Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 68
Письма подобного рода могут проверять используемость аккаунта или направлять на заражённый сайт. Также это может использоваться для сопоставления этого акка с IP-адресом.
Может, сделать скрипт, который будет выкладывать спам на хабр?
Может, сделать скрипт, который будет выкладывать спам на хабр?
Так. Зараженный сайт, скорее всего, отпадает - моментально выкидывает на настоящих одноклассников. Правда, у меня Мак, что не исключает заражения для виндоус-машин.
Насчет скрипта - не понял юмора :)
Насчет скрипта - не понял юмора :)
Скрипт нужен, чтобы все хабралюди могли насладиться содержимым папки "Спам".
Это сообщение не попало в спам, ясен павел. Это же стандартное письмо от одноклассников, которое гмыло и другие пропускают на ура.
По сути, это нежелательное письмо, которое пришло на "почту" одноклассников.
Ко мне сегодня пришло 3 таких. Попали прямиком в спам, где я их случайно и нашёл. Отосланы были на 3 адреса одного домена, который принадлежит мне. На этом домене настроена переадресация на мой gmail повседневный. Очень удивило как связали мой домен с аккаунтом на одноклассниках. :(
У меня нет аккаунта на одноклассниках, но мне тоже пришло несколько таких писем, как обычный спам.
У меня точно так же, пришли на спам-ящик на яндексе.
Тоже самое. Пришло три или четыре (на разные адреса, которые редиректятся в джимэйл). Тоже обнаружил их случайно в спаме. Еще удивился за что их в спам то. И не рассматривая заархивировал (по ссылкам не тыкаю, а сразу из закладок иду на сайт и читаю).
Сейчас достал их из архива - они даже сгруппировались с нормальными письмами.
А насчет того как связали - у меня ничего не связано, обращение не по имени, а по мылу.
Сейчас достал их из архива - они даже сгруппировались с нормальными письмами.
А насчет того как связали - у меня ничего не связано, обращение не по имени, а по мылу.
Может быть, XSS?
Решил посмотреть Вашу ссылку. Как и предполагалось, все на самом деле гораздо проще. Редиректит Вас там потому, что Вы используете относительно безопасные браузеры последних версий, типа ff или opera. Но попробуйте зайти по этой ссылке под всеми любимым шестым ослом (хотя лучше не стоит). Вам тут же любезно попытаются загрузить трояна с помощью небезысвестных эксплоитов MDAC и WFI (а вот и они - odnoklassnikis.info/load.php?spl=wfi и odnoklassnikis.info/load.php?spl=mdac).
Вывод: слава FF и Opera!
Вывод: слава FF и Opera!
Внимание, просматривая этот топик вы можете потерять свой аккаунт! Подробности - http://konfuze.habrahabr.ru/blog/43692.h…
тоже кликнул
вывалилась ошибка
Warning: mysql_connect() [function.mysql-connect]: User weektour_odno has already more than 'max_user_connections' active connections in /home/weektour/public_html/odnoklassnikis/index.php on line 15
вывалилась ошибка
Warning: mysql_connect() [function.mysql-connect]: User weektour_odno has already more than 'max_user_connections' active connections in /home/weektour/public_html/odnoklassnikis/index.php on line 15
У меня это выпало на айфоне, я не придал значения, закрыл и забыл. Пришел домой - снова кликнул (помню же, что от кого-то сообщение не открылось)... Вот пакость! :(
Хабраэффект?
weektour — странно звучит, словно отдельная папка для демо-хостинга для тех, кто тестирует
У меня такая шняга вылетела, когда пытался просмотреть ODNOKLASSNIKIS.INFO (без параметров).
Я на однокласниках не зареган, поэтому письмо сразу вызвало подозрение. Плюс в обращении стояло "Здравствуйте, " и мой mail (а не Имя пользователя, как на всех подобных сайтах)))
Предлогаю агит. программу: ПРЕДУПРЕДИ )) А то пол дня прошло, а нигде кроме Хабры ничего про это еще прочитал
Я на однокласниках не зареган, поэтому письмо сразу вызвало подозрение. Плюс в обращении стояло "Здравствуйте, " и мой mail (а не Имя пользователя, как на всех подобных сайтах)))
Предлогаю агит. программу: ПРЕДУПРЕДИ )) А то пол дня прошло, а нигде кроме Хабры ничего про это еще прочитал
Я всегда смотрю на ссылку.
Она может содержать либо ошибочно написанный домен, либо текст ссылки будет содержать правильно написанный домен, а сама ссылка вести на подставной сайт. Так чаще всего бывает с похожими письмами, где предлагается скачать поздравительную открытку.
Она может содержать либо ошибочно написанный домен, либо текст ссылки будет содержать правильно написанный домен, а сама ссылка вести на подставной сайт. Так чаще всего бывает с похожими письмами, где предлагается скачать поздравительную открытку.
Скорее всего, это фишинговый сайт, или что-то в этом роде.
Проверяют рабочесть email'ов в своей спамерской базе. Вы кликнули, для вашего email'а поставилась галочка - "живой", ваш адрес продадут по большей цене, радуйтесь, ваш клик увеличил денежный оборот :)
Странно.
если набирать просто ...info - ответ 302 и и редирект на однокласников
если ...info//mi?l=blabla - 404
все что после = мне в жизнь не перебить руками
посмотрите - одинаковые ли эти коды во всех письмах.
если нет то возможно срабатывает это дело 1 раз а потом пишет что 404
если выдает warning значит эпидемия уже довольно большая
если набирать просто ...info - ответ 302 и и редирект на однокласников
если ...info//mi?l=blabla - 404
все что после = мне в жизнь не перебить руками
посмотрите - одинаковые ли эти коды во всех письмах.
если нет то возможно срабатывает это дело 1 раз а потом пишет что 404
если выдает warning значит эпидемия уже довольно большая
да, проспамили все ящики. Заголовки проверял — просто редирект стоит (никакого XSS), который читает и(ли) пишет в базу факт получения. Очень вероятно, что "простукивают" базу, ибо ничего больше предположить не удается
А что мешает скрипту серверному отдать хедер с редиректом?
А по поводу проверки спамерской базы: очень даже жизнеспособный вариант.
А по поводу проверки спамерской базы: очень даже жизнеспособный вариант.
Ну так он и отдает хедер с редиректом
я, наверное, плохо объяснил схему. ODNOKLASSNIKIS.INFO редиректят простым 302 (причем, отдают еще и HTML с JS-кодом, который делает то же самое) на ODNOKLASSNIKI.INFO (вроде). На последнем запускается PHP, который чекает базу и редиректит (уже без контента) на ODNOKLASSNIKI.RU
Там двойной редирект, причем ссылка в письме фишинговая. Это вообще маразм какой-то, имхо, какой-то двойной учет у спамеров получился
Там двойной редирект, причем ссылка в письме фишинговая. Это вообще маразм какой-то, имхо, какой-то двойной учет у спамеров получился
еще и путаница в ns - ответах:
; <<>> DiG 9.3.4-P1 <<>> ODNOKLASSNIKIS.INFO
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38019
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0
;; QUESTION SECTION:
;ODNOKLASSNIKIS.INFO. IN A
;; ANSWER SECTION:
ODNOKLASSNIKIS.INFO. 14330 IN A 124.217.246.79
;; AUTHORITY SECTION:
ODNOKLASSNIKIS.INFO. 86330 IN NS ns2.2014ru.com.
ODNOKLASSNIKIS.INFO. 86330 IN NS ns1.2014ru.com.
Фишинг одним словом... пишем письма в антивирусные компании...
; <<>> DiG 9.3.4-P1 <<>> ODNOKLASSNIKIS.INFO
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38019
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0
;; QUESTION SECTION:
;ODNOKLASSNIKIS.INFO. IN A
;; ANSWER SECTION:
ODNOKLASSNIKIS.INFO. 14330 IN A 124.217.246.79
;; AUTHORITY SECTION:
ODNOKLASSNIKIS.INFO. 86330 IN NS ns2.2014ru.com.
ODNOKLASSNIKIS.INFO. 86330 IN NS ns1.2014ru.com.
Фишинг одним словом... пишем письма в антивирусные компании...
плохая привычка, тыкать во всё что ни попади.
спамерская база? а про и pinch'a никто не подумал?
Там же домен odnoklassniks.info
А тут whois для odnoklassnikis.info
Мне сегодня два таких письма пришло, но я сразу заподозрил неладное, ибо на одноклассниках юзаю другой ящик :)
Мне кажется, что это просто проверка базы. Кто кликнул по ссылке, тот и пометился в базе как активный. Можете готовиться к увеличенным порциям спама :)
А тут whois для odnoklassnikis.info
Мне сегодня два таких письма пришло, но я сразу заподозрил неладное, ибо на одноклассниках юзаю другой ящик :)
Мне кажется, что это просто проверка базы. Кто кликнул по ссылке, тот и пометился в базе как активный. Можете готовиться к увеличенным порциям спама :)
Мне сразу в спамовую папку свалилось.
Мне интересно, почему хостеры ещё сайт не отрубили. Хотя, если это малазийский абузоустойчивый хост, то почему ещё регистраторы не вырубили домен.
odnoklassnikS - это явно что-то из домена .LV или .LT...
В яндекс.почте все письма с однокласникс попадают в папку "Спам". Хотя одно письмецо прорвалось, но ссылка была другая: superdrugssites.com/?
А вы не перепутали домены? На скриншоте odnoklassniks.info, а проверяете odnoklassnikIs.info.
Выполнил сегодня по долгу службы анализ файла, который в итоге на машине юзера оказывается. А топик написать не могу, вот обидно!
Короче говоря, загрузка двух файлов с хоста, один записывается на диск и запускается, а второй инжектится в системный процесс. По ходу дела для рассылки спама все это надо. Будет карма - будут технические подробности :-)
Короче говоря, загрузка двух файлов с хоста, один записывается на диск и запускается, а второй инжектится в системный процесс. По ходу дела для рассылки спама все это надо. Будет карма - будут технические подробности :-)
Все, пост с техническими подробностями работы тварины готов: http://vilgeforce.habrahabr.ru/blog/4374…
А у меня вообще на одноклассниках акка нет, а письмо пришло.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Однокласникис.инфо