LINUX.ORG.RU

Обнаружение ботнета для рассылки спама?

 , ,


0

1

Реальная ситуация: Клиент продолбал пароль от почтового ящика.

Результат: через некоторое время с него начинают слать спам, что обнаручивается очень быстро (логины >3 разных стран за короткое время) и ящик заблокировался автоматом.

Дальше, все кто пытается им воспользоваться - однозначно участники ботнета?

★★★★★

а при чем тут страны? устаревшие способы утификации же, мобили жэ есть. а так то нет, не участники если действий подходящих по спам не совершают по логикке так кажется получается.

dima1981
()
Ответ на: комментарий от dima1981

а при чем тут страны

База ip->страна не очень большая и проверка не отнимает много ресурсов.

Уточнение: те, кто пытается рассылать почту с этого аккаунта (кроме локальной сети и возможно адресов своей страны) - участники ботнета?

мобили жэ есть

А что делать с почтовыми клиентами? Они про двухфакторную аутентификацию и одноразовые пароль обычно ничего не зают.

vel ★★★★★
() автор топика
Ответ на: комментарий от vel

сам ящик участник ботнета, те которые с него рассылают если это не один человек то походу нет и опять же т характера рассылки зависит, тут доступ к черным спискам нужен тогда, чтоб при присечении ботнет деятельности на аккаунте и сохранении его для дальнейшего мирного использования иметь возможность вычеркнуть его из списка но это долгая история мне кажется и без регламента никуда, например максимум две возможности восстановления доброго имени или три, а потом навсегда и предупреждать юзеров чтоб данные от ящиков берегли. когда придет айди днк аутентификация станет проще, тогда по линости станет можно бонить, но скоро ли это фик знает настанет.

а вот с клиентами не знаю, если через мобили код отправлять и на какой то одноразовый ящик создавать перекидывать если это реализовать реально хочта с которого приходит письмо в ответ на которое и надо точ то на моббили пришло отправить. а вообще нет идей особо, если только стандартизация ауутентификации гллобальная тогда все все станут узнавать автоматически и заранее апи затачивать всех произведений под одну гребенку являющейся базой для любых серверов, а если екзотики захотелось то фигач а про массовость забудь.

dima1981
()

Да, т.к. откуда еще они могут узнать этот адрес.

Другое дело, что так поймать можно далеко не весь ботнет. Ну и со временем все меньше и меньше ломиться будут, если уже не работает.

Deleted
()
Ответ на: комментарий от Deleted

Ну вот с 0:30 до 18:30 примерно 1100 хостов пришли.. Если им в ответ не выдавать ошибку, то все придут :)

vel ★★★★★
() автор топика
Ответ на: комментарий от vel

Тут ханипот нужен который будет говорить success на отправку почты и бережно складировать IP-шники клиентов. А, ну и саму почту отправлять естественно в /dev/null

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

Интересно, но через сутки, они снова начали пытаться рассылать спам.

Аккаунт занесен в черный список, но пароль пока не сменен.

vel ★★★★★
() автор топика
Ответ на: комментарий от vel

На гмыле для этого генерируются уникальные пароли для клиентов, которые надо использовать только в этом клиенте — один раз вводится в настройки и больше не показывается.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.