27:24 -0400 (EDT)
> Received: from doma-jsjsj6l0gr ([179.162.177.85] helo=doma-jsjsj6l0gr)
> 	by NEKDO_U_NAS.kh-net.cz ( sendmail 8.13.3/8.13.1) with esmtpa id
> 	1JFnGt-000OGD-NI
> 	for x; Fri, 21 Sep 2007 14:27:56 +0200
> Message-ID: <A83F_________8F8B@carnivalsource.com>
> Date: Fri, 21 Sep 2007 14:27:25 +0200
> From: "Josipa Lorenzen" <Lorenzenzmk@carnivalsource.com>
> User-Agent: Thunderbird 1.5.0.10 (Windows/20070221)
> MIME-Version: 1.0
> To: x
> Subject: tfrevfa
> Content-Type: text/plain; charset=ISO-8859-1; format=flowed
> Content-Transfer-Encoding: 7bit
> Sender: mailman-bounces@skiltech.com
> Errors-To: mailman-bounces@skiltech.com
> 
> Ru,mor N_e+w's-: 
> Oncol +ogy M.e*d,. I+n*c'.  (*OTC: O.NCO) a Can-cer Tr,.eatment So.lut ions Gro'up is s,a,i*d to h a-v,e 
> experience**d o'v_e*r a 1000-% incre.as e in re*venu_es f+o r t,h e fi_scal 3_r*d quar.ter end+ing J-u'l'y,, 
> 2-0.0+7 com+-pared w.i't_h t h_e p*rior y-e*a,r wh_ile fisc_al fou*rth quarte.r resu.lts f.o+r 2,0*0-7 a_r,e on
> 
> tr+ack to exce ed t.h'i s yea_r’s thir+d quarte+r re-sults. 
> 
> 
> O'N,C.O ad-dit-ionally pla-ns to incr+eas.e servi*ce o'ffe,rings whi_ch a'r*e curre+.ntly unde*,rway. 
> Don’+t w a'i,t f-o+r t-h-e n,e.w s to c_o+m e o*u t a'n_d l-o,s+e t*h+e o pportu-nity to g+e't in fr'ont of the
> 
> gene ral i-nves,ting pu,blic.  On_*cology M*e,d is in a mu.ltibil'lion do,llar in dus-try w+h e.r*e 
> 
> t.h'e.y a r-e ga-ining marke.t sh*are rapi_dly. 
> 
> 
> C,a l-l y o+u r bro+ker n'o+w f o'r O N'C O+. 
> 
> )
> 


Odkazy

Jak na viry a spyware trocha informací z naší dílny (byť převzato)
viry.cz stránka s informacemi o různých havětích, způsobech detekce a odstraňování virů. Rozhodně ji nepřehlédněte.
spyware.cz sesterská stránka s pojednáním o spywaru

Osobní nástroje