SebastianT

To warto napisać na postmaster@linuxpl.com albo abuse@linuxpl.com, zgłosic im taki przypadek, podać date kiedy zwrotka przyszła i poprosić żeby sprawdzili z jakiego adresu było połączenie w tym czasie. Wtedy można wykluczyć/potwierdzić podszywanie się z innej sieci i rozpocząć poszukiwania malware w swojej sieci. Z tym że jeżeli to malware z naszego adresu to mogą zablokować (i pewnie zablokują) konto.

 

Ktoś z domeny linuxpl rozsyła (prawdopodobnie hurtowo) maile na gmaila, z adresem zwrotnym na Twoje konto onetowe. Ciekawa sprawa, podawałeś swój adres na onecie jako pomocniczy w trakcie rejestracji na linuxpl?

Sprawdziłem, faktycznie w panelu mam onetowy adres podany jako pomocniczy. Dziękuję za jeszcze jeden trop. Napiszę do adminów linuxpl.

Ale nie chodzi mi o konta do których nie jest dostarczona wiadomość tylko system który wysyła zwrotki (w polu od). Zwykle się zaczyna do mailer-daemon np. dla gmaila: mailer-daemon@googlemail.com.

Zmiana haseł nic nie da jeżeli ktoś sie podszywa pod nasz adres.

Mailer-Daemon@s6.linuxpl.com

Akcja pomyślnie wykonana. To tyle z mojej strony. 

 

Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

 

Temat zostawiam Wam do dyskusji, ale proszę pamiętać o regulaminie tego działu. 

Miszel, bardzo dziękuję.

Jeżeli w zwrotce jest załącznik: Undelivered Message.eml to otworz go w notatniku i poszukaj linii zaczynających się od Received From (nazwa i adres serwera z którego nadeszła wiadomość), User-Agent (program użytkownika) i Subject (temat - można wywnioskować czy ktoś rozsyła spam pod Twoim szyldem)

 

Z tego co widze to gmail jednak bardzo zdawkowe info o nadawcy w zwrotce pokazuje. Z jakiej domeny przychodzą zwrotki?

To przychodzi z gmailowych adresów na mój onetowy. W zwrotce mam "body.txt" z treści maila (typu "Hi, it's my new site, look, [i jakiś link]"), oraz "plik1" o treści (na przykład, bo różne adresy są):

Reporting-MTA: dns; udl.pl

Action: failed

Final-Recipient: rfc822;l037950@gmail.com

Status: 5.0.0

Remote-MTA: dns; gmail-smtp-in.l.google.com

Diagnostic-Code: smtp; 550-5.1.1 The email account that you tried to reach does not exist. Please try

 550-5.1.1 double-checking the recipient's email address for typos or

 550-5.1.1 unnecessary spaces. Learn more at

 550 5.1.1  https://support.google.com/mail/?p=NoSuchUser u26si1320002wru.419 - gsmtp

Na udl.pl mam jeden adres (linuxpl), przez www logowanie https (ale nie korzystam), w outlooku tls/ssl.

Ale jak pisałem, od przeprowadzenia opisanej naprawy i zmiany haseł problem na chwilę obecną ustał.

Dla wszystkich kont mam SSL/TLS. Gmail/Onet - przez przeglądarkę https. Inne konto pocztowe (na linuxpl) - też pokazuje https. Więcej nic nie mam.

W sieci jest żona ;-) I dwoje dzieci. Dzieci w wieku takim, co to jeszcze same niczego nie ściągają, poza tym też mają Malwarebytes Premium i Nortona (nic pirackiego) zainstalowane u siebie. Żona praktycznie nie korzysta z laptopa w domu, od wielkiego dzwonu, tylko Office i Outlook, poczta na gmail. Nie potrafię niczego podejrzanego znaleźć.

W dniu czyszczenia wg instrukcji powyżej pozmieniałem też hasła na wszystkich pocztach i usunąłem zapamiętane hasła w przeglądarkach (ale poczty akurat zapamiętanej nie miałem). Problem chyba się zatrzymał.

Dobra, miałem to zrobić po południu, jak pisałem na privie, ale jeszcze szybko przed wyjściem zapuściłem ;-)

Załączam fixlog.

Dziękuję :-)

SebastianT

Fixlog.txt

Od kilku dni zauważyłem, że mój (?) komputer rozsyła jakiś spam. Zacząłem dostawać zwrotne maile w stylu:

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

  stephieneenee@gmail.com
    host gmail-smtp-in.l.google.com [74.125.71.27]
    SMTP error from remote mail server after RCPT TO:<stephieneenee@gmail.com>:
    550-5.1.1 The email account that you tried to reach does not exist. Please try
    550-5.1.1 double-checking the recipient's email address for typos or
    550-5.1.1 unnecessary spaces. Learn more at
    550 5.1.1  https://support.google.com/mail/?p=NoSuchUser n4si4325984wra.206 - gsmtp

Odbiorca - to różne adresy, nie te same. Nadawca - rzekomo ja.

Korzystam z MS Outlook. Czasem z przeglądarki (Mozilla Firefox), ale nie zapamiętuję w niej haseł. Te same konta pocztowe mam podpięte pod BlueMail na telefonie (Android, z zainstalowanym Norton Mobile, nic nie pokazuje).

Sprawdziłem w pierwszej kolejności zainstalowanym Norton 360 i Malwarebytes (Premium). Nic, zero, null. Sprawdziłem AdwCleaner, znalazł mi jedną pozycję i usunął (ale nic poważnego, z tego co wyszukałem w necie, jakaś ponoć "reklamówka").

Pozmieniałem hasła na kontach pocztowych.

Problem pozostaje niezmienny - dziennie po kilkanaście takich zwrotek, jak powyżej.

RACZEJ nic ostatnio nie było instalowane... (za stary człowiek już jestem, pracuję stukając w klawisze [teksty], nie bawię się, nie ściągam nic, bo nie mam na to czasu ;-) ) - piszę "raczej", bo może coś samo, nic świadomie.

Sprawdziłem FRST, załączam logi. Dla mnie to czarna magia...

Czy to ja coś rozsyłam, czy mój adres gdzieś do kogoś trafił (tzn. ktoś ma zainfekowany komputer, a mnie np. w kontaktach), ten ktoś wysyła podstawiając mój jako zwrotny?

Pierwszy raz się z czymś takim spotykam (jestem dość ostrożny w necie ;-) ), i pierwszy raz szukam pomocy, więc jeśli naruszyłem jakieś zasady, to przepraszam, nie krzyczcie, tylko pokażcie palcem, to się poprawię ;-)

Dziękuję z góry za rzucenie okiem.
SebastianT

FRST.txt

Addition.txt

Shortcut.txt