URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 62879
[ Назад ]

Исходное сообщение
"Странное письмо"
Отправлено Onix , 22-Дек-05 10:20

Всем привет.
Вчера вечером по почте пришло письмо, после просмотра заголовков которого я слегка офигел, а после просмотра почтовых логов - прифигел дополнительно...
Тело сообщения RFC822
Return-Path: <>
X-Original-To: мой_адрес@deepnet.ru
Delivered-To: мой_адрес@deepnet.ru
X-Spam-Level:
X-Spam-Status: No, score=-1.8 required=6.0 tests=ALL_TRUSTED,BAYES_50
autolearn=disabled version=3.1.0
From: "Вадим" <не_мой_адрес@mail.ru>
To: мой_адрес@deepnet.ru
Subject: Need for Speed≥ Most Wanted руссификатор
Message-Id: <20051221204306.828CB1648B5@deepnet.ru>
Date: Wed, 21 Dec 2005 23:43:06 +0300 (MSK)
X-Virus-Scanned: -=Onix=-
unknown
--
Sincerely yours
Вадим
===============================================================
/var/log/maillog:
Dec 21 23:41:53 onix postfix/anvil[40807]: statistics: max cache size 1 at Dec 21 23:39:53
Dec 21 23:43:06 onix postfix/smtpd[40879]: connect from localhost.deepnet.ru[127.0.0.1]
Dec 21 23:43:06 onix postfix/smtpd[40879]: 828CB1648B5: client=localhost.deepnet.ru[127.0.0.1]
Dec 21 23:43:06 onix postfix/cleanup[40881]: 828CB1648B5: message-id=<20051221204306.828CB1648B5@deepnet.ru>
Dec 21 23:43:06 onix postfix/qmgr[33109]: 828CB1648B5: from=<>, size=255, nrcpt=1 (queue active)
Dec 21 23:43:06 onix postfix/smtpd[40879]: disconnect from localhost.deepnet.ru[127.0.0.1]
Dec 21 23:43:06 onix clamsmtpd: 100759: accepted connection from: 127.0.0.1
Dec 21 23:43:06 onix postfix/smtpd[40883]: connect from localhost.deepnet.ru[127.0.0.1]
Dec 21 23:43:06 onix postfix/smtpd[40883]: C26D01648B6: client=localhost.deepnet.ru[127.0.0.1]
Dec 21 23:43:06 onix postfix/cleanup[40881]: C26D01648B6: message-id=<20051221204306.828CB1648B5@deepnet.ru>
Dec 21 23:43:06 onix postfix/smtp[40882]: 828CB1648B5: to=<мой_адрес@deepnet.ru>, relay=127.0.0.1[127.0.0.1], delay=0, status=sent (250 Ok: queued as C26D01648B6)
Dec 21 23:43:06 onix postfix/qmgr[33109]: C26D01648B6: from=<>, size=459, nrcpt=1 (queue active)
Dec 21 23:43:06 onix clamsmtpd: 100759: from=, to=мой_адрес@deepnet.ru, status=CLEAN
Dec 21 23:43:06 onix postfix/smtpd[40883]: disconnect from localhost.deepnet.ru[127.0.0.1]
Dec 21 23:43:06 onix postfix/qmgr[33109]: 828CB1648B5: removed
Dec 21 23:43:06 onix spamd[32564]: spamd: connection from localhost.deepnet.ru [127.0.0.1] at port 65394
Dec 21 23:43:07 onix spamd[32564]: spamd: setuid to filter succeeded
Dec 21 23:43:07 onix spamd[32564]: spamd: processing message <20051221204306.828CB1648B5@deepnet.ru> for filter:1004
Dec 21 23:43:07 onix postfix/smtpd[40887]: connect from localhost.deepnet.ru[127.0.0.1]
Dec 21 23:43:07 onix postfix/smtpd[40887]: 161FD1648B7: client=localhost.deepnet.ru[127.0.0.1]
Dec 21 23:43:09 onix spamd[32564]: spamd: clean message (-1.8/6.0) for filter:1004 in 2.1 seconds, 484 bytes.
Dec 21 23:43:09 onix spamd[32564]: spamd: result: . -1 - ALL_TRUSTED,BAYES_50 scantime=2.1,size=484,user=filter,uid=1004,required_score=6.0,rhost=localhost.deepnet.ru,raddr=127.0.0.1,rport=65394,mid=<20051221204306.828CB1648B5@deepnet.ru>,bayes=0.517730832017099,autolearn=disabled
Dec 21 23:43:09 onix spamd[32563]: prefork: child states: II
Dec 21 23:43:09 onix postfix/cleanup[40881]: 161FD1648B7: message-id=<20051221204306.828CB1648B5@deepnet.ru>
Dec 21 23:43:09 onix postfix/qmgr[33109]: 161FD1648B7: from=<>, size=405, nrcpt=1 (queue active)
Dec 21 23:43:09 onix postfix/smtpd[40887]: disconnect from localhost.deepnet.ru[127.0.0.1]
Dec 21 23:43:09 onix postfix/pipe[40884]: C26D01648B6: to=<мой_адрес@deepnet.ru>, relay=spamfilter, delay=3, status=sent (deepnet.ru)
Dec 21 23:43:09 onix postfix/qmgr[33109]: C26D01648B6: removed
Dec 21 23:43:09 onix postfix/virtual[40889]: 161FD1648B7: to=<мой_адрес@deepnet.ru>, relay=virtual, delay=2, status=sent (delivered to maildir)
Dec 21 23:43:09 onix postfix/qmgr[33109]: 161FD1648B7: removed
===================================================================
Вот такое дело - такое чувство что письмо просто возникло само собой внутри машины :)

Содержание

Странное письмо,antoshkin, 11:52 , 22-Дек-05
- Странное письмо,Onix, 12:10 , 22-Дек-05
  - Странное письмо,Skif, 12:58 , 22-Дек-05
    - Странное письмо,Onix, 15:39 , 22-Дек-05

Сообщения в этом обсуждении

"Странное письмо"
Отправлено antoshkin , 22-Дек-05 11:52

А апача+{perl|php} там у тебя не стоит?
Похоже либо на скрипт, либо на ip_spoofing
Либо какой-нибудь троянчик затесался. :)

"Странное письмо"
Отправлено Onix , 22-Дек-05 12:10

>А апача+{perl|php} там у тебя не стоит?
>Похоже либо на скрипт, либо на ip_spoofing
>Либо какой-нибудь троянчик затесался. :)
Стоит... но скрипты я пишу сам, и вроде как проверяю на передачу параметров...
Как только это увидел - зашел через терминал - посмотрел что в системе происходит, ничего подозрительного не увидел

"Странное письмо"
Отправлено Skif , 22-Дек-05 12:58

Проверь передачу параметров на спецсимволы, может проскакивает что-то из разряда |, & и т.д.

"Странное письмо"
Отправлено Onix , 22-Дек-05 15:39

>Проверь передачу параметров на спецсимволы, может проскакивает что-то из разряда |, &
>и т.д.
Всем спасибо: я все понял :)) Называется "а зовут его склероз", когда на сайте работает порядка 45 скриптов, можно и забыть про один из них, написанный чисто для проформы: обратная связь :)))) Это с него мне и написали... Хорошо что "Sincerely yours\n" и "$msg = $form{'message'} || 'unknown';" - мои любимые фразы :))) Только благодаря этому и меня осенило - не мой ли это скрипт ;)))